CC BY
0
5. Павлов A.B., Черников А.И. Приемники излучения автоматических оптико-электронных приборов. -М.: Энергия, 1972. 240 с.
6. Филиппова Е.В., Акименко Т.А. Приемники излучения тепловизионных приборов // Известия Тульского государственного университета. Технические науки. 2017. Вып. 2. С. 203-207.
7. Филиппова Е.В. Общая структура тепловизоров и варианты их классификаций // Известия Тульского государственного университета. Технические науки, 2016. Вып. 11-2. С. 348-351.
8. Коротаев В.В., Мельников Г.С., Михеев С.В., Самков В.М., Солдатов Ю.И. Основы тепловидения. СПб: НИУ ИТМО, 2012.122 с.
9. Филиппова Е.В., Филиппов А.Е. Системы тепловидения // Известия Тульского государственного университета. // Известия Тульского государственного университета. Технические науки, 2013. Вып. 4. С. 151-154.
Акименко Татьяна Алексеевна, канд. техн. наук, доцент, [email protected], Россия, Тула, Тульский государственный университет,
Филиппова Екатерина Вячеславовна, инженер, [email protected] Россия, Тула, Тульский государственный университет
STRUCTURE OF THERMAL IMAGING SURVEILLANCE SYSTEM T.A. Akimenko, E.V. Filippova
The structure of a thermal imaging surveillance system is considered. A generalized functional diagram of a thermal imaging surveillance system is presented.
Key words: test object, thermal radiation, power, proportional control coefficient, integral control coefficient, differential control coefficient.
Akimenko Tatiana Alekseevna, candidate of technical sciences, docent, [email protected], Russia, Tula, Tula State University,
Filippova Ekaterina Vyacheslavovna, engineer, [email protected], Russia, Tula, Tula State University
УДК 004.056.57
DOI: 10.24412/2071-6168-2023-12-587-588
МЕТОДЫ ПОВЫШЕНИЯ РЕЗУЛЬТАТИВНОСТИ ОТРАЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК ЗА СЧЁТ СОВЕРШЕНСТВОВАНИЯ УЧЕБНОГО ПРОЦЕССА
Д.А. Абрамов, В.Л. Токарев
Данная работа посвящена проблемам цифровизации промышленности, возникающим в области информационной безопасности. В представленной работе предложен метод сокращения результативности компьютерных атак за счёт совершенствования учебного процесса. В качестве мер по улучшению учебного процесса, предлагается внедрение специализированного тренажёра, используемого для проверки практических навыков специалистов по информационной безопасности.
Ключевые слова: цифровизация, информационная безопасность, кибератаки, обучение специалистов по ИБ, тренажёр безопасности.
В современном мире рынок цифровизации различных услуг и оцифровки бизнеса, является одним из самых растущих в мере. При этом наиболее быстро растущей отраслью цифровой трансформации является цифровизация промышленности. На основе прогнозов компании MarketsandMarkets [1] планируется рост с $64,9 млрд. в 2021 году до $165,5 млрд. в 2026 году.
При этом в РФ ежегодные затраты на цифровизацию промышленности ежегодно увеличиваются более чем на 10% ежегодно и в 2021 году составляли 4,8 трл.руб или 3.7% ВВП.
Процесс цифровизации позволяет сделать производство управляемым на всех основных стадиях производственного цикла выпуска продукции, за счёт агрегирования, централизации хранения и анализа данных, и позволяет вносить коррективы в управление данным процессом в реальном масштабе времени.
Данная особенность процесса цифровизации приводит к наличию потенциальной возможности злоумышленников получения доступа к управлению производством за счёт спланированной атаки ИТ инфраструктуру предприятий. Что приводит к ежегодному росту ущерба от кибератак от 15 до 30% [2].
По данным исследований [3], ущерб от кибератак, совершённых на различные компании РФ уже достиг 165 млд. руб и продолжает расти, что приводит к тому, что объём рынка услуг ИБ в РФ уже достиг объёма 150,1 млд.руб. и продолжает расти на 10% в год по согласно данных исследования [4].
Рост объёма рынка услуг ИБ приводит к необходимости значительного увеличения специалистов в данной области, способных снизить результативность атак, проводимых злоумышленниками.
Необходимость наличия большого специалистов приводит к необходимости совершенствования процесса подготовки данных специалистов, который с одной стороны должен гарантировать способность специалиста отражать реальные атаки на ИТ инфраструктуру предприятий, с другой стороны по возможности снизить время, необходимое на его обучение и ущерб, вызванный отсутствием у специалиста практического опыта отражения атак.
587
Для решения данной проблемы предполагается внедрение имитационного моделировании в процесс подготовки специалистов по информационной безопасности.
Имитационное моделирование в данном случае заключается в создании тренажёра, созданного для подготовки специалистов по ИБ, которые в реальном времени имитирует компьютерные атаки различной степени сложности.
При этом, создаваемый тренажёр, должен представлять из себя готовое к развёртыванию, виртуальное окружение, состоящее из следующих компонентов.
1) Сервер эмуляции атак, на котором размещено приложение, позволяющее решить задачи: выбора типа и управления развитием атак и набор необходимого программного обеспечения, позволяющего реализовывать атаки выбранной конфигурации, развивающиеся по заданному сценарию.
2) База знаний, включающая: а) Сценарии развития известных атак, разбитых на различные фазы и записанные в хронологическом порядке; б) набор правил необходимый для работы системы комбинирования существующих атак; в) набор правил необходимый для реализации логических операций, необходимых для автоматической генерации новых атак на базе информации о существующих.
3) Несколько виртуальных рабочих станций объединённых в единый домен (клиентский сегмент), позволяющих эмулировать сегмент сети предприятия, при этом способных работать в следующих режимах: а) Режим внешней сети, по отношению к серверу эмуляции атак, который позволяет имитировать сетевые атаки, поступающие из вне. б) Режим внутренней сети, позволяющий эмулировать атаки, инициированные внутри сети предприятия.
При этом в зависимости от выбранного режима работы на рабочих станциях может быть установлено различное программное обеспечение, необходимое для обеспечения информационной безопасности сети.
В качестве среды виртуализации должна быть выбрана среда виртуализации, доступная к использованию на территории РФ.
При этом сценарии подобных атак могут не только воспроизводить хронологию известных атак и различные их комбинации, но и генерироваться автоматически на основе применения технологий искусственного интеллекта и нейронных сетей различной архитектуры, обученных на основе данных полученных при расследовании действий реальных атак, которые заранее были сохранены в базу знаний системы.
Заявленные возможности тренажёра возможно реализовать за счёт использования в базе знаний информации, представленной структурами, содержащими следующие поля.
1) название атаки;
2) номер фазы атаки;
3) условие, необходимое для перехода к следующей фазе атаки;
4) статический вес фазы атаки, полученный экспертной оценкой;
5) динамический вес фазы атаки, рассчитываемый по определенным правилам;
6) набор действий, выполняемых при реализации данной фазы атаке;
7) указатель на приложение, которое должно быть запущено для выполнения действия;
8) указатель на набор данных, необходимый приложению для реализации данного действия;
9) условие перехода к следующему действию атаки, относящемуся к данной фазе;
10) условие окончания фазы атаки.
Для работы с тренажёром предложен следующий алгоритм.
Администратор системы выбирает атаку, которую необходимо будет реализовать, и задаёт режим работы клиентского сегмента, выбирает защитное программное обеспечение (межсетевой экран, средства антивирусной системы, системы обнаружения вторжений, SIEM системы), которое будет установлено на клиентском сегменте сети.
По завершении процедуры настройки администратор системы организует доступ испытуемого к клиентскому сегменту тестовой лаборатории, на основе технологии VPN, предоставляет ему права доменного администратора и запускает таймер обратного отсчёта, по истечении которого начнётся атака.
Испытуемый за представленное время, изучает установленные средства защиты и анализирует конфигурацию межсетевых экранов, систем обнаружения вторжений и состояние антивирусного программного обеспечения. Так как испытуемому предоставления права доменного администратора к клиентскому сегменту, испытуемый получает полный контроль над ним и в дополнении к установленному защитному программному обеспечению может производить следующие действия.
1) Сканирование клиентской сети при помощи утилиты Nmap, производимое с целью определения открытых портов и определение версий программного обеспечения, установленного в клиентском сегменте.
2) Проведение активного сканирования клиентского сегмента, с целью выявления уязвимостей, для которых доступны средства эксплуатации (эксплойты).
3) Обновление любого программного обеспечения, включая обновление версий ОС и защитного программного обеспечения, установленного на рабочие станции клиентского сегмента,
4)Изменение конфигурации защитных средств, с целью закрытия уязвимостей, выявленных как в данных средствах, так и в приложениях, установленных на клиентском сегменте.
Как только истекает время до начала атаки, начинается атака, и сервер атак генерирует сетевой трафик и совершает действия в соответствии с выбранной конфигурацией атаки. При этом испытуемый пытается противодействовать атаке и снизить ущерб от её реализации.
В качестве мер противодействия атаке, испытуемому доступны следующие возможности:
1) Отключение доменного контроллера от сети интернет.
2) Отключение как выборочных, так и одновременно всех рабочих станций клиентского сегмента как от сети интернет.
3) Отправка любой рабочей станции клиентского сегмента, включая контроллер домена команды завершения работы. Но при этом следует учитывать, что при отключении контроллера домена, испытуемый может просто потерять контроль над оставшимися машинами клиентского сегмента.
4) Запуск песочниц на рабочих станциях клиентского сегмента.
5) Перевод системы обнаружения вторжений и межсетевого экрана, а так же контролера домена в «жёсткий режим», позволяющий блокировать все действия с любыми приложениями клиентского сегмента, кроме заранее определённых.
6) Принудительный запуск антивирусного ПО и перевод его в активный режим работы.
7) Блокирование пользовательских учётных записей, как на уровне рабочих станций, так и на уровне домена.
8) Остановка и запуск, любых процессов и приложений, установленных на любых рабочих станциях клиентского сегмента, в случае, если данная возможность не блокирована развитием атаки.
В этот момент специальное приложение, установленное как на сервере атак, так и на контроллере домена клиентского сегмента наблюдает за действиями испытуемого.
По завершении атаки испытуемому выставляется оценка на основе следующих показателей.
1) Количество поражённых ПК клиентского сегмента сети.
2) Количество успешно атакованных приложений.
3) Количество повреждённых данных.
4) Общее время нарушения доступности клиентского сегмента.
5) Время реакции испытуемого на различные фазы атаки.
6) Общая скорость принятия мер.
Для выставления оценки измеренные данные сравниваются со среднестатистическими данными, полученными в результате анализа ущерба от реализации подобных атак на основе общедоступных данных и данные предыдущих испытуемых.
При этом для выставления итоговой оценки на основе измеренных данных по каждому критерию используются следующие метрики.
1) В случае, если значение метрики после тестирования лучше, чем данные общедоступной статистики -испытуемый сдаёт тест по данному критерию и получает 5 баллов.
2) В случае, если оценки метрики испытуемого лучше, чем средние оценки метрик, предыдущих испытуемых, испытуемый получает дополнительные баллы.
3) Далее балы выставляются по правилу за каждые 10% преимущества по данному показателю +1 бал.
4) В случае, если значение метрики испытуемого меньше, чем средний результат, полученный на основе статистики, испытуемый получает 0 баллов и никакие дополнительные баллы не начисляются.
На основе оценки всех метрик испытуемый получает средние оценки и при этом ни по одному из критериев не получает 0, испытуемому начисляется бонус 10 баллов.
В случае, если пользователь не сдал экзамен по какой-либо метрике, из общего результата пользователя вычитается 10 баллов.
Для выставления итоговой оценки за тест используется стандартная 100 бальная шкала, применяемая в ВУЗах, основанная на следующей градации оценок.
1) 40-60 - удовлетворительно.
2) 60-80 - хорошо.
3) 80-100 - отлично.
Положительным результатом теста является получение оценки уровня от «удовлетворительно» и выше.
При этом для обеспечения большей эффективности работы тренажёра необходимо проводить систематические обновления базы возникающих нештатных ситуаций в области ИБ.
Обновления базы нештатных ситуация тренажёра необходимо проводить как в случае получения открытой информации о ряде новых уязвимостей в промышленных программно-аппаратных комплексах, которые могут быть использованы для реализации массовой атаки, так и по истечении не менее двух месяцев с момента выпуска последнего обновления.
В качестве направлений дальнейшего развития предложенной концепции возможно использовать следующие.
1) Добавление в клиентский сегмент образов виртуальных машин, работающих под управление различных операционных систем.
2) Разработка системы подсказок по организации системы защиты информации клиентского сегмента с указанием оптимальных действий по отражению атак, выдаваемых испытуемому после завершения работы на тренажёре.
3) Разработка системы конструирования атак, позволяющей администратору системы, самостоятельно создавать различные атаки и писать сценарии для их исполнения.
4) Использование облачной версии тренажёра, развёрнутой в облаке, предоставленном отечественным провайдером и размещённым на территории РФ, для обучения специалистов ИБ без необходимости физического размещения тренажёра внутри инфраструктуры организации.
5) Составление траектории развития специалиста по ИБ и выдача дальнейших рекомендаций по развитию на основе анализа данных полученных в результате занятий на тренажёре.
6) Реализация автоматической выдачи рекомендации по обновлению базы знаний тренажёра, или автоматическое обновление базы знаний тренажёра, в случае выхода обновлений.
Обучение с использованием данного тренажёра и периодические занятия на данном тренажёре, в случае своевременного обновления базы возникающих ситуаций, позволят специалисту повысить результативность отражения компьютерных атак и снизить величину ущерба от последствий компьютерных атак, как в масштабах предприятия, так и в масштабах РФ.
Список литературы
1. Цифровизация промышленности // TADVISER Государство. Бизнес. Технологии URL: https://www.tadviser.ru/шdex.php/Статья:Цифровизация промышленности. Обзор TAdviser (дата обращения: 27.02.2023).
2. Кибератаки // TADVISER Государство. Бизнес. Технологии URL: https://www.tadviser.ru/шdex.php/Статья:Кибератаки (дата обращения: 27.02.2023).
3. Бодряшкин Я. Потенциальный ущерб от киберпреступности в 2022 году оценили в Р165 млрд URL: https://www.gazeta.ru/business/news/2022/02/17/17304823.shtml (дата обращения: 27.02.2023).
4. Кибератаки Статья: Информационная безопасность (рынок России) // TADVISER Государство. Бизнес. Технологии URL: https://www.tadviser.ru/шdex.php/Статья:КибератакиСтатья:Информационная безопасность %28рынок России%29 (дата обращения: 27.02.2023).
5. WannaCry (вирус-вымогатель) // TADVISER Государство. Бизнес. Технологии URL: https://www.tadviser.ru/index.php/Статья:WannaCrv (вирус-вымогатель) (дата обращения: 27.02.2023).
6. Герасюкова М. Вирус нового поколения: как кибератака NotPetya изменила мир URL: https://www.gazeta.ru/tech/2020/06/26/13132537/petya is three.shtml (дата обращения: 27.02.2023).
Абрамов Дмитрий Александрович, канд. техн. наук, доцент, [email protected], Россия, Тула, Тульский государственный университет,
Токарев Вячеслав Леонидович, д-р техн. наук, профессор, [email protected], Россия, Тула, Тульский государственный университет
METHODS FOR INCREASING THE EFFECTIVENESS OF REPELLING COMPUTER ATTACKS BY IMPROVING THE EDUCATIONAL PROCESS
D.A. Abramov, V.L. Tokarev
This work is devoted to the problems of industry digitalization arising in the _ field of information security. In the presented work, a method is proposed to reduce the effectiveness of computer attacks by improving the educational process. As measures to improve the educational process, it is proposed to introduce a specialized simulator used to test the practical skills of information security specialists.
Key words: digitalization, digitalization of the industry, information security, cyber attacks, information security specialists training, safety simulator.
Abramov Dmitry Alexandrovich, candidate of technical sciences, docent, [email protected], Russia, Tula, Tula State University,
Tokarev Vyacheslav Leonidovich, doctor of technical sciences, professor, [email protected], Russia, Tula, Tula State University
УДК 621.45.018
DOI: 10.24412/2071-6168-2023-12-590-591
АЛГОРИТМ ОБУЧЕНИЯ И ВАЛИДАЦИИ ИМИТАЦИОННОЙ МОДЕЛИ РИС НА ОСНОВЕ ДАННЫХ
ДИАГНОСТИЧЕСКОГО КОНТРОЛЯ
Е.И. Минаков, А.Ю. Перлов, В.А. Панкратов, С.В. Мацеевич
В статье предложен алгоритм обучения и валидации имитационной модели радиоинформационного средства, основанной на методах машинного обучения. Обосновано использование в качестве обучающей выборки многомерных временных рядов данных диагностического контроля.
Ключевые слова: радиоинформационные средства, прогнозирование технического состояния, машинное обучение, валидация.
Введение и постановка задачи. Высокий уровень цифровизации современных радиоинформационных средств (РИС), развитие систем диагностического контроля их компонентов, а также достижения в области методов искусственного интеллекта, позволяют перейти к решению задачи контроля функциональных характеристик РИС в реальном масштабе времени, а также их прогнозирования [1].
В каждом элементе контроля РИС установлено несколько типов цифровых датчиков, регистрирующих с помощью системы управления и контроля информацию о состоянии параметров технического состояния и входных сигналов в режиме реального времени. Данное обстоятельство обуславливает непрерывное формирование большого потока данных диагностического контроля, представляющих собой многомерные и неравномерные временные ряды [2].
Однако отсутствие изделия как функционально и конструктивно законченной системы до момента сдачи его в эксплуатацию, приводит к необходимости разработки инструмента для обоснования требований к прогнозированию технического состояния (горизонт, точность), разработки и отработки как алгоритмов обработки данных, так и прогнозирования на этапе создания РИС.
Проведенный анализ показал, что помимо подходов для моделирования функционирования РИС с помощью различных САПР, имеющих готовые библиотеки под функциональные узлы РЛС [3-8], эффективным инструментом для решения указанной задачи является имитационная модель (ИМ) РИС, порядок и особенности разработки которого определяются ГОСТ Р 57700.37-2021 «Компьютерные модели и моделирование. Цифровые двойники изделий». Основной сложностью применения САПР по отношению к РИС является необходимость детального описыва-
