CC BY
35i-methods
ВОЕННЫЕ НАУКИ
том 11. № 4. 2019 http://intech-spb.com/i-methods/
Комплекс информационного обеспечения оценки защищенности узлов связи от разнородных компьютерных атак
Гречишников Евгений Владимирович,
д.т.н., профессор, сотрудник Академии Федеральной службы охраны Российской Федерации, г. Орёл, Россия, poligraf-poligrafof@rambler.ru
Добрышин Михаил Михайлович,
к.т.н., сотрудник Академии Федеральной службы охраны Российской Федерации, г. Орёл, Россия, dobrithin@ya.ru
Гуцын Руслан Викторович,
сотрудник Академии Федеральной службы охраны Российской Федерации, г. Орёл, Россия, dobrithin@ya.ru
АННОТАЦИЯ_________________________________________________________
Формирование единых систем управления, в организациях имеющих филиалы, распределенные по территории России и за ее приделами, требует применение достаточно разветвленных и протяженных систем связи, обладающих высокой надежностью и многократно резервируемой. В настоящее время указанным требованиям к транспортной сети связи обладают только ресурсы сети Интернет, вследствие чего злоумышленники способны осуществлять различные информационно-технические воздействия. Статистические данные показывают увеличение количества сетевых компьютерных атак на компьютерные сети, что требует от должностных лиц своевременной оценки наносимого ущерба и принятия мер по его минимизации. Разработанный комплекс позволяет на основе статистических данных осуществлять прогнозирование способности узла функционировать в условиях различных компьютерных атак, а так же оценивать способность предоставлять абонентам услуги связи.
КЛЮЧЕВЫЕ СЛОВА: компьютерная атаки; прогнозирование и оценка ущерба; узел связи; мировое информационное пространство.
Развитие сетей связи (СС) и интеграция их в мировое информационное пространство способствует активному развитию различных компьютерных атак. Убытки, наносимые сегменту RuNet различными компьютерными атаками на протяжении последних лет постоянно увеличивается [1-4]. Одной из причин роста убытков от компьютерных атак, является то, что существующие подходы оценки защищенности узлов связи [5-9] оценивают ущерб от одиночных компьютерных атак, однако анализ инцидентов информационной безопасности показывает, что современные компьютерные атаки это комплекс проводимых последовательно-параллельных нескольких компьютерных атак [10-11].
В виду указанных недостатков в существующем научно-методическом аппарате системы обнаружения, предупреждения и противодействия компьютерным атакам (СОПКА) так же недостаточно эффективны. Функционирующие в настоящее время СОПКА лишь фиксируют факты ведения компьютерных атак (КА), а противодействие осуществляется только после того как атака фактически достигла своей цели (т.е. ЭВМ локальной сети заражены вредоносным программным обеспечением, произошло хищение или искажение защищаемой информации, осуществлено блокирование доступа к информационному ресурсу).
Для повышения защищенности узлов связи от компьютерных атак, предлагается комплекс информационного обеспечения, состоящий из набора программных продуктов и способа [11]. Функциональная схема разработанного комплекса показана на рисунке.
Сущность разработанного комплекса информационного обеспечения заключается в следующей последовательности действий:
Блоки 1 и 2 штатные средства обнаружения компьютерных атак и оценки качества сетевого соединения (например, СОА «Периметр» и АПК «WiSla»).
С выходов блоков 1 и 2 на вход блока 3 поступают значения, характеризующие сетевое соединение (вероятность ошибки, количество неправильно принятых сообщений, задержка передачи пакетов, загрузка процессора и д.р.), а так же значения сетевого трафика, применяемые при идентификации фактов ведения компьютерных атак (количество пакетов одного типа принятых в единицу времени, количество пакетов принятых в единицу времени, количество IP-адресов обращающихся к ресурсу в единицу времени и др.).
В блоке 3 осуществляется преобразование полученных исходных данных в вид необходимый для работы группы программ для ЭВМ, которые находятся в блоке 4.
Группа программ для ЭВМ (блок 4) является набором средств моделирования и прогнозирования возможного влияния различных компьютерных атак на узел связи с учетом
Функциональная схема комплекса информационного обеспечения по оценке ущерба наносимого компьютерными атаками
влияния различных компьютерных атак на семи уровневой модели ЭМВОС. В представленном решении прогнозируют возможное влияние следующих компьютерных атак: сетевая и потоковая компьютерные разведки; DDoS-атака; «Человек посередине»; «Фишинговая атака» [12]. На выходе данного формируются вероятности вскрытия, подавления, разрыва соединения, проникновения в защищаемую систему и хищения защищаемой информации.
Данные вероятности используются в блоках 5 и 6 как исходные данные для определения времени вскрытия, подавления, разрыва соединения, проникновения и хищения.
Совокупная вероятность подавления узла связи (вне зависимости от преследуемых целей) на ^-х уровнях ЭМВОС (Рроа1 ДО) рассчитывается согласно выражения [12]:
рРо^ к (о=1 -П с1 -* (0), (1)
*=1
где N — номер уровня ЭМВОС, относительно которого производится расчет; Р1гуг1 ($ — совокупная вероятность подавления УзКСС на 5-м уровне ЭМВОС, рассчитывается согласно выражения:
пит
Рее(0 = 1 -П0 -Р«) , (2)
где пит — количество КА, используемых на 1в\в1-том уровне ЭМВОС; Р.(0 — вероятность осуществления 7-й КА (рассчитывается в соответствии с известными, на данный момент, моделями проведения КА).
Вероятность достижения цели реализуемой стратегии применения КА Р^^Орассчи-тывается согласно выражения:
Раоль( )
(1 - п (1 -т) шр°т, если Ри < Ррит
о , (3)
0, если Ри > Ркр
крит
где num_OSN — количество основных КА в реализуемой стратегии, Ро(0 — вероятность осуществления о-й основной КА (рассчитывается в соответствии с известными, на данный момент, моделями проведения КА), К — коэффициент загруженности системы защиты УзКСС вспомогательными КА, рассчитываемый согласно выражения:
пит VSPOM
^рот(0 = 1 - П 0 - ВД)' (4)
где num_VSPOM — количество вспомогательных КА в реализуемой стратегии, Ри(0 — вероятность осуществления у-й вспомогательной КА (рассчитывается в соответствии с известными, на данный момент, моделями проведения КА).
В блоке 5 осуществляется оценка ущерба от единичных компьютерных атак, проводимых на узел связи. На выходе блока 5 формируется отчет отражающий время идентификации, подавления, разрыва соединения, проникновения и хищения информации:
, _ 1П(1 - Рдент) • Т идент
идент „ „ ' (5)
К1 • К 2
где Рвдент — значение вероятности идентификации, при котором система компьютерной разведки принимает решение о идентификации узла связи, К1 — коэффициент идентификации злоумышленником узла связи, К2 — коэффициент перекрытия каналов связи средствами ведения потоковой компьютерной разведки, Т идент минимальное время необходимое злоумышленнику для идентификации злоумышленником узла связи.
, _- 1п(1 - Рподавд) • Т атак
" _ ' (6)
подавд
К3 • К4
где Рподавл — значение вероятности подавления узла связи при котором происходят разрывы соединений, сбои сетевого или коммутационного или оконечного оборудования, К3 — коэф -фициент мощности атаки, К4 — коэффициент быстродействия системы защиты, Т атак среднее статистическое значение времени проведение атаки исследуемого типа.
В блоке 6 оценка ущерба от групповых компьютерных атак, проводимых на узел связи. На выходе блока 6 формируется отчет отражающий время вскрытия, подавления, разрыва соединения, проникновения и хищения информации при применении 7-й стратегии атаки (на основании проведенных аналитических и практических работ выявлено, что совместное применение нескольких компьютерных атак способно усиливать (маскировать) одну из применяемых атак).
В блоке 7 на основании полученных значений из блоков 5 и 6, времени активации имеющихся средств и способов противодействия компьютерным атакам, а так же их ослабляющей способности выбирают стратегию защиты [13].
В блоке 8 на основании получаемых численных значений о состоянии узла сети связи, сетевом соединении, работоспособности сетевых ресурсов принимается решение о правильности используемой стратегии защиты. Если на основании мониторинга определенно, что выбранная стратегия защиты не эффективна, принимается решение на активацию другой (следующей) из имеющихся стратегий защиты.
Таким образом, разработанный комплекс информационного обеспечения позволяет на основании спрогнозированных значений ущерба от выявленных компьютерных атак заблаговременно и обоснованно активировать группу способов и средств противодействия воздействию. На основании проведенной оценки эффективности, разработанное предложение позволяет повысить защищенность узла от компьютерных атак на 11-19% (в зависимости от вида атаки).
Сформулированный комплекс после его реализации предлагается устанавливать на всех узлах связи корпоративных сетей интегрированных в мировое информационное про-
странство. В настоящее время элементы комплекса реализованы в виде двух патентов РФ на изобретения [13].
Литература
1. Медведев рассказал о гигантском ущербе России от кибератак // Московский комсомолец. 2018. URL: https://www.mk.ru/economics/2018/10/16/medvedev-rasskazal-o-gigantskom-ushherbe-rossii-ot-kiberatak.html (дата обращения 25.11.2019).
2. Кибербезопасность — 2018-2019: итоги и прогнозы // Positive technologies. 2018. URL: http://www/ptsecurity.com/ru-ru/research/analytics/cybersecurity-2018-2019/ (дата обращения 25.11.2019).
3. Актуальные киберугрозы. II квартал 2018 года // Positive technologies. 2019. URL: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2018-q4/ (дата обращения 25.11.2019).
4. Атаки на банки // Positive technologies. 2018. URL: http://www/ptsecurity.com/ru-ru/ research/analytics/cybersecurity-2018-2019/ (дата обращения 25.11.2019).
5. Попов С. И., Рослов С. Ю. Способ оценки информационной безопасности автоматизированных систем управления специального назначения // Вестник Воронежского государственного технического университета. 2009. Т. 5. № 5. С. 161-165.
6. Еремеев М. А., Аллакин В. В., Будко Н. П. Модель наступления критического события информационной безопасности в информационно-коммуникационной системе // Наукоемкие технологии в космических исследованиях Земли. 2017. Т. 9. № 6. С. 52-60.
7. Стародубцев Ю. И., Бречко А. А. Моделирование сетей связи, функционирующих в условиях деструктивных программных воздействий // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. 2019. № 1-2 (127-128). С. 21-28.
8. Коцыняк М. А., Лаута О. С., Иванов Д. А., Лукина О. М. Модель воздействия таргети-рованной кибернетической атаки на информационно-телекоммуникационную сеть // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. 2019. № 3-4 (129-130). С. 58-65.
9. Коцыняк М. А., Лаута О. С., Нечепуренко А. П. Модель системы воздействия на информационно-телекоммуникационную систему специального назначения в условиях информационного противоборства // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. 2019. № 3-4 (129-130). С. 40-44.
10. Хазов В. Этапы проведения кибератак // VAS Experts. 2017. URL: https://vasexperts. ru/blog/etapy-provedeniya-kiberatak/ (дата обращения 25.11.2019).
11. Патент РФ 2648508. Способ оценки способности узла компьютерной сети функционировать в условиях информационно-технических воздействий / Добрышин М. М., Гречишников Е. В., Закалкин П. В., Белов А. С., Горелик С. П., Скубьев А. В. Заявл. 26.12.2016. Опубл. 26.03.2018. Бюл. № 9. 33 c.
12. Добрышин М. М., Гуцын Р. В. Модель разнородных групповых компьютерных атак проводимых одновременно на различные уровни ЭМВОС узла компьютерной сети связи // Известия Тульского государственного университета. Технические науки. 2019. № 10. С.371-384.
13. Патент РФ 2682108. Способ использования вариантов противодействия сетевой и потоковой компьютерных разведок и сетевым атакам и система его реализующая / Добрышин М. М., Гречишников Е. В., Климов С. М., Реформат А. Н., Чукляев И. И. Заявл. 13.02.2018. Опубл. 14.03.2019. Бюл. № 8. 36 с.
COMPLEX OF INFORMATION SUPPORT ASSESSMENT OF SECURITY OF COMMUNICATION NODES FROM HETEROGENEOUS COMPUTER ATTACKS
EVGENY V. GRECHISHNIKOV,
Orel, Russia poligraf-poligrafof@rambler.ru
MIKHAIL M. DOBRYSHIN,
Orel, Russia, dobrithin@ya.ru
RUSLAN V. GUTSYN,
Orel, Russia, dobrithin@ya.ru
PhD, Professor, Employee of the Russian Federation Security guard Service Federal Academy;
PhD, Employee of the Russian Federation Security guard Service Federal Academy,;
Employee of the Russian Federation Security guard Service Federal Academy,
ABSTRACT
The formation of unified management systems in organizations with branches distributed throughout Russia and beyond its chapels requires the use of sufficiently branched and extended communication systems with high reliability and repeatedly redundant. Currently, the specified requirements for the transport communication network have only the resources of the Internet, so that the attackers are able to carry out various information and technical effects. Statistics show an increase in the number of network computer attacks on computer networks, which requires officials to timely assess the damage and take measures to minimize it. The developed complex allows on the basis of statistical data to predict the ability of the node to function in conditions of various computer attacks, as well as to assess the ability to provide subscribers with communication services.
Keywords: computer network; forecasting and assessment of damage; communication node; world information space. REFERENCES
1. Medvedev rasskazal o gigantskom ushcherbe Rossii ot kiberatak [Medvedev spoke about the huge damage to Russia from cyber attacks]. Moskovskij Komsomolets. 2018. URL: https://www.mk.ru/economics/2018/10/16/medvedev-rasskazal-o-gigantskom-ushherbe-rossii-ot-kiberatak.html (date of access 25.11.2019). (In Russian)
2. Kiberbezopasnost' - 2018-2019: itogi i prognozy [Cybersecurity-2018-2019: results and forecasts]. Positive technologies. 2018. URL: http://www/ptsecurity.com/ru-ru/research/analytics/cybersecurity-2018-2019/ (date of access 25.11.2019). (In Russian)
3. Aktual'nye kiberugrozy. II kvartal 2018 goda [Current cyber threats. The second quarter of 2018]. Positive technologies. 2019. URL: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2018-q4/ (date of access 25.11.2019). (In Russian)
4. Ataki na banki [Attacks on banks]. Positive technologies. 2018. 17 p. URL: https://www.ptsecurity.com/upload/corpo-rate/ru-ru/analytics/Banks-attacks-2018-rus.pdf (date of access 25.11.2019). (In Russian)
5. Popov S. I., Roslov S. U. Way of the estimation of information safety of the automated control systems of special assignment. Vestnik Voronezhskogo gosudarstvennogo tekhnicheskogo universiteta [Bulletin of Voronezh state technical University]. 2009. Vol. 5. No. 5. Pp. 161-165. (In Russian)
6. Yeremeyev M. A., Allakin V. V., Budko N. P. Model of onset of the critical event of information security in information communication system. H&ESResearch. 2017. Vol. 9. No. 6 Pp. 52-60. (In Russian)
7. Starodubtsev Yu. I., Brechko A. A. Simulation of networks and its operating with cyber-attacks conditions. Military Enginery. Counter-terrorism technical devices. Issue 16. 2019. No. 1-2 (127-128). Pp. 21-28. (In Russian)
8. Kotsynyak M. A., Lauta O. S., Ivanov D. A., Lukina O. M. Model of the impact of targeted cyber attacks on information and telecommunications network. Military Enginery. Counter-terrorism technical devices. Issue 16. 2019. No. 3-4 (129-130). Pp. 58-65. (In Russian)
9. Kotsynyak M. A., Lauta O. S., Nechepurenko A. P. The model of information and telecommunication impact system of special appointment in conditions of informational confrontation. Military Enginery. Counter-terrorism technical devices. Issue 16. 2019. No. 3-4 (129-130). Pp. 40-44. (In Russian)
10. Hazov V. Etapy provedeniya kiberatak [Stages of cyber attacks]. V4S Experts. 2017. URL: https://vasexperts.ru/blog/ etapy-provedeniya-kiberatak/. (date of access 25.11.2019). (In Russian)
11. Patent RF № 2648508. Method for evaluating the ability of a computer network node to operate under conditions of information and technical impact. Dobryshin M. M., Grechishnikov E. V., Zakalkin P. V. Declared 26.12.2016. Published 26.03.2018. Bulletin No. 9. 33 p. (In Russian)
12. Dobryshin M. M., Gutsyn R.V Model of heterogeneous group computer attacks led simultaneously on various levels ЭМВОС of the node of the computer network of communication. Izvestiya Tula State University. Technical sciences. 2019. No. 10. Pp. 371-384. (In Russian)
13. Patent RF № 2682108. Method of using options of countermeasure of networkand stream computer intelligence and network attacks and system therefor. Grechishnikov E. V., Dobryshin M. M., Klimov S. M., Chuklyaev I. I. Declared 13.02.2018. Published 14.03.2019. Bulletin No. 8. 36 p. (In Russian)
