МЕТОДИКА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЕТИ VOIP-ТЕЛЕФОНИИ В УСЛОВИЯХ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056

DOI: 10.24412/2071-6168-2022-2-426-435

МЕТОДИКА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЕТИ

VOIP-ТЕЛЕФОНИИ в условиях несанкционированного доступа

В.С. Косолапов

Актуальность решения задачи выбора методики связана с необходимостью оперативного управления информационной безопасностью сети VoIP-телефонии. Технологией анализа сетевого трафика является машинное обучение и, в частности, своевременное обнаружение и распознавание сетевых атак с применением искусственного интеллекта. Цель: повышение вероятности защищенности сети VoIP-телефонии путем уменьшения времени, необходимого для проведения анализа динамики действий нарушителя. Показатель: точность обнаружения и распознавания аномалий, учитывающих следующие характеристики: полнота и вероятность, а также временные затраты на обучение модели вторжений. Результаты: проведен сравнительный анализ методов обнаружения и распознавания вторжений. Предложен способ обнаружения и распознавания сетевых атак на основе гибридной системы классификации с последующей подготовкой предложений для принятия решений администратором информационной безопасности с применением искусственного интеллекта. Практическая значимость: полученные в исследовании результаты могут быть использованы для построения систем раннего обнаружения и прогнозирования вторжений.

Ключевые слова. Несанкционированный доступ, информационная безопасность, обнаружение аномалий, классификация, нечеткая когнитивная карта.

Введение. В настоящее время деятельность организации практически полностью зависит от стабильной работы информационных систем (ИС), включая и сети VoIP-телефонии. Увеличение количества, форм и способов вредоносных воздействий на сети VoIP-телефонии как государственных организаций, так и коммерческого сектора, отражаемое в отчетах различных компаний сферы информационной безопасности (ИБ) [1,2], стало катализатором совершенствования методов и средств защиты информации (СЗИ). В связи с этим возникла актуальная проблема совершенствования методов обнаружения аномалий в сетях VoIP-телефонии.

На сегодняшний день, имеется ряд проблемных вопросов в построении системы распознавания и обнаружения аномалий в сетях VoIP-телефонии, которые вызваны [3,4]:

- сложностью структуры информационных потоков в системе защиты;

- разнородностью СЗИ и автоматизации;

- необходимостью анализа большого количества событий и признаков аномалий.

Существующие решения имеют ряд недостатков, которые не позволяют с наибольшей

эффективностью обнаруживать вторжения в ИС [5]. Традиционные методы, используемые для обнаружения сетевых аномалий, становятся устаревшими и неэффективными перед лицом смены хакерских атак и методов их воздействий. В случае сетевой атаки, когда, например, базы данных системы IDS/IPS не были записаны, возможность идентифицировать и предупреждать о вторжении почти недоступна. Системы, функционирующие на основе сигнатурных методов, имеют серьезные ограничения [6]. По определению, такие системы используют уже известные сигнатуры отклонений (аномалий), по которым происходит идентификация угрозы. В связи с этим для любой новой аномалии требуется предварительное моделирование и создание соответствующей сигнатуры. Однако даже заполнение базы данных сигнатур не способно в полной мере обеспечить ИБ, поскольку существуют методы, позволяющие атакующим изменять сигнатуру атаки таким образом, чтобы она не попадала в категорию аномальных.

В [7] рассматривается подход к обеспечению ИБ с помощью технологии HoneyPot. В основе данного подхода лежит идея выделенного сервера с контейнерной виртуализацией для анализа атак. Представлены способы управления ИБ. Не рассмотрены вопросы повышения точности раннего распознавания вторжения.

В [8,9] рассматриваются вопросы повышения точности распознавания типа атаки за счёт применения ансамбля классификаторов. Представляется архитектура реактивной гибридной системы, основанной на объединении сетевой и хостовой систем обнаружения вторжений. Недостатком является отсутствие анализа подготовки и прогнозирования вторжений.

Исходя из анализа релевантных работ, актуальна задача нахождения более эффективного решения обнаружения аномалий. Такое решение должно повысить точность распознавания атак и обеспечивать возможность прогнозирования действий нарушителя.

Цель: повышение вероятности защищенности сети УоГР-телефонии путем уменьшения времени, необходимого для проведения анализа динамики действий нарушителя, анализа и обработки рисков.

Задачей исследования является разработка методики управления ИБ для сети УоГР-телефонии с прогнозированием воздействий на основе интеллектуальных технологий.

Показатель точности раннего обнаружения и распознавания вторжения в сети УоГР-телефонии учитывает следующие характеристики: полнота и вероятность, а также временные затраты на обучение модели подготовки и прогнозирования вторжений.

Решение. Управление ИБ сети УоГР-телефонии, осуществляется путем поддержания цикла управления ИБ, который можно представить следующей структурой (рис. 1), включающей в себя:

1. Принятие решений по устранению вторжений:

1.1 Восстановление безопасности;

1.2 Анализ рисков ИС;

1.3 Планирование СЗИ ИС;

2. Реализация мер по устранению вторжений:

2.1 Создание политики безопасности на основе требований и руководящих докумен-

тов;

2.2 Применение политики безопасности;

3. Распознавание вторжений:

3.1 Контроль и управление ИБ ИС;

3.2 Обнаружение вторжений в ИС.

Прияти по устр

Анализ рисков

Восстановление безопасности

Обнаружение вторжений

Планирование

Реализация мер по устранению вторжений

Создание политики безопасности

При отсутствии вторжеш

Контроль и Применение и

управление использование политики

Рис. 1. Цикл управления ИБ

В целях повышения оперативности выполнения действий цикла управления ИБ (рис. 3), в качестве решения предлагается структура методики управления ИБ сети УоГР-телефонии, представленная на рис. 2.

Методика представляет собой совокупность взаимосвязанных действий. Каждое действие решает конкретную задачу. Использование предложенной методики позволит достигнуть основную цель - повысить вероятность защищенности сети УоГР-телефонии в условиях несанкционированного доступа (НСД) путем обеспечения оперативности анализа и обработки рисков.

На основе структуры методики управления ИБ сети УоГР-телефонии предлагается обобщённый алгоритм, представленный на рис. 3.

Обобщённый алгоритм методики управления ИБ сети УоГР-телефонии состоит из следующих действий:

1) Ввод сети УоГР-телефонии в эксплуатацию.

Данное действие подразумевает, что сеть УоГР-телефонии уже спроектирована, создана и функционирует в штатном режиме.

2) Начало цикла управления ИБ сети УоГР-телефонии.

427

В методике используется цикл управления ИБ сети Уо1Р-телефонии. Для того, чтобы повышение ИБ было непрерывным, информация о состоянии защищённости сети Уо1Р-телефонии была актуальной, а в случае нештатной ситуации обеспечивалась незамедлительная реакция на появившиеся нарушения ИБ.

3) Инициализация процесса обеспечения ИБ сети Уо1Р-телефонии.

Проводится анализ сети Уо1Р-телефонии, СЗИ и актуальных угроз безопасности и формируются исходные данные для начала процесса управления.

4) Выявление уязвимостей сети Уо1Р-телефонии с использованием выделенного сервера (ВС) с контейнерной виртуализацией (КВ) с распознаванием новых видов НСД на основе обучения модели.

5) После действия 4 система распознает выявленную аномалию как уже имеющееся в базе данных (БД) отклонение от штатной работы сети Уо1Р-телефонии после чего действием 6 выявляет причины и описывает аномалию в виде массива, в случае если аномалия является новой, то записывает массив в БД классификации аномалий системы обнаружения вторжений (СОВ).

7) Параллельно с действиями 4-6 происходи выявление аномалий с помощью СОВ, где происходит анализ и описание аномалии, 8) классификация аномалии и распознавание ее как отклонение в работе сети Уо1Р-телефонии, после производится коррекция ошибки действием 11, либо аномалия классифицируется как НСД.

9) После классификации аномалии как НСД производится расчет вероятности НСД

(Рнсд) [10].

К

Я В <и V В

в

я &

-

о

Рис. 2. Структурная схема методики управления ИБ сети УвТР-телефонии

На основе полученных данных проводится анализ динамики действий нарушителя в сети Уо1Р-телефонии с учётом рисков ИБ в условиях НСД. Если вероятность ИБ сети Уо1Р-телефонии удовлетворяет требованиям, то процесс возвращается к инициализации, иначе переходит к реализации следующих действий.

10) Подготовка предложений для принятия решений администратором ИБ сети Уо1Р-телефонии с применением нечеткой когнитивной карты (НКК).

11) Формирование рационального комплекса защитных мер в сети Уо1Р-телефонии в условиях НСД.

Действия с 3 по 12 составляют полный цикл управления ИБ сети Уо1Р-телефонии, после чего производится оценка вероятности ИБ. После вывода сети Уо1Р-телефонии из эксплуатации цикл тоже прекращается.

Каждое из перечисленных взаимосвязанных действий является комплексным. Их возможно декомпозировать на отдельные конкретные простые действия.

( Начало )

Ввод сети VoIP-телефонии в

■эксплуатацию

Выявление уязвимостей сети VoIP-телефонии с использованием выделенного сервера. В данной методике, с целью выявления уязвимостей сети Уо1Р-телефонии и пополнения БД угрозами НСД за счет анализа поведения противника в ложной инфраструктуре сети Уо1Р-телефонии, разработан алгоритм выявление уязвимостей сети Уо1Р-телефонии с использованием ВС и пополнения БД угроз (рис. 4) [7]. Он позволяет реализовать наблюдение, выделение признаков атаки в пакетах сообщений, поступающих в сеть Уо1Р-телефонии, и распознавать вторжения с выбором реализации способа защиты.

с пополнением БД новыми угрозами ИБ

При получении пакетов сообщений от нелегитимных пользователей (НП), не определяющиеся как угроза ИБ, а также в целях пополнения БД известных угроз, администратор ИБ сети VoIP-телефонии формирует массивы, имитирующие ресурсы сети VoIP-телефонии [7]. На ВС формируются виртуальные контейнеры на основе данных о сети VoIP-телефонии и запускаются в работу в режиме функционирования сети VoIP-телефонии. Далее на ВС принимают пакеты сообщений от НП. НП, работая с ВС, предполагает, что он находится в реальной сети VoIP-телефонии, и проводит действия, влияющие на нарушение ИБ. Действия НП регистрируются. В случае успешной реализации угроз ИБ, данные по действиям НП регистрируются и записываются в массив, в случае, если действия НП не совпадают с действиями из БД известных угроз, то массив последовательности действий записывается как новая угроза ИБ, тем самым пополняя БД. Далее проводится анализ, на основе которого принимается решение по изменению настроек СЗИ сети VoIP-телефонии.

Распознавание вторжений. В целях распознавания вторжений и принятие решений по устранению вторжений, что повысит оперативность управления ИБ, предложен подход, который основан на использовании гибридной системы, сочетающей в себе систему обнаружения вторжений, систему защиты конечного узла и ансамбля классификаторов [11]. В качестве клас-

сификаторов применены деревья решений, метод ^-ближайших соседей и наивный байесовский классификатор, что обусловлено невысокой сложностью их обучения, неплохой точностью классификации и относительной простотой реализации.

Классической классификацией методов обнаружения сетевых атак является интерпретация по входным данным, а именно разделение на методы обнаружения злоупотреблений и методы обнаружения аномалий. В первом случае подразумевается обнаружение определенной известной сигнатуры путем мониторинга сетевого трафика. Второй случай подразумевает моделирование нормального поведения сети, и отклонения от этой модели считаются аномальными.

Способ выявления сетевых аномалий на основе ансамбля классификаторов можно описать следующим образом (рис. 5). Данными для анализа является сетевой трафик, а также информация, поступающая от телекоммуникационного оборудования, средств защиты информации и пользовательского оборудования, представленными как набор сетевых пакетов, в общем случае фрагментированных на уровне 1Р. Собранные сырые данные в дальнейшем послужат источником при формировании необходимой информации для последующего анализа. Далее производится нормализация данных за определенный период времени. Созданный набор данных рассматривается на предмет выявления отклонений поступающий к администратору ИБ, где принимаются решения используя способ с применением интеллектуальных систем [12].

на основе ансамбля классификаторов

Для решения задач защиты и мониторинга сети Уо1Р-телефонии необходимо не только обнаруживать и блокировать действия нарушителей, но также и анализировать НСД и отвлекать нарушителей от информационных систем, путем заманивая нарушителей на ложные информационные системы и производить сбор информации о тактике нарушителей, осуществлять идентификацию и разоблачение [7,13].

Для принятия решений по обеспечению ИБ сети Уо1Р-телефонии предлагается использовать способ, с применением нечеткой когнитивной карты (НКК), представленной на рис. 6. Она представляет собой направленный и ориентированный граф, в котором ключевые факторы объекта представлены как вершины графа и называются концептами. Данный граф возможно описать совокупностью (Су, Зу, где Су - концепты, Зу - дуги графа, Шу - множество весовых коэффициентов, описывающих дуги графа на рисунке.

Группа концептов С21 и С22 описывает угрозы, существующие в сети Уо1Р-телефонии. А группа концептов С31 по С33 описывает уязвимости, приводящие к реализации угроз. Например, наличие следующих обстоятельств: отсутствие резервирования телекоммуникационного оборудования; не правильные настройки сетевого оборудования, такие как обработка узлами ЕеНо-запросов, направленных на широковещательный адрес.

Группа концептов с С41 по С43 описывает средства защиты направленные на предотвращение реализации угроз. Например - средства защиты от НСД, межсетевые экраны, антивирусную защиту. Объектами защиты являются ресурсы сети Уо1Р-телефонии.

Ресурсы сети Уо1Р-телефонии представлены концептами с С51 по С53 описывающими объекты сети, обеспечивающие процессы, циркулирующие в сети Уо1Р-телефонии и концептами С61 по С64, представляющими собой ресурсы сети Уо1Р-телефонии, не являющиеся информационными, но зависящими от них.

(С^" -«11-21Г11

'«12-21^12-21' «13-21^13-21

События

'«41-51'

'«5,-6, Г51 ■51-62 ^51

I

'«52-61 ' ,1

«52-63 '52-63'

I

«53-63 '53-63

'«43-53^43-5- -¡(СУС

41-51 41-51

"«42-52^42-52 .«43-52^43-52"

'«33-53 ^33-53

—«61 -71 ^61-71" ■«62-71 ^62-71"

^■^-«53-64^53.64"

''61-7

«53-72 '63-72 73 '62-73-74'63-

31^71 -81

г©

63-72

«72-83' 72-83 ^^

"К^Т^--«73-83'73-8^_ "♦(^83)

---->^7^ «74-84 '74-Ё4

_) «t4.74W,4.74-^^—У V_

Ресурсы

Последствия

Результата: оценки рисков безопасности

Рис. 6. Когнитивная карта повышения качественной составляющей принятия решений

повышения ИБ сети Ув1Р-телефонии

Группа концептов С71 по С74 отображает негативные варианты последствий реализации угроз и воздействия на ресурсы. Реализация вторжений - отказ в обслуживании; аварийное отключение телекоммуникационного устройства; реализация атаки тап-т-т!ёЛе.

Группа концептов с Св1 по С«4 описывает необходимые варианты формирования рационального комплекса защитных мер ИБ сети Уо1Р-телефонии.

При этом все концепты, описанные выше, представляют собой лингвистические переменные факторов ситуации с описанными шкалами соответствующих им нечетких переменных. Прогнозирование осуществляется путем макстриангулярной композиции матрицы весов и вектора начальных приращений признаков.

Применение данного способа повысит оперативность принятия решения по устранению нарушений ИБ администратором ИБ.

При использовании методики управления ИБ сети Уо1Р-телефонии, нарушитель на первом этапе НСД осуществляет анализ состава сети Уо1Р-телефонии и содержащихся в ней уязвимостей за время Хр. При этом, система управления ИБ сети Уо1Р-телефонии осуществляет анализ и сбор информации о действиях нарушителя и до начала НСД, предоставляет сведения администратору ИБ, позволяющие нивелировать действия нарушителя за время Хрз. При этом, прогноз осуществляется за время Хпрог, представляющий собой горизонт прогнозирования. При достижении точности прогнозирования, с применением указанной методики, НСД становится невозможным. Поскольку 100% точности прогноза в некоторых случаях достичь невозможно, необходимо произвести оценку вероятности ИБ сети Уо1Р-телефонии.

Процесс реализации НСД во времени можно рассмотреть как случайное событие, имеющее плотность распределения ^нсд(Х), при этом, меры по предотвращению НСД в данном случае возможно представить как случайный процесс с плотностью распределения ^з(Х), тогда, вероятность ИБ сети Уо1Р-телефонии с учетом [14] можно представить как:

Т ( т \

Риб(Т ) = { *з(г) 1 -{ ^(х )йх

(1)

У

ИБ V- / I з\ /I I нсд *

0 V 0

Предположив, что потоки рассматриваемых случайных событий имеют экспоненциальное распределение, зададим интенсивность:

^нсд

1

Д„ =

1

(2)

X X

нсд рз

Тогда, вероятность ИБ с учетом, что плотность распределения вероятности величины характеризующей действия защиты м>з=д(Х-Тз), примет вид:

' X • X ^

РИБ(Т) = еХР

рз

X,

(3)

нсд У

Предполагаемо время 4ащ при использование стандартных средств защиты 2,5 ч., при ¿нсд - 5 ч., при использовании предложенной методики, время 4ащ уменьшается до 15 мин. При этом, уменьшение времени tV3 приводит к увеличению РИБ.

Заключение. В рамках данной работы проведено исследование существующих решений в области обнаружения вторжений в сетях VoIP-телефонии. Рассмотрены методы выявления уязвимостей с возможностью обучения моделей угроз, пополняя БД угроз. Описано решение обнаружения и классификации сетевых атак на основе системы контроля, предложено применение интеллектуальных систем, таких как НКК, для принятия решений по устранению вторжений.

Положительный эффект заключается в полученных результатах оценки оперативности обеспечения ИБ сети VoIP-телефонии, которые позволяют говорить о том, что в отличие от существующих способов совокупность разработанных предложений обеспечивают требования по защищённости.

Список литературы

1. Кеммерер Р., Виджна Д. Обнаружение вторжений: краткая история и обзор // Открытые системы. СУБД. 2002. № 07-08. [Электронный ресурс]. URL: https://www.osp.ru/os/2002/07-08/181714 (дата обращения 21.09.2020).

2. Браницкий А.А., Котенко И.В. Обнаружение аномальных сетевых соединений на основе гибридизации методов вычислительного интеллекта // Труды СПИИРАН. 2018. 305 с.

3. Липатников В.А., Тихонов В.А. Распознавание вторжений нарушителя при управлении кибербезопасностью инфраструктуры интегрированной организации на основе нейро-нечетких сетей и когнитивного моделирования // Актуальные проблемы инфотелекоммуника-ций в науке и образовании (АПИНО 2019), VIII Международная научно-техническая и научно-методическая конференция, 2019. С.659-664.

4. Косолапов В.С., Липатников В.А., Шевченко А.А. Способ проактивного управления информационной безопасности информационно-вычислительной сети специального назначения // Состояние и перспективы развития современной науки по направлению «Информационная безопасность». Сборник статей II Всероссийской научно-технической конференции, Анапа, 2020. С. 42-54.

5. Ле К.М., Фан Х.А., Нгуен А.Ч., Нгуен Ч.Т. Интегрированная IDS/IPS модель между открытым источником с улучшением машинного обучения // Результаты прикладных и поисковых научных исследований в сфере естествознания и технологий: сборник научных трудов по материалам Международной научно-практической конференции 27 декабря 2019. Белгород: ООО Агентство перспективных научных исследований (АПНИ), 2019. С. 81-87.

6. Aliguliyev R.M., Imamverdiyev Y.N., Hajirahimova M.S. Multidisciplinary problems of big data in information security // Proc. of the II International scientific and practical conference Information Security and Computer Technologies (InfoSec&CompTech). 2017. P. 10-11.

7. Липатников В.А, Шевченко А.А., Яцкин А.Д., Семенова Е.Г. Управление информационной безопасностью организации интегрированной структуры на основе выделенного сервера с контейнерной виртуализацией // Информационно-управляющие системы, 2017, № 4. С. 67-76. D0I:10.15217/issn1684-8853.2017.4.67.

8. Новоселова Н.А., Том И.Э. Подход к построению ансамбля классификаторов с использованием генетического алгоритма // Искусственный интеллект. 2009. №3. [Электронный ресурс] URL: http://dspace.nbuv.gov.ua/bitstream/handle/123456789/8021/09-Novoselova.pdf?sequence=1 (дата обращения: 26.09.2020).

9. Pham N.T., Foo E., Suriadi S., Jeffrey H., Lahza H.F. M. Improving performance of intrusion detection system using ensemble methods and feature selection // Proceedings of the Australasian Computer Science Week Multiconference, 2018. P. 1-6.

10.Липатников В.А., Косолапов В.С., Сокол Д.С. Метод обеспечения информационной безопасности сети VoIP-телефонии с прогнозом стратегии вторжений нарушителя // Состояние и перспективы развития современной науки по направлению «Информационная безопасность»: Сборник статей III Всероссийской научно-технической конференции, Анапа, 21-22 апреля 2021 года. Анапа: Федеральное государственное автономное учреждение "Военный инновационный технополис "ЭРА", 2021. С. 82-95.

11.Ahmad Z., Khan A.S., Shiang C.W., Abdullah J., Ahmad F. Network intrusion detection system: A systematic study of machine learning and deep learning approaches // Transactions on Emerging Telecommunications Technologies - 2020.

12.Костарев С.В., Карганов В.В., Липатников В.А., Технологии защиты информации в условиях кибернетического противоборства: Науч. монография / Под общ. ред. В. А. Липатни-кова. СПб.: ВАС, 2020. 716 с.

13.Липатников В.А., Колмыков Д.В., Косолапов В.С. Способ управления информационной безопасностью информационно-вычислительной сети при вторжениях типа распределенного отказа в обслуживании. В сборнике: Состояние и перспективы развития современной науки по направлению «Информационная безопасность». Сборник статей III Всероссийской научно-технической конференции. Анапа, 2021. С. 643-654.

14.Дементьев В.О., Карганов В.В., Липатников В.А. Вероятностно-временная модель нарушителя при обеспечении информационной безопасности информационно-вычислительной сети // Вопросы оборонной техники. Сер. 16: Технические средства противодействия терроризму. 2017. № 9-10 (111-112). С.3-7.

Косолапов Владислав Сергеевич, адъюнкт, kvs_mil@mail. ru, Россия, Санкт-Петербург, Военной академии связи имени Маршала Советского Союза С.М. Буденного

METHODOLOGY FOR ENSURING INFORMATION SECURITY OF THE VOIP-TELEPHONY NETWORK IN CONDITIONS OF UNAUTHORIZED ACCESS

V.S. Kosolapov

The relevance of solving the problem of choosing a methodology is associated with the need for operational management of the information security of the VoIP telephony network. The technology for analyzing network traffic is machine learning and, in particular, the timely detection and recognition of network attacks using artificial intelligence. Purpose: to increase the probability of security of the VoIP-telephony network by reducing the time required to analyze the dynamics of the intruder's actions. Indicator: the accuracy of detection and recognition of anomalies, taking into account the following characteristics: completeness and probability, as well as the time spent on training the intrusion model. Results: a comparative analysis of intrusion detection and recognition methods was carried out. A method for detecting and recognizing network attacks based on a hybrid classification system with subsequent preparation of proposals for decision-making by an information security administrator using artificial intelligence is proposed. Practical significance: the results obtained in the study can be used to build systems for early detection and prediction of intrusions.

Key words. Unauthorized access, information security, anomaly detection, classification, fuzzy cognitive map.

Kosolapov Vladislav Sergeevich, adjunct, kvs_mil@mail.ru, Russia, St. Petersburg, Military Academy of Communications named after Marshal of the Soviet Union S.M. Budyonny