CC BY
0
Bogovik Alexander Vladimirovich, candidate of military sciences, professor, bogovikav@mail. ru, Russia, St. Petersburg, Military Academy of Communications named after Marshal of the Soviet Union S.M. Budyonny,
Safiulov Davlet Muratovich, adjunct, davletzas@mail. ru, Russia, St. Petersburg, Military Academy of Communications named after Marshal of the Soviet Union S.M. Budyonny
УДК 007.738.5
DOI: 10.24412/2071-6168-2024-2-182-183
МОДЕЛЬ ФУНКЦИОНИРОВАНИЯ, ПОСТАНОВКА ЗАДАЧИ ПО ОПРЕДЕЛЕНИЮ ОПТИМАЛЬНЫХ
ЗНАЧЕНИЙ ПАРАМЕТРОВ СЛУЖБЫ DNS
М.С. Бодякин, С.П. Соколовский
Исследованы процессы функционирования службы доменных имен в условиях сетевой разведки и определены возможности повышения защищенности информационных систем за счет снижения возможностей сетевой разведки при обеспечении заданного уровня ресурсных затрат. Разработана модель конфигурирования параметров службы доменных имен информационных систем в условиях сетевой разведки, которая формализована в виде полумарковского случайного процесса с дискретными состояниями и непрерывным временем. Модель позволяет получить вероятностно-временные характеристики исследуемых процессов, необходимых для определения оптимальных значений параметров службы доменных имен, таких как количество доменных имен и время их жизни.
Ключевые слова: параметры службы доменных имен, информационная система, случайный процесс, доступность и защищенность информационных систем.
В постоянно развивающемся цифровом мире невозможно переоценить важность обеспечения безопасности присутствия пользователя в Интернете. Один из наиболее важных аспектов этой безопасности заключается в защите самой основы интернет - коммуникации: системы доменных имен (DNS). В 3 квартале 2023 года был выявлен значительный всплеск DNS-атак в мире. По данным экспертов StormWall, 3% от числа всех зафиксированных атак в мире было направлено на DNS. DNS — это система доменных имен, которая преобразует доменные имена в IP-адреса, позволяя устройствам получать доступ к веб-сайтам. [1] DNS-атака перегружает сервер таким количеством трафика, что он становится недоступным, при этом нарушается его способность преобразовывать доменные имена в TP-адреса. Это нарушает доступ к веб-сайтам и онлайн-сервисам для пользователей. Для эффективной защиты от DNS-атак необходима комплексная стратегия, предусматривающая защиту и резервирование не только конечных ресурсов, но и DNS-инфраструктуры [2].
Текущее положение дел: применение протокола UDP (User Datagram Protocol, RFC-1035), для преобразования доменных имен в IP-адреса, не обеспечивает установления соединения, кроме того изменяющемуся IP-адресу соответствует статическое доменное имя [3].Одной из перспективных концепций защиты информационных систем, позволяющей скрывать её истинные параметры, является концепция Moving Target Defense (MTD) [4,5,6], суть которой заключается в замене статических параметров сети динамическими.
В данной статье предложена модель конфигурирования параметров службы доменных имен, основанная на MTD, позволяющая решить задачу определения оптимальных параметров службы доменных имен.
С одной стороны, процесс функционирования службы доменных имен информационных систем (ИС) (далее - случайный процесс Li), может быть представлен как случайный процесс с дискретными состояниями и непрерывным временем, где в качестве дискретных состояний выступают этапы функционирования случайного процесса Li, определенные в RFС-768, а переход между ними осуществляется за счёт поступления в случайный момент времени UDP-пакетов [7].
С другой стороны, процесс функционирования службы доменных имен в условиях сетевой разведки (далее - случайный процесс L2) может быть представлен как случайный процесс, состоящий из двух состояний: либо параметры службы доменных имен известны злоумышленнику, либо нет. Причем переход из одного состояния в другое зависит от количества предварительно заданных сетевым устройствам поддоменов и доменных имен (пара-меты n, y), а также времени их жизни (параметр х).
В статье эти процессы рассматриваются как полумарковские, обладающие свойствами простейшего потока событий. В соответствии с [8] основными вероятностными характеристиками полумарковского процесса являются: функция распределения времени ожидания перехода из состояния i в состояние j (далее - Fij(t)), а также соответствующие им вероятности перехода (далее - pj). Данные вероятностные характеристики, вследствие соблюдения свойств простейшего потока, имеют экспоненциальный закон распределения:
Fy(t) = 1 — е-яУ£ (1)
Pij = Cfij (t) re=W1 — Fik (t))dt (2)
где: Хц - интенсивность потока событий, переводящих исследуемые случайные процессы из состояния г в состояние
- функция плотности распределения времени ожидания перехода из состояния г в состояние]. На (рис. 1) представлен ориентированный граф случайного процесса ¿1, в (табл. 1) описаны его дискретные состояния, а в (табл. 2) приведены вероятностные характеристики.
Рис. 1. Граф состояний случайного процесса Ь1
Таблица 1
Дискретные состояния случайного процесса Ь1_
Состояние Описание состояния
£avai 1 ожидание начала конфигурирования параметров службы доменных имен или окончание получения запросов от средств сетевой разведки
ravai I J 2 ожидание окончания конфигурирования параметров службы доменных имен
ravai I 3 ожидание окончания цикла сетевой разведки
ravai I о 4 ожидание перегрузки ИС в связи с компьютерной атакой или изменениями параметров службы доменных имен
Таблица 2 Вероятностные характеристики процесса функционирования случайного процесса Ь1
Переменная Описание вероятностных характеристик
Favail (t) функция распределения времени ожидания конфигурирования параметров службы доменных имен
F™ail ( t) функция распределения времени ожидания воздействий от средств сетевой разведки
F%ail (t) функция распределения времени ожидания возврата в исходное состояние после реконфи-гурирования параметров
F%ail (t) функция распределения времени ожидания перегрузки ИС после конфигурирования параметров службы доменных имен
FsTil (t) функция распределения времени ожидания возврата в исходное состояние после воздействия средств сетевой разведки
F£ail (t) функция распределения времени ожидания конфигурирования параметров службы доменных имен после воздействия средств сетевой разведки
F%ail (t) функция распределения времени ожидания воздействий от средств сетевой разведки на перегрузку ИС после DDOS атаки
F4Tail (t) функция распределения времени ожидания перегрузки ИС после сетевой разведки или ре-конфигурирования параметров
На (рис. 2) представлен ориентированный граф случайного процесса ¿2, в (табл. 3) описаны его дискретные состояния, а в (табл. 4) приведены вероятностные характеристики.
Рис. 2. Граф состояний случайного процесса Ь2
Таблица 3
Дискретные состояния случайного процесса Ь2_
Состояние Описание состояния
S,sec ожидание вскрытия истинных параметров сетевых устройств информационной системы
г sec J 2 ожидание реконфигурации параметров службы доменных имен
Таблица 4
Вероятностные характеристики процесса функционирования случайного процесса Ь2_
Переменная Описание вероятностных характеристик
FHc(t) функция распределения времени ожидания вскрытия истинных параметров сетевых устройств информационной системы
FHc(t) функция распределения времени ожидания реконфигурации параметров службы доменных имен
Математическая модель исследуемого объекта может быть представлена в виде отображения множества входных параметров (множество Z) во множество выходных вероятностно-временных характеристик (множество V):
pavail ^ yavail pavail = {pavail pavail ^avail} yavail = {pavail} (3)
gsec ^ ysec gsee = {§see ^see ^sec} ysec = {psec} (4)
где: Savail,Ssec - множества дискретных состояний исследуемых случайных процессов Li, L2; Aavail,Asec - множества неуправляемых (неконтролируемых) факторов исследуемых случайных процессов Li, L2; Xavail,Xsec - множества управляемых факторов исследуемых случайных процессов Li, L2. Pi ={Piji(t)}, P2 ={Pij2(t)} - множества интервально-переходных вероятностей пребывания случайных процессов Li, L2 в состоянии j из состояния i в момент времени t.
В качестве неуправляемых и управляемых факторов для исследуемых случайных процессов выступают: A^FiT"(0, F?rl(t), F?rl(t), FZ?ail(t), F3Til(t), Tcr ,Tatac ,Tszi , Tsbros }, (5)
= {Tree}, (6)
Xavall = {pavail pavail Тш , n}, при = Х-1,Л™а11 (n, Tttl, у)-1 (7)
*sec = (t), Fifc(t),Тш ,п}, при If/ = х-1,ЛЦс(п,Тш,у)-1 (8)
где: n - количество поддоменов, y - количество доменных имен для одного поддомена, x - время жизни этих доменных имен, Tcr - время, затрачиваемое злоумышленником на сканирование одного сетевого устройства, Trec - время, затрачиваемое на реконфигурацию одного доменного имени, Tatac — время, затрачиваемое злоумышленником на сканирование одного поддомена, Tszi - время, затрачиваемое штатными средствами защиты на обнаружение воздействий средствами сетевой разведки, Tsbros — время, затрачиваемое на реконфигурацию информационной системы.
Нахождение выходных вероятностно-переходных характеристик Pij(t) и Gij(t), подробно описано в [9, 10], осуществляется в матричной форме и будет иметь вид (9):
Р(t) = {[l — р х f(s)]-1V(s)} (9)
где I - единичная матрица, а основные вероятностные характеристики в матричной форме будут иметь вид (10), (11):
Р =
f(s) = I
/Р11 " Pu\
\Ри " PijJ
fii(s) •• fu (s)
fn(s) ■■ flj(s)
(10) (11)
Символ х обозначает операцию умножения элементов матрицы.
Ввиду однородности потоков событий, переводящих Li и L2 из одного состояния в другое, а также отсутствия в них поглощающих состояний, исследуемые процессы обладают эргодическим свойством, соответственно, имеют стационарный режим, и, как следствие, имеют финальные вероятности [11].
Результат расчетов вероятности нахождения случайных процессов Li, L2 в состоянии j из состоянии i к моменту времени t представлен на рис. 3,4.
1.0-
Рис. 3. Результат расчетов вероятности нахождения Ьг в состоянии j из состоянии i к моменту времени t
Модель позволяет исследовать процесс функционирования сетевых устройств, при конфигурировании параметров службы доменных имен информационных систем в условиях сетевой разведки. Модель формализована в виде полумарковского случайного процесса с дискретными состояниями и непрерывным временем, при этом выходные характеристики (интервально-переходные вероятности, функции распределения первого достижения соответствующего состояния) определяются через основные характеристики полумарковского процесса с экспоненциальным законом распределения.
По графикам (рис. 3, рис. 4) видно, что наилучшие параметры для случайного процесса L2 являются наихудшими для случайного процесса Ll. Так, при увеличении числа доменных имен, а также уменьшения времени их жизни, сетевые устройства будут находиться в защищенном состоянии, однако частая реконфигурация этих параметров приведёт к тому, что сетевые устройства большую часть времени будут находиться в состоянии ожидания окончания этой реконфигурации, т.е. будут недоступными для осуществления информационного обмена. Таким образом, задача поиска оптимальных наборов конфигурируемых параметров службы доменных имен, при которых сетевые устройства будут функционировать наиболее эффективно по критериям «доступности» и «защищенности».
т
Рис. 4. Результат расчетов вероятности нахождения Li в состоянии j из состоянии i к моменту времени t
Поскольку состояние S%val1 случайного процесса L1 возможно охарактеризовать как состояние, при котором сетевые устройства недоступны для информационного обмена, то финальная вероятность нахождения системы в подмножестве состояний за исключением данного состояния может рассматриваться как целевая функция, характеризующая критерий «доступности»:
F1(x, у) = P4avall(x, у) (12)
Для случайного процесса L2 необходимо, чтобы она находилась в состоянии S[ec , при котором сетевые устройства находятся в защищенном состоянии. Таким образом, критерием «защищенности» случайного процесса L2 будет являться целевая функция:
F2(x, у) = Р[ес (х, у) (13)
Задача поиска оптимальных наборов значений конфигурируемых параметров службы доменных имен, при которых сетевые устройства будут функционировать наиболее эффективно, будет сформулирована как задача многокритериальной (векторной) оптимизации и примет следующий вид:
F1(x,у) ^ max,
L( , ^ (14)
F2(x,у) ^ max.
x,y€Q
где: целевая функция Fi характеризует «доступность» ИС; целевая функция F2 характеризует «защищенность» ИС; y - количество предварительно заданных доменных имен, x - время их жизни. Указанные параметры являются общими для целевых функций Fi и F2, а их значения принадлежат области допустимых значений Q.
3 < п < 127, 0.1 < Тсг < 38 ,0.5 < Тгес < 3, 1 < х < 86400,0.01 < у < 365,
Q=
\12,ail > 0,X2\ail > 0,> 0, x%[ail > 0,
X22%ail > 0, Х24а11 > 0, xiv4ail > 0, X4\ail > 0 (15)
if/ > 0, X2\c > 0, 0 < F1(x, y] < 1, 0 < F2(X,y) < 1,
Количество поддоменов (параметр n) зависит от уровня поддомена. Максимальное количество уровней поддомена - 127. Каждый из них может содержать 63 символа, пока общая длинна доменного имени не достигнет 255 символов. Количество доменных имен для одного поддомена (параметр у) выбирается в зависимости от количества символов в доменном имени. Так, в доменном имени, состоящем из пяти символов, может содержаться 365 доменных имен. Среднее время ведения сетевой разведки (параметр Tcr) зависит от режима сканирования сети и имеет максимальное значение 38 секунд на 1 сетевое устройство (режим «Intense scan, all tcp ports» программы «Nmap»). Время реконфигурации одного сетевого устройства (параметр Tree) с применением DNS и DHCP-сервера находится в интервале [0,5-3,0] сек. Данные параметры были получены экспериментальным путем. Максимальное время использования доменного имени (параметр х), в соответствии с .RFC-1035, не изменяется в течение всего периода регистрации сетевого устройства.
Предложенная модель позволяет исследовать процесс функционирования сетевых устройств при конфигурировании параметров службы доменных имен информационных систем в условиях сетевой разведки. Модель формализована в виде полумарковского случайного процесса с дискретными состояниями и непрерывным временем, при этом выходные характеристики (интервально-переходные вероятности, функции распределения первого достижения соответствующего состояния) определяются через основные характеристики полумарковского процесса с экспоненциальным законом распределения.
Полученные вероятностно-временные характеристики применимы в качестве целевых функций, характеризующих критерии «защищенности» и «доступности» сетевых устройств, функционирующих в условиях сетевой разведки.
Оптимальное количество доменных имен, используемых в информационных системах, и оптимальное время жизни доменных имен будут рассмотрены при дальнейшем исследовании изучаемых случайных процессов.
Список литературы
1. Олифер В.В. Компьютерные Сети. Принципы, технологии, протоколы: / В. Олифер, Н. Олифер : учебник для вузов. 5-е изд. СПб.: Питер, 2016. 992 с.
2. Душкин А. В. Способ повышения эффективности распознования несанкционированных воздействий на ИТКС. / А. В. Душкин, В.Н. Похващев, С. П. Соколовский // Информация и безопасность. 2010. Т. 13. № 1. С. 97-102.
3. RFC 1035. Domain names implementation and specification (DNS). 1987. URL: https://tools.ietf.org/html/rfc1035 (дата обращения: 15.10.2023).
4. Максимов Р.В., Соколовский С.П., Ворончихин И.С., Гритчин А.Д., Бодякин М.С., Игнатенко А.В. Способ защиты вычислительных сетей // Патент на изобретение RU2726900, опубл. 16.07.2020, Бюл. № 7, 33 с.
5. Масловский В.С. Особенности технологии защиты сетей с применением движущейся цели. В.С. Масловский, С.С. Доронин, И.А. Крутоумов - Текст: непосредственный // Вестник современных технологий. 2018. № 7.3 (22). С. 246-249.
6. RFC 768. User datagram protocol (UDP). 1980. URL: https://tools.ietf.org/html/rfc768 (дата обращения: 15.10.2023).
7. Zhang H. Network moving target defense technique based on collaborative mutation/ H.Zhang, C. Lei, D. Chang // Computers and Security. 2017. Vol. 70.P. 51-57.
8. Тихонов А.Н., Марковские процессы. А.Н. Тихонов, М.А. Миронов Издательство: Советское радио. 1977. 488 с.
9. Москвин А.А. Модель, оптимизация и оценка эффективности применения многоадресных сетевых соединений в условиях сетевой разведки./ А.А. Москвин, Р.В. Максимов, А.А. Горбачёв // Вопросы кибербезопасно-сти. 2023. № 3(55). С. 13-22. D0I:10.21681/2311-3456-2023-3-13-22
10. Горбачев А.А. Модель и параметрическая оптимизация проактивной защиты сервиса электронной почты от сетевой разведки // Вопросы кибербезопасности. 2022. № 3 (49). С. 69-81. D0I:10.21681/4311-3456-2022-3-69-81.
11. Соколовский С.П., Асимптотическая устойчивости модели динамического конфигурирования структуры вычислительных сетей С.П. Соколовский, И.С. Ворончихин // Безопасные информационные технологии. Международная научно-техническая конференция. 2021, с. 70-75.
Бодякин Максим Сергеевич, начальник курса, [email protected], Россия, Краснодар, Краснодарское высшее военное училище,
Соколовский Сергей Петрович, доктор техн. наук, доцент, начальник кафедры, [email protected], Россия, Краснодар, Краснодарское высшее военное училище
THE MODEL OF FUNCTIONING, SETTING THE TASK OF DETERMINING THE OPTIMAL VALUES OF THE DNS
PARAMETERS
M.S. Bodyakin, S.P. Sokolovsky
The processes offunctioning of the domain name service under network reconnaissance conditions have been investigated, and the possibilities of increasing the security of information systems by reducing the opportunities of network reconnaissance while maintaining a given level of resource costs have been determined. A model for configuring the parameters of the domain name service in information systems under network reconnaissance conditions has been developed, which is formalized as a semi-Markov stochastic process with discrete states and continuous time. The model allows obtaining probabilistic-temporal characteristics of the investigated processes necessary for determining optimal values of domain name service parameters such as the number of domain names and their lifespan.
Key words: domain name service parameters, information system, stochastic process, availability and security of information systems.
Bodyakin Maxim Sergeevich, the chief of the course, maksbody@mail. ru, Russia, Krasnodar, Krasnodar Higher Military School,
Sokolovsky Sergey Petrovich, doctor of technical sciences, docent, the head of the department, [email protected], Russia, Krasnodar, Krasnodar Higher Military School
