Currently, increasing the level of security at protected sites is achieved through the commissioning of new promising means. A striking representative of this is the biometric identification system, the principle of which is implemented using a software and hardware complex based on neural networks.
Key words: protected object, algorithm, biometric identification, neural network.
Kostin Sergey Viktorovich, candidate of technical sciences, employee, techsyst@academ. msk. rsnet. ru, Russia, Orel, Academy of Federal Security Service of Russia,
Sotnikov Alexander Alexandrovich, employee, techsyst@academ.msk.rsnet.ru, Russia, Orel, Academy of Federal Security Service of Russia,
Mishin Dmitry Stanislavovich, candidate of legal sciences, employee, mishindsamail. ru, Russia, Orel, Orel Law Institute of the Ministry of Internal Affairs of Russia named after V. V. Lukyanova
УДК 004.942
МЕТОДИКА ОПРЕДЕЛЕНИЯ НЕОБХОДИМОГО КОЛИЧЕСТВА АРЕНДУЕМЫХ ЦИФРОВЫХ ПОТОКОВ ДЛЯ ЗАЩИТЫ ОТ ИНФОРМАЦИОННО-ТЕХНИЧЕСКИХ ВОЗДЕЙСТВИЙ
М.М. Добрышин, Д.Е. Шугуров, А.Д. Локтионов
Совершенствование средств и способов ведения информационно-технических воздействий способствует существенному росту финансовых и репетиционных убытков для компаний, активно использующих информационные ресурсы. С целью снижения ущерба и повышения защищенности от указанных угроз разработана методика, позволяющая оценить способность злоумышленника своевременно идентифицировать узел и воздействовать на него. На основании проведенного анализа должностные лица, отвечающие за эксплуатацию и информационную безопасность, способны определить минимально допустимое количество арендуемых цифровых потоков.
Ключевые слова: компьютерная разведка, ББо8-атака, защищенность, реконфигурация.
Развитие цифровой экономики требуют от коммерческих компаний все большее применение компьютерных сетей связи. Компании, имеющие несколько филиалов или отделений, для организации связи требуется либо использование собственных линий связи, либо аренда цифровых потоков или услуг связи у провайдеров. Ввиду существенных затрат на построение и поддержание в работоспособном состоянии собственных линий связи большинство компаний отдают предпочтение арендуемым услугам связи.
Вместе с переходом экономической деятельности в цифровое пространство, туда же перешли и злоумышленники, применяющие широкий перечень средств информационно-технических воздействий, в том числе и ББо8-атаки. Целью применение данных атак является блокирование передачи информации, для дальнейшего получения «выкупа» за прекращения атаки [1-3].
В настоящее время для защиты от ББо8-атак на рынке защиты информации имеется широкий перечень программных и аппаратно-программных решений [4-6], однако наиболее действенным способом защиты является применение нескольких информационных потоков. Данный способ позволяет перенаправлять информационные потоки между арендуемыми цифровыми потоками и приводит к экономической неэффективности применения ББо8-атак [7].
Известные решения позволяют определить критерии и порядок реконфигурации сети [7-9], однако они не отвечают на вопрос, о необходимом количестве арендуемых цифровых потоков. Так при излишнем количестве цифровых потоков, необоснованно возрастают убытки, а при недостаточном количестве возрастает ущерб. В связи с чем, возникла актуальная практическая задача по обоснованию количества арендуемых цифровых потоков.
Указанная задача решается в разработанной методике, позволяющей оценить способность злоумышленника своевременно идентифицировать узел компьютерной сети и осуществить отказ в обслуживании в течение заданного времени [10]. На основании проведенной оценки делается вывод о необходимости изменения количества арендуемых цифровых потоков.
Представляемая методика заключается в выполнении следующей последовательности действий (рисунок).
Последовательность применения Методики определения необходимого количества арендуемых цифровых потоков для защиты от информационно-технических воздействий
342
В блоке 1 вводят исходные данные.
Исходные данные, характеризующие защищаемый узел компьютерной сети: (ф - время функционирования защищаемого узла компьютерной сети в рассматриваемом сегменте ЕСЭ; ^кан - количество незави-
*
симых каналов связи в сегменте ЕСЭ; ^кан - количество используемых независимых каналов связи в сегменте ЕСЭ; яУзКС й ((ф) - значение й — го демаскирующего признака узла защищаемой компьютерной сети; к^ - весовой коэффициент й — го демаскирующего признака (определяется на основании экспертной оценки); (фг- - время использования ! — го направления
связи; Яаб! (() - значения параметра используемого сетевого ресурса абонентами узел компьютерной сети; Ьсз - быстродействие системы защиты
защищаемого узла компьютерной сети.
Исходные данные, характеризующие сегмент единой сети электросвязи, в котором функционирует защищаемый узел компьютерной сети: Уип g - объем информации передаваемый по g — му информационному потоку за время наблюдения злоумышленником; ^еСЭ ((ф) - количество сторонних однотипных узлов связи ЕСЭ РФ, функционирующих в указанном районе; ^узкс - количество однотипных узлов компьютерной сети, функционирующих в указанном сегменте ЕСЭ; ^ЕСЭй ((ф) -
значение й — го демаскирующего признака узла связи ЕСЭ функционирующего в рассматриваемом сегменте ЕСЭ; Яэсс / - сетевой ресурс получаемые у доверенного оператора связи РФ.
Исходные данные характеризующие возможности средств ведения сетевой и потоковой компьютерных разведок и ВВо$>-атаки: £пкр ^ -
быстродействие средств потоковой компьютерной разведки имеющихся у злоумышленника; й^ - количество контролируемых ]-м злоумышленником
демаскирующих признаков; £пкр j - быстродействие средств сетевой компьютерной разведки имеющихся у злоумышленника; ^идент j ((ф) - количество средств идентификации имеющихся у j-го злоумышленника; (набл -время необходимое злоумышленнику для набора статистических данных о наличии (отсутствии) демаскирующих признаков в ! — м направлении связи; /отказ1 - заданная вероятность, при которой наступает отказ в обслуживании (определяется экспериментально, для различных услуг связи); /вдент - заданная вероятность, при которой злоумышленник правильно идентифицирует узел компьютерной сети; Татак j - среднее длительность ББоЗ-атаки ]'-го злоумышленника на однотипные узлы компьютерных се-
тей; ^ атак у (Гф) - значения мощности ББоЗ-атаки у - го злоумышленника; 1ботсеть ^ (^ф) - интенсивность отправки сообщений ^ - й бот-сетью
используемой у-го злоумышленником.
В блоке 2 рассчитывают время идентификации (¿идент у ) узла компьютерной сети связи у-м злоумышленником согласно выражению
( _- 1п( 1- /издднн.) •Тидент у (1)
идент7 К^ф)• *2('ф)• )• ^(¿ф)' ( )
где Тидент у - среднее время идентификации у - м злоумышленником узла компьютерной сети связи средствами компьютерной разведки, рассчитывается согласно выражению [10]:
Т . _ КИП g + ау (2)
Т идент у _ — + — ,
впкр у вскр у
К^ф) - коэффициент быстродействия системы идентификации у-го злоумышленника, рассчитывается согласно выражению [11]
V ^ ) _ ^вдшт у ) (3)
К1(^сс) _ N—-' (3)
Я ЕСЭ Vф ) + Я УзКС
К2(^ф) - коэффициент, оценивающий способность у-го злоумышленника
наблюдать за всеми цифровыми потоками в рассматриваемом сегменте
ЕСЭ, рассчитывается согласно выражению [10]:
*
„ Якан • Япкр
V 2 _-. (4)
2 N
^кан
К з (?ф) - комплексный коэффициент контраста узла компьютерной сети в
признаковом пространстве ЕСЭ, рассчитывается согласно выражению
В
Е К2с1 )кс1
тф ) _ -, (5)
где Км (?ф ) - коэффициент контраста с1-го демаскирующего признака узла компьютерной сети [11]:
^есэ а Оф) - %зкс а Оф)
Кз а Оф) _
(6)
^есэ а (^ф)
К4(^ф) - коэффициент периодичности проведения контроля имеющихся в
рассматриваемом сегменте ЕСЭ информационных потоков у-м злоумышленником, рассчитывается согласно выражению [10]
2
^ф 1 )(^ф ^набл)
К4('ф) _-2-. (7)
В блоке 3 сравнивают рассчитанное время идентификации ((идент j )
узла компьютерной сети связи _/-м злоумышленником с временем функционирования защищаемого узла компьютерной сети в рассматриваемом сегменте ЕСЭ ((ф):
'идент j — (ф, (8)
Если условие (8) выполнено, то в блоке вывода результатов (блок 7) фиксируется факт не способности идентифицировать узел компьютерной сети средствами компьютерной разведки _/-го злоумышленника.
Если условие (8) не выполнено, то в блоке 4 рассчитывают время перерыва связи согласно следующему выражению:
'перер j _ Татак 7 — ((отказ j + 'идент j ), (9)
где (отказ j - время наступления отказа в обслуживании, которое рассчитывается согласно выражению [12]
_ 1п(1- ^отказ* ) •Т атак ]
(отказ ] К5((ф) • Кб((ф)
( _ '"У' ' отказ У ^ атак j
'отказ 1 тг ч т^ ч , (10)
К5 ('ф) - коэффициент эффективной мощности атаки _/-го злоумышленника на узел компьютерной сети рассчитывается так [11]
~ ,, ч Яаб! ((ф ) + катак j ((ф )
К5((ф) _-^-> ^^
^эсс !
К б('ф) - коэффициент способности системы защиты защищаемого узла компьютерной сети противодействовать ББоЗ-атаке по формуле [11]:
1 бот. сеть 5 ((ф ) (12)
К 5 ('ф ) ,
ЬСЗ
В блоке 5 сравнивают рассчитанное время перерыва связи ((перер j ) узла компьютерной сети связи от атаки, проводимой _/-м злоумышленником с допустимым временем перерыва связи (Т^ер):
( ■ < Тдоп (13)
'перер у —^перер?
где допустимое время перерыва связи (Т^ер) задается либо оператором, либо определяется согласно выражению
Тпдеорпер _ (ф (1 — Кг ). (14)
Если условие (13) выполнено, то в блоке вывода результатов (блок 7) фиксируется факт неспособности _/-го злоумышленника существенно воздействовать на процесс организации связи.
345
Если условие (13) не выполнено, то в блоке 6 изменяют количество информационных потоков необходимых для обеспечения требуемых значений (если время перерыва связи больше требуемого значения, то увеличивают количество арендуемых информационных потов, в противном случае уменьшают).
Таким образом, в разработанной методике за счет оценки способности злоумышленника своевременно идентифицировать защищаемый узел и осуществить перерыв связи на время превышающее допустимое возможно на основе эволюционного метода определить минимально допустимое количество арендуемых цифровых потоков для обеспечения требуемой защищенности.
Разработанная методика предназначена для должностных лиц и инженерного персонала обеспечивающего планирование и функционирование узлов компьютерной сети. Элементы представленной методики реализованы двух программах для ЭВМ [13, 14] и двух патентах на изобретения [8, 15].
Список литературы
1. Анатомия таргетированной атаки [Электронный ресурс] URL: https://www.kaspersky.ru/blog/targeted-attack-anatomy/4388 (дата обращения: 10.01.2020).
2. Qrator Labs. Эволюция DDoS-атак и средств противодействия данной угрозе [Электронный ресурс] URL: https://qrator.net/presentations/ DdosEvolution.pdf (дата обращения: 10.01.2020).
3. Владимир Хазов. Этапы проведения кибератак Про тактику [Электронный ресурс] URL: https://vasexperts.ru/blog/etapy-provedeniya-kiberatak (дата обращения: 10.01.2020).
4. «Лаборатория Касперского». Система и способ для обнаружения сетевых атак. Патент US № 8302180, B1, H04L29/06 опубликован 05.03.2012.
5. «Лаборатория Касперского». Система и способ уменьшения ложных срабатываний при определении сетевой атаки. Патент Российской Федерации № 2480937, С2, H04L 29/06 (2006.01), G06F 15/16 (2006.01), G06F 21/30 (2013.01) опубликован 27.04.2013 Бюл. № 12.
6. Акционерное общество «Лаборатория Касперского». Система и способ фильтрации трафика при обнаружении DDoS-атаки / патент РФ № 2649290 30.03.2018 Бюл. № 10.
7. Grechishnikov E.V., Dobryshin M.M., Kochedykov S.S., Novoselcev V.I. Algorithmic model of functioning of the system to detect and counter cyber attacks on virtual private network // Journal of Physics: Conference Series, 2019. 1203 (1). № 012064.
8. Добрышин М.М. и др. Способ защиты элементов виртуальных частных сетей связи от DDoS-атак Патент Российской Федерации № 2625644, МПК H 04 L 17/00. Опубликован 17.07. 2017.
346
9. Стародубцев Ю.И., Сухорукова Е.В., Закалкин П.В. Способ управления потоками данных распределенных информационных систем // Проблемы экономики и управления в торговле и промышленности, 2015. № 3 (11). С. 73-78.
10. Добрышин М.М., Закалкин П.В., Жук С.И. Модель узла компьютерной сети как объекта компьютерной разведки учитывающая динамику использования арендуемых информационных потоков / Инженерный вестник Дона, №4 (2019) [Электронный ресурс]. URL: ivdon.ru/ru/magazine/ archive/n4y2019/5887 (дата обращения: 10.01.2020).
11. Гречишников Е.В., Добрышин М.М., Закалкин П.В. Модель узла доступа VPN как объекта сетевой и потоковой компьютерных разведок и DDoS-атак / Вопросы кибербезопасности, 2016. № 3 (16). С. 4-12.
12. Комплексный алгоритм мониторинга защищенности узлов VPN от компьютерной разведки и DDoS-атак / М.М. Добрышин [и др.] // Электросвязь. 2018. № 7. С. 46 - 52.
13. Добрышин М.М., Закалкин П.В., Жук С.И. и др. Программа расчета способности сетевой и потоковой компьютерных разведок идентифицировать узел связи учитывающая динамику использования арендуемых информационных потоков. Свидетельство о государственной регистрации программы для ЭВМ № 2019615627 06.05.2019. Бюл. № 5.
14. Добрышин М.М., Гречишников Е.В., Закалкин П.В., и др. Программа расчета уровня укомплектованности техникой связи учитывающая повреждения техники связи и перерывы в связи, вызванные информационно-техническими воздействиями, а так же временем ее восстановления / Свидетельство о государственной регистрации программы для ЭВМ № 2019660009 от 29.07.2019. Бюл. № 8.
15. Добрышин М.М., Гречишников Е.В., Реформат А.Н., Климов С.М., Способ использования вариантов противодействия сетевой и потоковой компьютерных разведок и сетевым атакам и система его реализующая / Патент РФ на изобретение № 2682108 от 14.03.2019 бил. № 8. Заявка № 2018105350, от 13.02.2018. Патентообладатель: Академия ФСО России. G06F 21/60 (2013.01) H04B 17/00 (2015.01).
Добрышин Михаил Михайлович, канд. техн. наук, сотрудник, Dobrithin@ya. ru, Россия, Орёл, Академия Федеральной службы охраны Российской Федерации,
Шугуров Дмитрий Евгеньевич, канд. техн. наук, сотрудник, Dobrithin@ya. ru, Россия, Орёл, Академия Федеральной службы охраны Российской Федерации,
Локтионов Александр Дмитриевич, сотрудник, Dobrithin@ya. ru, Россия, Орёл, Академия Федеральной службы охраны Российской Федерации
METHODOLOGY FOR DETERMINING THE REQUIRED NUMBER OF LEASED DIGITAL STREAMS TO PROTECT AGAINST INFORMATION TECHNOLOGY IMPACTS
M.M. Dobryshin, D.E. Shugurov v, A.D. Loktionov
347
Improving the means and methods of conducting information and technical impacts contributes to a significant increase in financial and rehearsal losses for companies that actively use information resources. In order to reduce damage and increase security against these threats, a method has been developed that allows assessing the ability of an attacker to identify a node in a timely manner and influence it. Based on the analysis, officials responsible for operation and information security are able to determine the minimum number of leased digital streams.
Key words: computer intelligence, DDoS attack, security, reconfiguration.
Dobryshin Michael Mihajlovich, candidate of technical sciences, employee, Do-brithin@ya.ru, Russia, Oryol, Academy of the Federal Security Service of the Russian Federation,
Shugurov Dmitry Evgenievich, candidate of technical sciences, employee, Do-brithin@ya.ru, Russia, Oryol, Academy of the Federal Security Service of the Russian Federation,
Loktionov Alexander Dmitrievich, employee, Dobrithin@,ya.ru, Russia, Oryol, Academy of the Federal Security Service of the Russian Federation
УДК 004.42; 519.85
КОНЦЕПЦИЯ УПРАВЛЕНИЯ ЦИФРОВЫМ ЖИЗНЕННЫМ
ЦИКЛОМ ПРОДУКТОВ С ПРИМЕНЕНИЕМ АППАРАТА
ПАРАЛЛЕЛЬНЫХ СТОХАСТИЧЕСКИХ РАСПИСАНИЙ
Е.В. Ларкин, А.Н. Привалов, Ю.И. Богатырева
Предлагается концепция управления цифровым жизненным циклом продуктов с применением аппарата теории игр, в частности- теории параллельных стохастических расписаний. В основу концепции положен набор правил и допущений, позволяющий применить полумарковские процессы, как основной инструмент моделирования процесса игры и поведения участников игры. Для формализации процесса игры предложен подход, основанный на определении времени блуждания от начального до конечного состояния.
Ключевые слова: полумарковский процесс, временные и вероятностные характеристики, параллельные полумарковские цепи, параметры блуждания.
Современное производство характеризуется ужесточающимися условиями конкуренции в мировом бизнесе, политике, военной сфере и отсутствием методов оценки результатов тех или иных мероприятий по повышению устойчивости и эффективности функционирования сложных организационно-экономических систем. Программа «Цифровая экономика Российской Федерации» предусматривает создание высокотехнологичных предприятий, работающих полностью на основе тотальной цифровизации всего жизненного цикла выпускаемой продукции т.н. «цифровых фабрик». Сама концепция цифровой фабрики предполагает трансформацию сложившейся системы бизнес-процессов, сложившихся в промышленности
348