книги / Управление большими системами. УБС-2017
.pdfИнформационные технологии в управлении техническими системами и технологическими процессами
3. Использование SIEM в АСУ ТП
ИБ является неотъемлемой частью АСУ ТП. Для безопасного управления ТП необходимо иметь не только информацию о протекающем процессе, но и адекватную оценку состояния информационной защиты всех элементов АСУ ТП [2, 3]. Такой подход позволит более адекватно реагировать на различные инциденты как технологического характера, так и ИБ. Реализация подобного функционала представляется наиболее эффективной
вчасти оперативно-диспетчерского управления с отображением на рабочем месте диспетчера (с соответствующим уровнем абстракции в части ИБ). Альтернативный вариант – отображение технологической информации у специалиста ИБ, что представляется проигрышным по ряду причин, например из-за непонимания технологического процесса или уровня ответственности (за ТП ответственность несет диспетчерская служба).
Квопросу о необходимом и достаточном уровне абстракции представления данных ИБ для диспетчера АСУ ТП. Во-пер- вых, что и в каком виде должно отображаться. Диспетчер не является специалистом в ИБ, и аналогичное отображение событий ему больше навредит, чем поможет, следовательно, ему необходим адекватный его квалификации метод оценки и классификации событий. Для этого можно воспользоваться подходом, широко применяемым в системах типа SIEM (Security Information and Event Management) для ИБ [4]. Общий смысл заключается
вранжировании событий на основе правил корреляции с учетом возможности их классификации. Правила корреляции позволяют в достаточно удобной форме описать взаимосвязь между событиями и присвоить им необходимый статус или классифицировать, например, классифицируя совокупность различных методов атаки на устройство как опасное для ТП с соответствующим отображением у диспетчера. Кроме того, подобный подход позволяет оценивать и действия самого диспетчера. Во-вторых, речь идет о способе отображения этой информации. Здесь видится три варианта: отображение в SCADA в виде отдельного приложения или создание единого HMI. С учетом развития пользовательских интерфейсов на базе web-технологий
(большинство SIEM имеет настраиваемый web-интерфейс)
493
531
Управление большими системами. Выпуск XX
можно предположить направление развития в области единого HMI как наиболее перспективное.
В качестве реализации такого подхода предлагается использовать SIEM как наиболее развитый механизм для анализа информации в области ИБ. Отличительной особенностью подобных систем является не только фактическая констатация факта, но и выявление скрытых угроз, распределенных во времени (advanced persistent threat) посредством использования прогрессивных методик обработки и классификации информации на базе методов big data и data mining, что также позволяет работать и с технологической информацией.
4. Выводы
На отдельных предприятиях начат процесс внедрения SIEM (ООО «Газпром трансгаз Москва), однако без корреляции с событиями в предметной области. Предлагается существенно расширить границы использования SIEM. Собирая данные с различных систем АСУ ТП, нормативно справочных систем, можно построить систему обработки, классификации, корреляции и анализа элементарных событий, которая приведет к получению качественно новых данных. Эти данные в дальнейшем используются для выявления многих процессов, связанных не только с собственно ИБ, но и с безопасностью в целом, в том числе с экономической безопасностью.
Поскольку предприятия и объекты ОАО «Газпром» имеют сложную распределенную структуру и широкое многообразие IT-систем и АСУ ТП, которые необходимо защищать от внешних внутренних угроз, представляется целесообразным обратить внимание на системы типа SIEM и структуры быстрого реагирования CERT. Обеспечив таким инструментарием иерархию предприятий, объектов и систем ПАО «Газпром» и создав высококвалифицированную группу быстрого реагирования типа CERT в ее вершине, можно достичь высокого уровня предупреждения, обнаружения и отражения кибер-атак, что позволит предприятию избежать экономических и материальных потерь.
494
532
Информационные технологии в управлении техническими системами и технологическими процессами
Литература
1.КОСТОГРЫЗОВ А.И., ЛАЗАРЕВ В.М., ЛЮБИМОВ А.Е.
Прогнозирование рисков для обеспечения эффективности систем информационной безопасности в их жизненном цикле // Правовая информатика. – 2013. – № 4. – С 4–16.
2.СТО Газпром 4.2-1-001-2009. Система обеспечения информационной безопасности ОАО «Газпром». Основные термины и определения.
3.СТО Газпром 4.2-3-002-2009. Требования по технической защите информации при использовании информационных технологий.
4.https: //www2.cs.arizona.edu/~collberg/Teaching/466-566/2012/ Resources/presentations/2012/topic9-final/report.pdf (assecced at 20 July 2017).
5.Enhancing SIEM Technology to Protect Critical Infrastructures / L. Coppolino, S. D’Antonio, V. Formicola, L. Romano // Critical Information Infrastructures Security 7th International Workshop, CRITIS 2012, Lillehammer, Norway, September 17–18, 2012. – P. 10–21.
ONE APPROACH TO THE CYBER SECURITY MONITORING IN THE GAS TRANSPORT MANAGEMENT SYSTEM
Sergey Spiridonov, Institute of Control Sciences of RAS, Moscow, (ssv@ipu.ru).
Abstract: The article considers one of the possible approaches to the construction of an integrated information security system and the provision of technological process for gas transport based on SIEM class systems.
Keywords: cyber security, SIEM, technological process, gas transport, automated process control system.
495
533
Управление большими системами. Выпуск XX
УДК 004.057.4
ББК 30в6
РАЗРАБОТКА МОДЕЛИ ПРОТОКОЛА МАРШРУТИЗАЦИИ Q-ROUTING
Якимова А.П. 1
(Пермский национальный исследовательский политехнический университет, Пермь)
В статье разрабатывается имитационная модель протокола маршрутизации Q-Routing. Представлено описание алгоритма маршрутизации на узле сети передачи данных с использованием естественного языка и языка онтологий OWL. По предложенной онтологии разработана имитационная модель протокола в среде моделирования AnyLogic.
Ключевые слова: беспроводные сети, имитационное моделирование, онтология сети связи, протокол маршрутизации, AnyLogic, Q-routing.
1. Введение
Одним из перспективных направлений развития современных сетей связи является создание мобильных беспроводных adhoc сетей. Отсутствие заранее построенной инфраструктуры обмена данными позволяет организовать такие сети для решения различных задач, подбирая наиболее удобную конфигурацию для каждой индивидуально. Примером таких сетей связи являются: сети мобильных устройств (Manet), выстраивающих взаимодействие между собой для передачи какой-либо информации; сети транспортных средств; промышленные сенсорные сети (Wireless sensor networks); сети интернета вещей (Internet of Things). Для достижения эффективного взаимодействия узлов в распределённой сети используются протоколы динамической
1 Алена Павловна Якимова, студентка (jkimovaalena@yandex.ru).
496
534
Информационные технологии в управлении техническими системами и технологическими процессами
маршрутизации, вовлекающие в процесс передачи не только оконечные узлы сети, но и ряд промежуточных узлов для обеспечения наискорейшей доставки данных и покрытия большой территории. Одним из наиболее распространённых является протокол Q-routing, в основе которого лежит самообучающийся алгоритм маршрутизации [3]. Отмеченное актуализирует задачу построения модели протокола маршрутизации и исследования её сетевых характеристик.
2. Алгоритм маршрутизации Q-Routing
Основу алгоритма маршрутизации Q-Routing составляет способ экспериментального машинного обучения (Q-learning) узлов при взаимодействии с сетью. Узел, передавая данные адресату через соседние узлы сети, получает информацию о значении полезности Q данного пути, выражаемой показателем предполагаемой остаточной задержки доставки данных до конечного узла. Это впоследствии позволяет узлам сети аргументированно выбирать путь отправки данных.
Для построения таблиц маршрутизации узлы сети работают согласно следующему алгоритму. Узел-источник S передаёт данные узлу-получателю D. При прохождении данных через сеть узел X решает осуществлять передачу данных через промежуточный узел Y. В этом случае алгоритм маршрутизации включает следующие этапы [2].
1)Узел X выбирает пакет для передачи (дисциплина вы-
бора FIFO).
2)Узел X выбирает наилучший следующий узел Y по Q-таб- лице маршрутизации. Критерием выбора является минимальная остаточная задержка передачи доставки до конечного узла D. Для определения Q-задержки анализируется строка таблицы, адрес конечного узла которой совпадает с D. Анализируются поля строки, и выбирается ячейка с минимальной задержкой. Столбец ячейки показывает адрес узла Y (табл. 1).
3)Узел X осуществляет передачу пакета узлу Y.
4)Узел Y выбирает из таблицы маршрутизации мини-
мальную предполагаемую QYDZ-задержку длительности перехода пакета в конечный узел D через последующий узел Z.
497
535
Управление большими системами. Выпуск XX
Таблица 1. Q-таблица маршрутизации узла X (пример D=2)
Получатель D |
|
Сосед Y |
|
||
Y1 |
Y2 |
… |
Yk |
||
|
|||||
1 |
7.0 |
3.5 |
4.0 |
2.3 |
|
2 |
3.2 |
1.4 |
5.8 |
2.5 |
|
… |
… |
… |
… |
… |
|
N |
5.7 |
4.3 |
3.9 |
6.1 |
|
5)Узел Y отвечает узлу X (FIFO) пакетом со значением задержки QY.
6)Узел X принимает актуальное значение задержки QYDZ
доставки и вычисляет промежуточное значение задержки передачи пакета от X к D через Y:
(1) |
Qest |
= q + s + Q , |
|
XDY |
YDZ |
где q – задержка в текущем узле; s – расстояние между узлами S и D.
7) Узел X рассчитывает новое значение предполагаемой остаточной задержки доставки пакета и записывает его в определённое место Q-таблицы:
(2) |
QXDYnew = QXDYold +η (QXDYest − QXDYold ) , |
где η – параметр скорости обучения в сети (learning rate parameter).
3. Разработка модели
3.1. ОНТОЛОГИЯ СЕТИ
Построение имитационных моделей сложных систем, в частности и сети с исследуемым протоколом маршрутизации, в настоящее время целесообразно с применением агентного моделирования, основу которого составляет концепция объектноориентированного программирования (ООП). Применение данного подхода за счёт уменьшения степени абстракции моделируемого объекта позволяет создавать понятные, легко разрабатываемые и адекватные за счёт учёта множества параметров функционирования, масштабируемые и исследуемые модели [1].
498
536
Информационные технологии в управлении техническими системами и технологическими процессами
Одной из распространённых сред, обладающих указанными свойствами, является среда AnyLogic. Основными недостатками применения агентного подхода являются высокие временные затраты на разработку, а также сложность и громоздкость структур модели. Для решения этих задач разработке имитационной модели должно предшествовать описание модели на языке, близком к имитационному. Проработка архитектуры разрабатываемой модели, первичное определение структуры модели, её классов
исвойственных им параметров, методов работы способствуют значительному сокращению времени разработки модели, сокращению числа допускаемых при разработке моделей ошибок и повышению корректности модели в целом. Представление указанного описания исследуемого объекта возможно, целесообразно
ивыполняется в работе с использованием языка описания онтологий (OWL), работающего также в концепции ООП. Согласно
концепции онтология сети с исследуемым протоколом маршрутизации Q-routing представлена на рис. 1.
Рис. 1. Онтология сети с маршрутизацией Q-routing
499
537
Управление большими системами. Выпуск XX
Описание модели сети включает в состав три основных класса объектов: сеть Network, узел Node, сообщение Message. В составе исследуемой сети связи определены следующие параметры
(табл. 2).
Таблица 2. Параметры сети
Имяпараметра |
Предназначениепараметра |
numberNodes |
Количествоузловванализируемойсети |
matrixDistances |
Матрицадистанциймежду узламисети |
matrixConnections |
Матрицасвязностиузлов(соседей) сети |
frequencyMessages |
Частотаформированиясообщенийузломсети |
rateLearning |
Скоростьобученияузловсети |
arrayNodes |
Массивузловсети |
Основной класс сети «Узел» описывается параметрами и объектами, представленными в табл. 3.
Таблица 3. Параметры узла
Имяпараметра |
Предназначениепараметра |
|
Number |
Номер(индекс) данногоузла |
|
qValue |
Индивидуальнаязадержкаобработкиузла |
|
sValue |
Расстояниемежду узламиS иD |
|
generateMessage |
Генерациясообщений |
|
Q-table |
Q-таблицазадержекузла |
|
queueMessage |
Очередьсообщенийнапередачу |
|
transMessage |
Передаваемоесообщение |
|
receiveMessage |
Принимаемоесообщение |
|
arrayMessages |
Массивпринимаемыхипередаваемыхсооб- |
|
щенийузла |
||
|
Класс «Сообщение» сети характеризуется параметрами, указанными в табл. 4.
Представленное OWL-описание архитектуры исследуемой сети реализовано в виде модели в среде имитационного моделирования AnyLogic. Модель детализирована диаграммами состояний и переходов (state chart), реализующими логику получения, обработки и отправки сообщений в сеть.
500
538
Информационные технологии в управлении техническими системами и технологическими процессами
Таблица 4. Параметры сообщения
Имяпараметра |
Предназначениепараметра |
|
timeGeneration |
Модельноевремяформированиясообщения |
|
source |
Номерузлаотправителясообщения |
|
destination |
Номерузлаполучателясообщения |
|
nodeX |
Номерпромежуточногоузла-отправителя |
|
nodeY |
Номерпромежуточногоузла-получателя |
|
nodeZ |
Номерпоследующегоузла |
|
distance |
Пройденноесообщениемрасстояниепосети |
|
numberHops |
Количествосовершённыхсообщениемпрыж- |
|
ковчерезузлы |
||
|
3.2. ИМИТАЦИОННАЯ МОДЕЛЬ СЕТИ
Разработка модели протокола маршрутизации Q-Routing начинается с иерархически верхнего элемента – сети и далее продолжается для вложенных объектов: узлов, составляющих сеть, и сообщений, передаваемых между узлами. Разработка модели производится путем создания классов указанных элементов (объектов, агентов), представляющих собой общую структуру, параметры и методы обработки ими событий.
Элемент модели сеть Network в AnyLogic создан структурой одиночного агента, включающей набор основных параметров: скорость обучения, частота формирования сообщений, количество узлов в сети, матрица соединений (связей) узлов, а также матрица дистанций между узлами.
Узлы сети моделируются как агенты пользовательского класса Node, структура которого включает в себя ряд индивидуальных параметров и диаграммы передачи и приема сообщений. К параметрам узлов относятся: номер узла, значение задержки в текущем узле, расстояние между узлом-отправителем и узлом-получателем, Q-таблица, очередь сообщений, передаваемое и принимаемое сообщения. По ходу функционирования модели узлом производится генерациясообщенийсзаданнойчастотой.
Класс сообщений передаваемых по сети между узлами представлен простой структурой, включающей время генерации сообщения, его источник и получатель, промежуточные отпра-
501
539
Управление большими системами. Выпуск XX
вители и получатели, количество хопов (прыжков), а также пройденное расстояние.
Основное внимание при разработке модели уделено созданию диаграммпередачииприемасообщенийузломсети(рис. 2).
Рис. 2. Диаграммы приема и передачи сообщений узлом сети
Диаграмма передачи сообщения реализует алгоритм, представленный в п. 2 и описывается следующим набором состояний узла и переходов между ними (рис. 2).
1. Исходным состоянием является ожидание сообщения,
вкотором находится узел, если очередь сообщений на передачу к этому узлу пуста. Выход из состояния возможен в двух случаях: при получении нового сообщения и при наличии сообщения
вочереди на передачу.
2.Критерием выбора сообщения для передачи является порядок их поступления в систему (дисциплина выбора FIFO), по-
502
540