Содержание к диссертации
Введение
1 Системный анализ защиты информационных ресурсов автоматизированных систем управления предприятием 8
1.1 Характеристика защиты информационных ресурсов 8
1.1.1 Анализ проблем интеграции АСУП и АСУТП 9
1.1.2 Информационно-технологический характер процесса управления защитой информационных ресурсов ИАСУП 12
1.1.3 Анализ ущерба ИАСУП от нарушения защиты информационных ресурсов 14
1.1.3.1 Ущерб предприятий от внешних информационных атак 15
1.1.3.2 Ущерб предприятий от внутренних несанкционированных действий 18
1.2 Анализ противоречий между возможностями средств нападения и эффективностью средств защиты 20
1.2.1 Анализ средств информационного нападения 21
1.2.2 Анализ особенностей сетевых атак на информационные ресурсы ИАСУП 26
1.2.3 Анализ средств защиты информационных ресурсов ИАСУП 29
1.3 Цель исследования и решаемая научная задача 36
1.3.1 Формулирование цели исследования 36
1.3.2. Постановка научной задачи и её формализация 38
Выводы 41
2 Разработка интервальной модели сетевого трафика 43
2.1 Концептуальные основы моделирования информационных процессов в условиях неопределенности 43
2.2 Информационные характеристики трафика и источники данных для их оценки 50
2.3 Методика преобразования массивов заголовка пакета в интервальный вариационный ряд 57
2.4 Разработка методики выявления аномальности трафика в условиях интервальной неопределенности 68
Выводы 73
3 Разработка прототипа контура адаптивного управления межсетевым экранированием ИТКС 75
3.1 Архитектура межсетевого экрана с пакетными фильтрами и базой правил под управлением администратора сети 75
3.2 Развитие контура управления межсетевым экранированием на основе интервальной модели сетевого трафика 78
3.3 Разработка алгоритма средства поддержки принятия решений по управлению базой правил межсетевого экрана 91
Выводы 91
4 Оценка эффективности средств обнаружения вторжений в ИТКС 93
4.1 Развитие методического аппарата оценки эффективности средств обнаружения вторжений в ИТКС 93
4.1.1 Построение структуры имитационного эксперимента для оценки эффективности средств обнаружения вторжений 94
4.1.2 Построение моделей информационных атак имитационного эксперимента 97
4.1.3 Планирование имитационного эксперимента 103
4.2 Обоснование области применимости метода обнаружения вторжений в условиях интервальной неопределенности информационных атак 107
4.2.1 Развитие методов анализа рисков. в задаче обнаружения вторжений 108
4.2.2 Сравнительный анализ эффективности предложенных программных средств поддержки принятия решений по обнаружению вторжений 114
4.3 Анализ результатов имитационного эксперимента 116
Выводы 120
Заключение 122
Список использованных источников 124
Приложения
- Информационно-технологический характер процесса управления защитой информационных ресурсов ИАСУП
- Информационные характеристики трафика и источники данных для их оценки
- Развитие контура управления межсетевым экранированием на основе интервальной модели сетевого трафика
- Построение структуры имитационного эксперимента для оценки эффективности средств обнаружения вторжений
Введение к работе
Последние десятилетия характеризуются тенденцией слияния АСУП и
АСУТП в единые интегрированные автоматизированные системы
управления производством (ИАСУП), технической основой которой
становится информационно-телекоммуникационная сеть (ИТКС). Широкое
внедрение ИАСУП, интеграция их с открытыми информационными системами,
помимо явных преимуществ, порождают новые проблемы, связанные с их
информационной безопасностью (ИБ), регламентирующей
конфиденциальность, сохранность и доступность информационных ресурсов (ИР) ИАСУП. Под ИР подразумевается совокупность содержащейся в базах данных ИАСУП информации и программного обеспечения, обеспечивающего ее обработку. В последнее десятилетие уровень потерь корпораций от деструктивных воздействий на ИР ИАСУП становится соизмерим со стоимостью собственно ИАСУП.
Проблемам обеспечения ИБ ИТКС, к классу которых относятся
ИАСУП, посвящены работы таких известных российских ученых как Зегжда
П.Д., Ивашко A.M., Курбатова В.И., Лукацкого А.В., Остапенко А.Г.,
Смирнова С.Н., Щеглова А.Ю., Ухлинова Л.М. и зарубежных
исследователей К. Лендвера, Д. МакЛина, Р. Сандху и других. Обобщая результаты исследований, можно сделать вывод, что существующие средства защиты обеспечивают ИБ ИАСУП от известных информационных атак. Однако, уровень автоматизации основного этапа защиты при появлении новых угроз ИБ - выработки решений о несанкционированном доступе (вторжении), остается низким.
Следовательно, одним из главных противоречий объекта исследований становится противоречие между скачкообразным ростом информационных объектов ИАСУП с эквивалентным ростом числа субъектов их использования и неадекватным уровнем автоматизации принятия решений по управлению средствами защиты ИР на этапе обнаружения вторжений или аномальной активности субъектов ИТКС ИАСУП.
Работа выполнена в рамках госбюджетной НИР «Разработка и
внедрение математического и программного обеспечения
автоматизированных систем» (№ 01960005784). Работа выполнена в Государственном образовательном учреждении высшего профессионального
образования «Оренбургский государственный университет»
Объект исследования: методы, модели и средства выявления угроз нарушения ИБ объектов ИТКС.
Предмет исследования: технология управления межсетевым экранированием ИТКС ИАСУП.
Границы исследований: исследования проводились для методов защиты ИР ИТКС ИАСУП на этапе обнаружения вторжений.
Цель и задачи исследования: совершенствование методов защиты ИР ИАСУП путем разработки методической базы автоматизации управления средствами защиты при обнаружении вторжений или аномальной активности субъектов ИТКС.
Основные задачи научного характера:
Во-первых, необходимо провести системный анализ проблем интеграции АСУП и АСУТП для выявления противоречий и обоснования необходимости развития средств управления защитой ИР ИАСУП на этапе обнаружения вторжений или аномальной активности субъектов ИТКС.
Во-вторых, разработать математический аппарат моделирования, обеспечивающий определение несанкционированного доступа или аномальной активности субъектов ИТКС ИАСУП в условиях интервальной неопределенности объекта управления.
В-третьих, обосновать архитектуру и разработать программное средство адаптивного управления межсетевым экранированием многосегментной ИАСУП.
В-четвертых, разработать прототип системы адаптивного управления межсетевым экранированием ИР ИАСУП и оценить его эффективность.
Методы исследования. Использованы методы теории системных исследований; информационной безопасности, теории управления; теории принятия решений; теории статистических решений и интервальной математики.
Научная новизна результатов исследования. В диссертационной работе получены следующие результаты, характеризующиеся научной новизной:
1 Предложена модель сетевого трафика в условиях интервальной неопределенности его параметров, позволяющая значительно снизить вычислительные ресурсы при решении задачи обнаружения вторжений.
2 Разработан алгоритм обнаружения вторжений или аномальной
активности субъектов ИТКС по технологии сжатия пространства решений,
позволяющий решать задачу обнаружения вторжений в реальном масштабе
времени.
Разработана система адаптивного управления МСЭ многосегментной ИАСУП, позволяющая изменять базу правил МСЭ в условиях неопределенности информационных атак.
Предложена методика оценки границ применимости реализованной системы адаптивного управления МСЭ ИТКС ИАСУП на основе теории рисков по критерию Неймана-Пирсона.
Практическая значимость полученных результатов. Полученные в ходе исследований результаты реализованы в системном программном обеспечении МСЭ ИТКС, что подтверждается актами дочернего предприятия ТНК-ВР - ООО «ТБинформ» (г. Оренбург) и государственной регистрацией программного продукта «StopAttack» (Свидетельство № 2008611080), а также в учебном процессе ГОУ ВПО «Оренбургский государственный университет».
Апробация работы. Основные положения и результаты работы докладывались и обсуждались на 5 научно-практических конференциях: всероссийской научно-практической конференции (НІЖ) «Роль современных информационных технологий в развивающейся экономике» (г. Оренбург, 2005 г.), VI региональной НПК с международным участием «Современные информационные технологии в науке, образовании и практике» (г. Оренбург, 2007 г.), всероссийской НПК «Компьютерная интеграция производства и ИЛИ - технологии» (г.Оренбург, 2007г.), международной НПК «Проблемы автоматизации и управления в технических системах» (г.Пенза, 2007 г.), IX международной научно-технической конференции «Кибернетика и высокие технологии XXI века» (г.Воронеж,2008).
Публикации. По теме диссертационной работы опубликовано 13 научных работ, в том числе 2 - в издании, рекомендованным ВАК РФ; 1 авторское свидетельство на программный продукт.
В работах, опубликованных в соавторстве, лично соискателю принадлежат: концептуальные основы интервального моделирования в задаче обнаружения вторжений, применение интервального моделирования к процедурам анализа заголовков сетевого трафика и методика оптимизации
двухальтернативного отождествления с помощью критерия Неймана-Пирсона .
Основные положения, выносимые на защиту.
Модель сетевого трафика в условиях интервальной неопределенности его параметров.
Алгоритм принятия решений по обнаружению вторжений или аномальной активности субъектов ИТКС.
Система адаптивного управления МСЭ многосегментной ИАСУП на этапе обнаружения вторжений и алгоритмы программных средств её реализации.
Методика оценки границ применимости предложенной системы адаптивного управления МСЭ ИТКС ИАСУП.
Структура и объем работы. Диссертационная работа состоит из введения, четырех разделов, заключения и приложений, изложена на 136 страницах машинописного текста, иллюстрирована 60 рисунками и 4 таблицами. Список использованной литературы содержит 120 наименований.
Приложения содержат структуру ИТКС предприятия, акты внедрения результатов работ, результаты имитационного моделирования.
Информационно-технологический характер процесса управления защитой информационных ресурсов ИАСУП
Учитывая комплексный характер деятельности и разнородность производственных и технологических процессов, разветвленную и иерархичную структуру ИСУП с множеством схем подчиненности и взаимосвязи, основным инструментом, обеспечивающим управление такой сложной структурой, становится информационная технология[17]. При этом достижение максимального экономического эффекта от её внедрения возможно лишь при создании единого информационного пространства предприятия. Это необходимо для объективной и оперативной оценки текущей ситуации, оперативного принятия оптимальных управленческих решений, ликвидации информационных и организационных барьеров между управленческим и технологическим уровнями.
Отсюда, ИСУП представляет собой комплекс технических и программных средств, реализующие управляющие воздействия с участием человека. Основой ИАСУП служит информационно- телекоммуникационная сеть(ИТКС) предприятия, представленная на рисунке 1.5. Прототипом сети, показанной на рисунке 1.5, является дочернее предприятие ОАО «ТНК ВР» - ОАО «ТБ Ин-форм».
Современные сети компаний представляют собой сложные информационные среды, включающие оборудование разных производителей, в которых функционируют как новые, так и устаревшие технологии и приложения[1].
Наиболее подвержены атакам следующие элементы сети: маршрутизаторы, коммутаторы, рабочие станции, хосты, сервера.
Маршрутизаторы и коммутаторы контролируют доступ из любой сети к любой другой сети или её сегменту. Они регламентируют работу сети, определяя тех, кто может получать к ним доступ. Поэтому потенциально маршрутизаторы и коммутаторы - наиболее вероятные объекты информационных атак.
Кроме того, целью хакерской атаки может быть хост - устройство, предоставляющее другим структурам сети информационные услуги по их требованию. Хосты чаще других устройств становятся жертвами удачных информационных атак.
Зачастую web-сервер в сети Интернет работает на аппаратной платформе одного производителя с сетевым адаптером другого производителя, с операционной системой третьего поставщика и серверным программным обеспечением, которое либо является открытым, либо поставлено четвертой компанией. И, наконец, этот сервер может связываться с сервером базы данных, где все «разнообразие «повторяется еще раз. По мере увеличения сложности системы повышается уязвимость информационных ресурсов ИСУП[47].
Анализ нарушений защищенности информационных ресурсов телекоммуникационной сети последних десятилетий свидетельствует, что информационные атаки осуществляются как из внешних источников, так и от внутренних элементов сети [58]. Иерархическая взаимосвязь основных свойств, субъектами проявления которых являются различные аспекты защищенности информационных ресурсов ИСУП, представлена на рисунке 1.6.
В нем говорится, что в 2005 году американские компании несли значительные финансовые потери из-за компьютерных угроз. В ФБР рассчитали, что если суммарный убыток от компьютерных преступлений поделить на общее число компаний, то получится, что средняя компания в США потеряла 24 000 долларов. 87% опрошенных компаний заявили, что на протяжении 2005 года подвергались тем или иным компьютерным угрозам. Всего же по данным ФБР на территории США в 2005 году было проведено 5 000 крупных компьютерных атак, повлекших серьезные убытки. Более 75% опрошенных компаний указали на то, что на протяжении минувшего года им приходилось иметь дело с компьютерными вирусами и шпионскими модулями. 22,7% компаний заметили, что в 2005 году у них имели место случаи кражи или преднамеренной порчи бизнес-данных, 14,2% опрошенных рассказали, что сталкивались со случаями проникновения в свои компьютерные сети.
В условиях возрастающей роли Internet и подключения к ресурсам корпоративной сети все новых компаний грань между внутренними и внешними пользователями, а также традиционными внешними и внутренними границами постепенно исчезает. Поэтому, несмотря на то, что вирусы, «троянские кони» и атаки, направленные на отказ в обслуживании, по-прежнему таят в себе немалую угрозу, в последнее время гораздо более серьезную опасность для организаций стали представлять деструктивные действия людей, с которыми установлены до- " верительные отношения, - сотрудников, бывших сотрудников, специалистов, работающих по договору, партнеров по бизнесу. Размер ущерба от противоправных действий таких людей превышает размер убытков от внешних атак как в отдельно взятом случае, так и в совокупном выражении.
Требования к совершенствованию объекта исследований, представляющие сбой конкретные числовые характеристики, могут быть получены на основе соответствующих моделей. Однако, их разработка невозможна без анализа системы основных научных взглядов на сущность изучаемых явлений, которая может быть сформирована в результате анализа противоречий объекта исследования.
Таким образом, интеграции АСУ ТП и АСУП требует наличия в составе ИАСУП расширенной системы поддержки производства, неотъемлемой частью которой является система защиты информации. Как показывает практика, кроме класса внешних информационных атак, к числу угроз информационным ресурсам следует отнести угрозы от внутренних сотрудников предприятия.
В настоящее время сложилась совокупность противоречий, существенно обостряющих проблемы управления защищенностью информационных ресурсов ИАСУП. Так как, объединение локальных сетей, которые являются составными частями ИАСУП, производится на основе как выделенных, так и общедоступных каналов связи, причем к числу последних, как правило, относится Интернет. И даже если корпоративная сеть компании не использует Интернет в качестве транспорта, тем не менее, наличие доступа сотрудников к Интернету является существенной частью бизнеса компании. Если проследить динамику публикаций об использовании корпоративных сетей и Интернета в бизнесе, окажется, что авторы большинства из них не обходятся без обсуждения проблем, связанных с безопасностью.
Целью информационных атак на ресурсы корпоративной сети является получения коммерческой информации компании или выведении из строя компонентов ИАСП, таких как: сетевая среда, информационные ресурсы и т.п.[14,51,74]. Угрозы сетевой среде можно классифицировать по следующим признакам: преднамеренное деструктивное воздействие; случайное деструктивное воздействие.
Информационные характеристики трафика и источники данных для их оценки
В качестве объекта исследования информационных потоков в настоящей работе принят сетевой трафик. Сетевой трафик представляет собой последовательность сетевых пакетов, информационные параметры которых определяются используемым протоколом сети. Структура протоколов передачи данных описывается эталонной моделью открытых систем Open Systems Interconnection (OSI) и для IP- сетей представлена в таблице 2.1 [44,71,106-120].
Протокол IP создан для использования в объединенных системах компьютерных коммуникационных сетей с коммутацией пакетов и обеспечивает передачу блоков данных, называемых пакетами (датаграммами), от отправителя к получателям, где отправители и получатели являются хост-компьютерами, идентифицируемыми адресами фиксированной длины.
Длина IP заголовка измеряется в словах по 32 бита каждый и указывает на начало поля данных. Тип сервиса (рис 2.4) определяет с помощью неких абстрактных параметров - тип требуемого обслуживания: биты 0-2 приоритет; бит 3:0- нормальная задержка, 1 - малая задержка; бит 4:0- нормальная пропускная способность, 1 -высокая пропускная способность; бит 5: 0 - обычная достоверность, 1 - высокая достоверность; биты 6-7 зарезервированы. Эти параметры должны использоваться для управления выбором реальных рабочих характеристик при передаче пакета через конкретную сеть. Некоторые сети осуществляют обслуживание с приоритетом, которое неким образом дает преимущество для продвижения данной пакета по сравнению со всеми остальными.
Флаги представляют различные управляющие биты: бит 0 зарезервирован, должен быть нуль, бит 1 (DF): 0 - возможно фрагментирование, 1 - запрет фрагментации, бит 2 (MF): 0 - последний фрагмент, 1 - будут еще фрагменты. Формат поля Flags показа на рисунке 2.5. Поле смещение фрагмента показывает, где в датаграмме находится этот фрагмент. Смещение фрагмента изменяется порциями по 8 октет (64 бита).
Контрольная сумма заголовка используется когда некоторые поля заголовка меняют свое значение (например, время жизни), это значение проверяется и повторно рассчитывается при каждой обработке IP заголовка. Алгоритм контрольной суммы следующий: поле контрольной суммы -это 16 бит, дополняющие биты в сумме всех 16 битовых слов заголовка. Для вычисления контрольной суммы значение этого поля устанавливается в нуль. Адрес отправителя получателя указывают IP - адреса. Поля параметры и выравнивание поле переменной длины. Протокол управления передачей (TCP) предназначен для использования в качестве надежного протокола общения между хост-компьютерами в коммуникационных компьютерных сетях с коммутацией пакетов, а также в системах, объединяющих такие сети (рис. 2.6). Порт отправителя (16 бит) Порт получателя (16 бит) Порядковый номер (32 бит) Номер подтверждения (32 бит) Смещение данных (4 бит) Зарезервировано (б бит) Флаги (6 бит) Размер окна (16 бит) Контрольная сумма (16 бит) Указатель на неотложные данные (16 бит) Параметры (переменная длина) Выравнивание (переменная длина) Поле данных (переменная длина).
Протокол TCP обязан обеспечить надежный сервис для коммуникаций между процессами в многосетевой системе. TCP — пакета отправляются как IP — дейтаграммы. Заголовок TCP, следующий за IP - заголовком, содержит информацию TCP — протокола. Поля порт отправителя и порт получателя хранят номер портов, которые используются для соединения.
Поле номер кадра хранит номер первого октета данных в этом сегменте (за исключением пакета, где присутствует флаг SYN). Если в пакете присутствует флаг SYN, то номер данного пакета становится номером начала последовательности (ISN) и номером первого октета данных становится номер ISN+1.
Поле номера кадра подтвержденного получения используется в случае, когда пакет содержит установленный контрольный бит АСК, то это поле содержит номер следующего пакета данных отправителя, который ожидает получатель. При установленном соединении пакет подтверждения отправляется всегда.
Поле величины смещения данных содержит количество 32-битных слов заголовка TCP-пакета. Это число определяет смещение расположения данных в пакете. Флаги управления (слева направо): URG - флаг срочности; АСК — флаг пакета, содержащего подтверждение получения; PSH - флаг форсированной отправки; RST - переустановка соединения; SYN - синхронизация чисел последовательности; FIN - флаг окончания передачи со стороны отправителя. Поле окно поле содержит количество байт данных, которое отправитель данного сегмента может принять, отсчитанное от номера байта, указанного в поле номера кадра подтвержденного получения. Поле контрольной суммы содержит 16 бит суммы побитных дополнений 16-битных слов заголовка и данных. Если сегмент содержит нечетное число байт заголовка и данных, последний байт дополняется справа нулями. При вычислении контрольной суммы поле контрольной суммы полагается равным нулю. Поле указателя срочных данных содержит значение счетчика пакетов, начиная с которого следуют пакеты повышенной срочности. Это поле принимается во внимание только в сегментах с установленным флагом URG. Поле дополнительных параметров: может быть переменной длины. Поле заполнение предназначено для выравнивания его по 32-битному слову. Протокол UDP (User Datagram Protocol ) проектировался для создания в объединенной системе компьютерных сетей с коммутацией пакетов режима пе 55 редачи датаграмм клиента и предполагает, что нижестоящим протоколом является Internet (IP). Структура UDP - пакета показана на рисунке 2.7. Номер порта отправителя (16 бит) Номер порта получателя (16 бит) Длина (16 бит) Контрольная сумма (16 бит) Поле данных (переменная длина) Рисунок 2.7 — Структура UDP - пакета
Данный протокол предоставляет прикладной программе процедуру для посылки сообщений другим программам, причем механизм протокола минимален. Протокол UDP ориентирован на транзакции, получение датаграмм и защита от дублирования не гарантированы. Приложения, требующие гарантированного получения потоков данных, должны использовать протокол управления пересылкой (Transmission Control Protocol - TCP).
Если задействован порт отправителя, то он указывает порт процесса, посылающего датаграмму. Можно принять, что это тот порт, на который при отсутствии какой-либо иной информации следует адресовать ответную датаграмму. Если данное поле не задействовано, то в него следует записать нули. Порт получателя имеет смысл только в контексте конкретного Internet адреса получателя.
Развитие контура управления межсетевым экранированием на основе интервальной модели сетевого трафика
Необходимо модифицировать традиционный контур[4] управления следующим образом. Возложить анализ информации журналов событий и принятие решений на основе этого на программное средство, состоящее из двух модулей: модуля выявления аномальности сетевого трафика и модуля изменения базы правил МСЭ. Пример модифицированного контура управления средствами информационной защиты показан на рисунке 3.3.
Модуль выявления аномальности трафика использует методику, описанную в предыдущей главе, анализирует заголовки сетевых пакетов, определяет показатель аномальности трафика, сравнивает его с эталонным показателем, и в случае превышения показателя аномальности допустимого значения, передает информацию о наличии атаки модулю изменения базы правил МСЭ[11,26].
Как видно из рисунка, в контуре управления отсутствует администратор безопасности. Его функции по управлению средствами защиты выполняют три блока - средство обнаружения вторжений, средство обнаружения аномалий, средство изменения базы правил МСЭ. Это сделано для того, чтобы при выявлении аномальности трафика не тратить время на передачу информации администратору, а немедленно программными средствами изменить базу правил средств разграничения доступа таким образом, чтобы ликвидировать угрозу. После принятия ответных мер, автоматизированная система подаст сигнал администратору о том, какие действия были предприняты.
Как уже было сказано, значительный урон информационным ресурсам предприятиям наносят собственные сотрудники из внутренней сети предприятия. Поэтому требуется изменить предложенный контур управления, добавив в него еще одно средство разграничения доступа, которое будет отвечать за контроль внутреннего сетевого трафика. Как показывает практика, для уменьшения угрозы внутренней атаки необходимо выполнять следующие мероприятия по защите данных. 1. Ведение журналов и проведение аудита. Хранящаяся в системных журналах информация о регистрируемых в системе событиях, служит основой для проведения идентификации и определения причин проявления неуместных действий и ошибок. 2. Управление учетными записями. Грамотное определение политик безопасности и технологий управления учетными записями позволит осуществлять контроль за каждым конкретным пользователем, а не только за сетью в целом. 3. Внедрение системы противодействия удаленным атакам. Необходима глубокоэшелонированная система защиты, предусматривающая мониторинг и регистрацию в системных журналах всех удаленных операций. 4. Внедрение системы защиты от вредоносного кода. 5. Мониторинг и ответная реакция. Определение формальных процедур, которые будут выполняться при обнаружении подозрительных или деструктивных воздействий сотрудников на рабочем месте. 6. Дополнительный контроль.
Непосредственное решение задачи для реальных объектов управления из-за очень большого объема вычислений представляет значительные трудности. Поэтому необходимо применение специальных методик с использованием так называемых "быстрых" математических моделей[45,48], которые могут быть получены из основной модели (2.5). Предлагается решать поставленную задачу в классе двухмодельных (по числу используемых математических моделей) систем управления.
Синтез системы управления объектом с двухмодельным комплексом заключается в подборе модели y = R(u,x), при которой решение задач (12)- (13) будет сходиться к решению задач интервального управления (2)-(4). Решение задачи двухмодельного управления сводится к многократному рассмотрению внутренней задачи, использующей детерминированную модель, и к проверке выполнения ограничений внешней задачи [57,59,103,104].
Шаг 1. Осуществляется поиск вектора А в пространстве возможных векторов Г. При найденном А решается внутренняя задача оптимизации (3.5), (3.6) с детерминированной математической моделью y = R(u,x)n системой ограничений, определяемых вектором А.
Шаг 2. С помощью интервальной математической модели [y] = R(uA,x,[v]) проверяется выполнение ограничений внешней задачи. Если условия (7) не выполняются для каких-либо ограничений, то осуществляется переход к поиску нового значения вектора А.
Шаг 3. Определяется, найдено ли уже А , удовлетворяющее (6). Если значение не найдено, задача решается для нового значения вектора А.
Для решения задачи двухмодельного интервального управления (6)— (10) требуется нахождение вектора выходных параметров [у] интервальной математической модели (8).
Проведенные исследования показали, что для установления принадлежности і множеству Гу достаточно построения только одной последовательности, где все остальные неопределенные параметры при расчетах принимают средние значения VYeFiv, = mid[vl], t i, составляющие векторов и, х имеют любые фиксированные значения, удовлетворяющие условиям иєІ/,хєХ. Шаг дискретизации А/г, выбирается априори на основе предварительных расчетов. Если /йГ,, то последовательность будет носить немонотонный характер.
Построение структуры имитационного эксперимента для оценки эффективности средств обнаружения вторжений
В ходе эксперимента были проведены следующие атаки. - сценарии атак класса "Анализ сетевого трафика"; - атаки класса "Отказ в обслуживании"; атаки класса "Неавторизованный доступ с удаленного хоста посредством подбора пароля".
Предложенная схема проведения эксперимента позволяет оценить влияние на результат отражения информационных атак СИН технологии принятия решений по управлению защитой информационного обеспечения КАСУ и рассчитать основные показатели эффективности управления.
Методический аппарат модуля модели, обеспечивающего расчет показателя эффективности, ранее не рассматривался, а его построение является сложной, до конца не решенной, задачей и поэтому требует разработки и краткого описания. Этому будет посвящен следующий подраздел исследования.
Можно выделить четыре основных типа атак «Отказ в обслуживании» (DoS): насыщение полосы пропускания (bandwidth consumption); недостаток ресурсов (resource starvation); использование ошибки программирования (programming flaw); изменение параметров маршрутизации и DNS. При получении запроса на соединение, сервер выделяет часть ресурсов (процессорного времени, оперативной памяти и т.д). После обмена данными с сервером клиент, посылает сигнал о разрыве соединения, и сервер освобождает ресурсы, выделенные ранее этому соединению. Злоумышленник посылает огромное количество запросов на соединение, не посылая при этом сигналов о разрыве соединения. Сервер выделит все свои ресурсы для обработки фиктивных соединений, и для выполнения производственных и других процессов их ему может просто не хватить.
В ответе на запрос соединения содержится подтверждение, поэтому значения битов в нем равны: SYN=1, АСК=1. Бит FIN используется для разрыва соединения, он указывает, что у отправителя больше нет данных для передачи.
Разработанная модель состоит из двух частей - серверной, обозначенной на рисунке инициатором атаки, и клиентской, обозначенной бот 1, бот 2, ...бот п. Клиентская часть устанавливается на компьютерах обычных пользователей, которые могут и не подозревать о присутствии на своем компьютере такой программы. Получив от сервера атаки сигнал к атаке, информацию об атакуемой цели, клиенты начинают генерировать и посылать жертве запросы, с обработкой которых атакуемый узел не может справиться.
Успех экспериментального исследования эффективности автоматизации управления средствами защиты информационного обеспечения ИАСУП существенным образом зависит от правильного решения вопросов планирования имитационного эксперимен 104 та, обработки и последующего анализа и интерпретации результатов моделирования[75].
Эффективность машинных экспериментов с имитационными моделями систем S существенно зависит от выбора плана эксперимента, так как именно план определяет объем и порядок проведения вычислений, приемы накопления и статистической обработки результатов моделирования системы и в целом влияет на эффективность использования ресурсов компьютера при моделировании.
Эксперимент, в котором реализуются все возможные сочетания уровней факторов, называется полным факторным экспериментом (ПФЭ). Если выбранная модель планирования включает только линейные члены полинома и их произведения, то для оценки коэффициентов модели используется план эксперимента с варьированием всех к факторов на двух уровнях, т.е. q=2. Такие планы называются планами типа 2R, где N = 2 - число всех возможных испытаний.
Начальный этап планирования эксперимента для получения коэффициентов линейной модели основан на варьировании факторов на двух уровнях: нижнем х н и верхнем х в, симметрично расположенных относительно основного уровня хю, = .
Как показывает практика, СОВ не всегда адекватно реагируют на происходящие в системе события. Это обуславливается наличием ошибок первого и второго рода, которые заключаются в отсутствии срабатывания тревоги при наличии вторжения и в срабатывании сигнала тревоги при отсутствии вторжения соответственно. В случае возникновения ошибки первого рода СОВ не выдает предупреждающего сигнала во время вторжения, принимая текущее состояние системы за нормальное функционирование. В этом случае администратор безопасности не примет должных мер реагирования, нормальное функционирование ИАСУП будет нарушено, что неизбежно приведет к финансовым потерям предприятия. Во втором случае СОВ принимает нормальное поведение пользователей системы за аномальную активность и выдает предупреждающий сигнал администратору безопасности. Как правило, администратор блокирует подозрительное соединение, что приведет к тому, что сотрудник предприятия не сможет закончить текущей транзакции, что в свою очередь так же приведет к нарушению нормального функционированию ИАСУП.
Таким образом, пред началом эксплуатации любой СОВ, необходимо оценить вероятности появления ошибок первого и второго рода. Такой процесс оценки можно назвать частным случаем оценки рисков, что является составной частью процесса анализа рисков. Анализ рисков можно подразделить на два взаимно дополняющих друг друга вида: качественный и количественный. Хотя четкой методики количественного расчета величин рисков как не было, так и нет из-за отсутствия достаточного объема статистических данных о вероятности реализации той или иной угрозы, в данной работе предлагается воспользоваться именно количественной оценкой, так как только она позволяет численно определить размеры отдельных рисков и риска предприятия в целом.
В каждый конкретный момент времени система может находиться в одном из двух состояний: режиме нормального функционирования (отсутствия ИВ) - S0 или режиме ИВ на отдельные элементы ИАСУП Sl.
