Научная статья на тему 'Модели обнаружения атак при управлении оборудованием современной инфокоммуникационной сети специального назначения'

Модели обнаружения атак при управлении оборудованием современной инфокоммуникационной сети специального назначения Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
402
113
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
УПРАВЛЕНИЕ / АТАКИ / ИНФОКОММУНИКАЦИОННАЯ СЕТЬ / ТЕЛЕКОММУНИКАЦИОННОЕ ОБОРУДОВАНИЕ / СИСТЕМА ЗАЩИТЫ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Легков К. Е., Буренин А. Н.

В статье в соответствии с особенностями архитектур, принципов построения и условиями функционирования инфокоммуникационных сетей специального назначения, предназначенных в соответствии с Законом Российской Федерации «О связи» для обеспечения потребностей в информационных и телекоммуникационных услугах различных органов управления для нужд обороны, безопасности и обеспечения правопорядка, с учетом требований международных и отечественных стандартов в области сетевого управления, организации сетей управления телекоммуникациями (TMN), систем сетевого управления (NMS), сетей обмена управляющей информацией автоматизированных систем управления инфокоммуникационных сетей специального назначения, приводятся варианты организационного построения и математического описания комплексов обнаружения кибератак, воздействующих как на средства инфокоммуникаций, так и на средства управления автоматизированных систем управления. Приводится постановка задач моделирования процессов обнаружения атак, предлагаются модели обнаружения, встроенные в процедуры управления оборудованием инфокоммуникационных сетей специального назначения, получены выражения для вероятностно-временных оценок обнаружения одиночных и повторяющихся кибератак на оборудование и его встроенные средства управления для различных вариантов реагирования на обнаруженные атаки. При использовании возможностей средств службы технологического управления для выявления фактов компьютерных атак, авторами предлагается использовать факты обнаруженных нелегитимных значений параметров MIB агентов управления телекоммуникационного оборудования узлов инфокоммуникационной сети специального назначения. Нелегитимность изменения фиксируется, если это изменение не было вызвано управляющим воздействием через службу технологического управления. При этом считается, что описываемые атаки не выявляются или пропущены средствами защиты информации, имеющимися на узлах инфокоммуникационной сети специального назначения, т.к. в противном случае они не приведут к нелегитимному изменению параметра MIB. В статье получены аналитические выражения для оценочных значений вероятностей обнаружения атак, направленных на комплексы и оборудование инфокоммуникационных сетей специального назначения в процессе управления ими. Используя полученные аналитические выражения для оценочных значений вероятностей обнаружения атак, можно обоснованно осуществлять выбор целесообразных значений периодов опроса (средних значений периодов опроса).

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Легков К. Е., Буренин А. Н.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Модели обнаружения атак при управлении оборудованием современной инфокоммуникационной сети специального назначения»

ИНФОРМАЦИОННАЯ И КИБЕРБЕЗОПАСНОСТЬ

МОДЕЛИ ОБНАРУЖЕНИЯ АТАК ПРИ УПРАВЛЕНИИ ОБОРУДОВАНИЕМ СОВРЕМЕННОЙ ИНФОКОММУНИКАЦИОННОЙ СЕТИ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ

Легков К.Е., к.т.н., Военно-космическая академия имени А.Ф. Можайского, [email protected]

Буренин А.Н., к.т.н., доцент, Военно-космическая академия имени А.Ф. Можайского, [email protected]

Ключевые слова:

управление, атаки, инфокоммуникационная сеть, телекоммуникационное оборудование, система защиты.

АННОТАЦИЯ

В статье в соответствии с особенностями архитектур, принципов построения и условиями функционирования инфокоммуникационных сетей специального назначения, предназначенных в соответствии с Законом Российской Федерации «О связи» для обеспечения потребностей в информационных и телекоммуникационных услугах различных органов управления для нужд обороны, безопасности и обеспечения правопорядка, с учетом требований международных и отечественных стандартов в области сетевого управления, организации сетей управления телекоммуникациями (TMN), систем сетевого управления (NMS), сетей обмена управляющей информацией автоматизированных систем управления инфокоммуникационных сетей специального назначения, приводятся варианты организационного построения и математического описания комплексов обнаружения кибератак, воздействующих как на средства инфокоммуникаций, так и на средства управления автоматизированных систем управления. Приводится постановка задач моделирования процессов обнаружения атак, предлагаются модели обнаружения, встроенные в процедуры управления оборудованием инфокоммуникационных сетей специального назначения, получены выражения для вероятностно-временных оценок обнаружения одиночных и повторяющихся кибератак на оборудование и его встроенные средства управления для различных вариантов реагирования на обнаруженные атаки. При использовании возможностей средств службы технологического управления для выявления фактов компьютерных атак, авторами предлагается использовать факты обнаруженных нелегитимных значений параметров MIB агентов управления телекоммуникационного оборудования узлов инфокоммуникационной сети специального назначения. Нелегитимность изменения фиксируется, если это изменение не было вызвано управляющим воздействием через службу технологического управления. При этом считается, что описываемые атаки не выявляются или пропущены средствами защиты информации, имеющимися на узлах инфокоммуникационной сети специального назначения, т.к. в противном случае они не приведут к нелегитимному изменению параметра MIB.

В статье получены аналитические выражения для оценочных значений вероятностей обнаружения атак, направленных на комплексы и оборудование инфокоммуникационных сетей специального назначения в процессе управления ими. Используя полученные аналитические выражения для оценочных значений вероятностей обнаружения атак, можно обоснованно осуществлять выбор целесообразных значений периодов опроса (средних значений периодов опроса).

Общая постановка задач моделирования

обнаружения кибератак

Потенциально достижимое качество работы системы защиты информации инфокоммуникационных сетей специального назначения (ИКС СН) как взаимоувязанной совокупности средств защиты информации (СЗИ), распределенных по элементам ИКС СН, кроме ее внутренней организации, в значительной степени определяется также тем, как организовано управления этой системой, в том числе от того, как реализован контроль событий безопасности, происходящих во всех элементах ИКС СН, фиксируемых распределенными СЗИ [1]. Для организации управления комплексом СЗИ создаются комплексы управления, являющимися составными частями системы обеспечения безопасности [2] и системы управления ИКС СН, рис. 1.

В соответствии с известными замыслами создания средств управления сетями, возможными схемами построениями являются [3]:

- размещение и применение промежуточного сервера управления локального СрУЛ;

- организацией взаимодействий источников и потребителей оперативных и ретроспективных данных о произошедших кибератаках.

При этом целесообразны два возможных варианта использования: централизованная или иерархическая структуры, рис. 2 и 3.

Моделирование процессов обнаружения должно осуществляться единообразно для обоих вариантов с целью определения зависимости своевременности и оперативности поступления данных мониторинга (периода времени от момента получения данных от источника обнаружения кибератаки до момента занесения их в базу данных сервера управления оборудованием) и получения вероятностно-временных характеристик.

Основными меняющимися параметрами, влияние которых подлежит учету в разрабатываемых моделях, являются:

- количество узлов ИКС СН;

- объем данных мониторинга, получаемых от источника, и интенсивность их получения (случайные величины);

- влияние обработки данных СрУЛ на производительность сетевых средств управления (СрУС);

- пропускная способность трактов передачи сети управления;

- увеличение объема трафика при возможной передаче данных по закрытому тракту;

- производительность всех средств сбора информации о событиях безопасности.

Организация взаимодействий средств сбора информации о событиях безопасности (КСИ - источники информации) и потребителей оперативных данных (СрУЛ и СрУС) предполагает выбор дисциплины получения данных программами сбора и обработки данных по событиям НСД. Всегда имеется

Элемент ИКС СН

Комплексы СЗИ

Элемент ИКС СН

Элемент ИКС СН

Комплексы СЗИ

Комплексы СЗ'

Система управления

же СН

III

Комплексы управления системой защиты информации

Элемент ИКС СН

Комплексы I СЗИ /

I

Элемент ИКС СН Комплексы СЗИ

Элемент ИКС СН

Комплексы СЗИ

—. ^ __ —'

Рис. 1 - Организация управления системой защиты информации в ИКС СН

www.h-es.ru

Рис. 2 - Централизованная структура управления системой защиты информации

high tech in earth space research

27

H&ES

RESEARCH

ИНФОРМАЦИОННАЯ И КИБЕРБЕЗОПАСНОСТЬ

Рис. 3 - Иерархическая структура управления системой защиты информации

или более источников данных, каждый из которых по запросу программ сбора данных серверов управления предоставляет значения всех параметров, изменившихся в MIB оборудования ИКС СН с момента предыдущего запроса. Причем в силу влияния случайных факторов зависимости факта и объема изменения данных в результате кибератак от времени являются случайными и заранее не известны.

Потребители информации о НСД взаимодействуют с источниками информации безопасности (СЗИ) посредством циклического выполнения следующих процессов:

- формирование запроса (используется фиксированный вычислительный ресурс серверов управления;

- передача запроса либо непосредственно, либо по тракту передачи данных к источникам информации безопасности (СЗИ);

- отработка запроса источником информации безопасности (СЗИ), длительность которой определяется фиксированной известной составляющей и переменной составляющей, линейно зависящей от объема изменений в данных, подлежащих передаче;

- передача ответа либо непосредственно, либо по тракту передачи данных к серверам управления (время передачи определяется аналогично времени обработки запроса источником);

- выработка ответа (команды реакции на событие) СрTУ, ШВ или СрТС (используется их вычислительный ресурс), время зависит от фиксированной известной величины.

Исходные данные для моделей процессов

обнаружения атак

Служба технологического управления (СTУ) автоматизированных систем управления (АСУ) осуществляет периодический опрос значений параметров информационных баз управления (Management Information Base (MIB) агентов управления (АУ) телекоммуникационного и серверного обо-

рудования (ТКСО), а также фиксирует все управляющие воздействия на контролируемые АУ (запросы на изменение значений параметров MIB, осуществляемые через СТУ).

Каждый опрос занимает некоторое время и по окончании каждого запроса осуществляется сравнение полученных значений контролируемых параметров MIB и их сравнение с предыдущими (хранимыми) значениями.

Если значения не совпадают, то:

- если от момента окончания предыдущего опроса до момента завершения последнего опроса одного или более управляющих воздействий в СТУ не зафиксировано, то это означает факт нелегитимного изменения значений параметров MIB, то есть состоявшуюся атаку;

- если от момента окончания предыдущего опроса до момента завершения последнего опроса были одно или более управляющих воздействий в СТУ, то считается, что параметры изменены легитимно.

Тем самым, атака будет не обнаружена, если на интервале между моментами окончания двух последовательных опросов имели место и атака (атаки), и управляющее воздействие (воздействия).

Таким образом, интерес представляет исследование зависимости Рка = А^пр, ЬА, ЬВ) где: Рка - вероятность обнаружения атаки;

(ОПР - длительность опроса (нормально распределенная случайная величина);

ЬА - интенсивность атак (экспоненциально распределенная случайная величина времени между двумя атаками); ЬВ - интенсивность легитимных управляющих воздействий (экспоненциально распределенная случайная величина времени между двумя последовательными управляющими воздействиями).

Отдельный интерес представляет усложненные условия реализации атак и их отражение в модели:

- когда каждая атака повторяется раз (равномерно распределенная случайная величина на интервале с интервалом (нормально распределенная случайная величина);

- когда последствия каждой обнаруженной атаки (группы одновременно обнаруженных атак) устраняются посредством выполнения соответствующего управляющего воздействия через СТУ для восстановления нелегитимно измененных значений.

Таким образом, возможны варианты событий:

- нет повтора атак и нет устранения последствий;

- есть повтор атак и нет устранения последствий;

Атака Команда СТУ

Рис. 5 - Процессы изменения параметров MIB АУ

- нет повтора атак, но есть устранение последствии;

- есть повтор атак и есть устранение последствии.

Аналитическая оценка вероятности

обнаружения атак

При использовании возможностей средств службы технологического управления для выявления фактов компьютерных атак, предлагается использовать факты обнаруженных нелегитимных значений параметров М1В агентов управления телекоммуникационного оборудования узлов ИКС СН. Нелегитимность изменения фиксируется, если это изменение не было вызвано управляющим воздействием через СТУ. При этом будем считать, что описываемые атаки не выявляются или пропущены средствами защиты информации, имеющимися на узлах ИКС СН, т.к. в противном случае они не приведут к нелегитимному изменению параметра М1В.

Для конкретизации модели получения оценки вероятности обнаружения компьютерных атак, рассмотрим процессы их реализации во времени,

рис. 5. При этом используем математический аппарат теории потоков и массового обслуживания [4-7].

Тем самым, атака будет не обнаружена, если на интервале между моментами окончания двух последовательных опросов имели место и атака (атаки), и управляющее воздействие (воздействия).

Таким образом, необходимо получить аналитическое выражение для оценки вероятности обнаружения атак:

Рка = / (¡апр, 1л, Ьв ), (1)

где ¡опР - случайная длительность опроса; Ьл — прогнозируемая интенсивность атак; Ьв — прогнозируемая интенсивность легитимных управляющих воздействий.

Также, если это фактически важно, в аналитических выражениях следует отразить реализованные в модели атак события:

- повторение атак пл раз (равномерно распределенная случайная величина на интервале [1, ] с интервалом ¡ (нормально распределенная случайная величина);

- когда последствия каждой обнаруженной атаки (группы одновременно обнаруженных атак) устраняются посредством выполнения соответствующего управляющего воздействия через СТУ для восстановления нелегитимно измененных значений.

Таким образом, следует получить следующие аналитические модели:

- без повтора атак и без устранения последствий;

- с повтором атак и без устранения последствий;

- без повтора атак и с устранением последствий;

- с повтором атак и с устранением последствий.

Модель воздействий на элемент ИКС СН с одиночной атакой и отсутствием оперативного реагирования.

Как известно, длительность опроса равна сумме постоянной величины длительности паузы и собственно времени опроса, которое является случайной нормально распределенной величиной с функцией распределения:

"опр > ' опр

dt,

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

(2)

где ( - среднеквадратическое отклонение,

топр — среднее значение длительности опроса.

Вполне очевидно, что в практических случаях реализации служб технологического управления длительность опроса не может быть ни -<», ни +®, а находится в допустимых пределах значений [тт ¡опр ,тах Iопр ]•

При этом вероятность нахождения случайной величины длительности опроса в этом интервале составит:

Р(т1П¡опр < (опр < тах 1опр) =

1 max ton?

"7= f '

П min ton?

(3)

" dt

Ясно, что непосредственно применять приведенное выше выражение для оценки вероятности обнаружения атаки в конкретном интервале опроса нельзя, так как оценка вероятности обнаружения атак для данного интервала [mintonp,maxtonp ] именно для практических целей не имеет существенного значения. Поэтому здесь можно предложить два подхода: получить аналитическое выражение вероятности обнаружения атаки для значения времени опроса, равного математическому ожиданию длительности опроса, т.е. m или оценить граничные значения вероятностей отдельно для mintonp и отдельно для max tonp, предполагая,

что таким образом удастся получить интервальную оценку вероятности обнаружения атаки.

Предложим общий подход к получению аналитической оценки вероятности обнаружения атаки для этих двух вариантов. Введем обозначение tOnp, под которым будем понимать либо monp, либо min tonp или max tonp .

С учетом исходных данных в качестве модели атак, воздействующих на АУ КТС ИКС СН, целесообразно взять

пуассоновский стационарный поток с интенсивностью LA . Для такого потока вероятность того, что за время опроса tonp произойдет ровно к атак составит:

(4)

P[A(t + Cp) - A(t)] = (LAt°np)k e-LAtonp.

к!

Или, для рассматриваемых двух подходов:

P[A(t + moip) - A(t)] =

(5)

P[A(t + mintonp) - A(t)] = (La mintonp)k e-LAmin• (6)

k !

P[A(t + maxtonP) - A(t)] = (La maxtonp^ max^ • 7

k !

В общем случае за время одного опроса может быть осуществлено несколько атак на конкретный параметр М1В, что затрудняет процедуры их определения, выявления и фактически может восприниматься как одна атака.

www.h-es.ru

high tech in earth spa e research

29

H&ES

RESEARCH

ИНФОРМАЦИОННАЯ И КИБЕРБЕЗОПАСНОСТЬ

P (A'e обн ] = [1 - e-n'LA maxtonP ] [1 - e-LB maxtonP ]. (27)

В этом плане представляется логичным вычислить вероятность того, что за время опроса будет осуществлена хотя бы одна атака:

P[A{t + monp) - A(t) > 1] = 1 -e~lAm°". (8)

P[A(t + mintonp) - A{t) > 1] = 1 - e-LAmmw. (9)

P[A(t + max tonp) - A(t) > 1] = 1 - e-LA maxtonp. (10)

Аналогичные выражения могут быть приведены и для управляющих воздействий на параметры MIB:

P[U{t + mP -U (t) > 1] = 1 -e

(11)

P[U (t + min tonp ) - U (t ) > 1] = 1 - e" Lb min tonp. (12)

P[U (t + max tonp ) - U (t) > 1] = 1 - e"

(13)

Приведенные выражения позволяют получить оценку вероятности обнаружения атаки в каждом цикле опроса данных MIB:

PA] = e^il-e-^ ]. (14)

P[A' ] =e^LBmintonp[1 -e_LAinint0np]. (15)

P[A" ] = e Lb maxtonp [1 - e~La max>onp ]. (16)

Аналогично, оценку вероятности пропуска (не обнаружения состоявшейся атаки) можно определить по выражениям:

Р [Аобн] = [1 - е1АШ°п' ] [1 - е1вш°п' ].

min tonp < min tA.

Модели воздействий на элемент ИКС СН с оперативным реагированием на обнаруженные воздействия.

При реализации процедур оперативного реагирования на обнаруженные воздействия важны особенности их реализации. Так если при выявлении нелегитимного изменения того или иного параметра соответствующей MIB сразу детерминировано дается команда СТУ на его корректировку, то вероятностные модели не подлежат коррекции. Если задано в исходных данных на управление, что команды на легитимное изменение MIB характеризуются прогнозируемой величиной интенсивности LB, то в этом случае вероятностная картина меняется, а сама модель примет следующий вид:

PAP = е^Ш - ]Твт0рТв1Пп ■ (28)

P[A'0Tp\ = e~LBVmn'0UF [1 -e-LAmn'onp ]LB min tpppe~LB mntoUF . (29) pyA' \ = e~lbmax'onp[i — e~LAmaxtonp\L maxt e~LBmaxtonr . (30)

P[Arm отр\ = e Твт" [1 — ~пПа^то°р \ 1Bm0ppe-~LBVVopp. (31) —LBmintonp[1 — e-na~LAmmtonp\L mint eJLBmintonp . (32) P[A" \ = e^LBmax'oup [i — enaLAmaxtonp \ l maxt g-LBmax>onp. (33)

PA отр 1

^-ШпЛП _-ЬБШо„^ (17)

Р\Аоб„ ] = [1 - е-Ьл шп'опР ] [1 - е-1в ш1П'опР ]. (18)

Р А'обн ] = [1 -е~Та ШЯК'ОПР ][1 -е~1в ШаХ'ОПР ]. (19)

Модель воздействий на элементы ИКС СН с повтором атак и отсутствием оперативного реагирования.

Применяя подход к синтезу предыдущей модели к модели с повтором воздействий, следует учесть тот факт, что интервал повтора должен быть меньше длительности опроса, в противном случае данная атака будет восприниматься как другая атака в другом интервале опроса, т.е.:

Ы[1А] = ша <шопр- (20)

Полученные выражения позволяют предложить оценочные значения вероятности обнаружения атак на АУ оборудования ИКС СН:

- без повтора атак и без устранения последствий: точечная оценка:

Рб =е-1вШо-[1 -еТАШо- ]. (34)

интервальная оценка:

p* = [ e~LBmin tonp (1 - e~LAmn tonp ).

(35)

0-Lb max tonp (1 - q~La max to

(21)

- с повтором атак и без устранения последствий: точечная оценка:

Р'бнгет =е~1вШо'р[1 -е~Па1ш ]. (36)

интервальная оценка:

р* = ™п'опр (1 - „-пЛлтп 1ош, ).

обнД гет Ь V . (3/)

При выполнении данных условий выражения для оценок вероятностей обнаружения и не обнаружения соответствующих атак с повтором примут следующий вид:

-Lb maxtonp (1 - e^naLA maxtol

PAreino6H] = e" - e"naLm ]

(22)

P\Aremo6H\ =e

rem обн J

= e-1b mintonP [1 — e-naa^■AШmtoUp] .(23)

P^A' ] = e LBmaxtonP [1 _ Q-n,LAmaxtonP ]. (24)

P[Arm обн ] = [1 - e-n-LAm'p ] [1 - e-LBmp ] .

P [A rem обн ] — [1 e

-naLA mintonP

][1 -e

-Lb mintonp

(25) ] (26)

- без повтора атак и с устранением последствий: точечная оценка:

Рбниг =ТвШОПре-ТвШо-е-ТвШо-[1 -е~Тш ]. (38) интервальная оценка:

р* —\р-ЬвШт1от1Р(Л_ а-Ь*шШ0Т1Р\ Т Р-Ьв Ш1п'одР •

РоблпИт Д= [е (1 е ШШШолре . . (39)

Ьв шах^одР (1 - е-~ЪА шах^одР Шах'опР ]

- с повтором атак и с устранением последствий: точечная оценка:

P* —Q-LвШo,,p[^ e^naL ^Шопр ] L ш e-LBm„p (40)

Гобн ustr rem —Q [1 Q ] LB ШoпpQ ' 1 1

интервальная оценка:

p* — minW (1 -е-п,Ьлтт1апг )L „ t e-L'minlonr ■

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Pобн ustr Л rem- Iе (1 e ) L B mmLonpC (41)

e-LBmwxtoap (1_QnaL л maxtonp )LB maxt e^BinaxOnp ]

Таким образом, в статье получены аналитические выражения для оценочных значений вероятностей обнаружения атак, направленных на комплексы и оборудование ИКС СН в процессе управления ими (воздействия, отражающиеся в АУ комплексов и оборудования).

Используя полученные аналитические выражения для оценочных значений вероятностей обнаружения атак, можно обоснованно осуществлять выбор целесообразных значений периодов опроса (средних значений периодов опроса).

Так как, в общем и целом, интенсивности LB, LB , LA и

LA находятся вне зоны влияния системы управления ИКС СН и ее СТУ, то задавшись некоторой допустимой величиной вероятности обнаружения атак для каждого рассмотренного варианта, можно выбрать такое значение m , чтобы

выполнялись условия:

Р1н > Рб ■ (42)

p * > p SUP йбн А — йбн А ' (43)

p* > psuP йбн rem йбн rem (44)

p * > psuP йбн А rem — йбн А rem (45)

p* > p SUP o6n ustr o6n ustr (46)

p * > p SUP йбн ustr А — йбн ustr А ' (47)

p * > p SUP йбн ustr rem йбн ustr rem (48)

P * > Psup (49'

обн ustr A rem обн ustr A rem ' '

Литература

1. Легков К.Е. О некоторых подходах к повышению эффективности системы управления в рамках изменения подхода к автоматизации и информации / К.Е. Легков // Мобильные телекоммуникации (Mobile Communications). - 2013. - № 7. -С.48.

2. Легков К.Е. Основные теоретические и прикладные проблемы технической основы системы управления специального назначения и основные направления создания инфоком-муни-кационной системы специального назначения/ К.Е. Легков // T-Comm: Телекоммуникации и транспорт. - 2013. - Т. 7, № 6. -С.42-46.

3. Легков К.Е. Процедуры и временные характеристики оперативного управления трафиком в транспортной сети спе-ци-ального назначения пакетной коммутации/ К.Е. Легков // T-Comm: Телекоммуникации и транспорт. - 2012. - Т. 6, № 6. - С.22-26.

4. Легков К.Е. Вероятность потери пакета в беспроводных сетях со случайным множественным доступом к среде передачи/ К.Е.Легков, А.А. Донченко // T-Comm: Телекоммуникации и транспорт.-2011. - Т.5,№5.-С.32-33.

5. Легков К.Е. Современные технологии беспроводного широкополосного доступа 802.16Е и LTE: перспективы внедрения на транспорте/ К.Е. Легков, А.А. Донченко, В.В. Садовов // T-Comm: Телекоммуникации и транспорт. - 2010. - Т. 4, №2. - С. 30-32.

6. Легков К.Е. Беспроводные MESH сети специального назначения / К.Е. Легков, А.А. Донченко // T-Comm: Теле-коммуника-цииитранспорт.- 2009.-Т.3,№3. -С.36-37.

7. Легков К.Е. Анализ систем передачи в сетях беспроводного доступа / К.Е. Легков, А.А. Донченко // T-Comm: Телекомму-никацииитранспорт.-2009. - Т.3, №2.-С. 40-41.

MODELS OF DETECTION OF ATTACKS IN

CASE OF CONTROL OF THE EQUIPMENT OF THE MODERN

INFOCOMMUNICATION NETWORK OF THE SPECIAL PURPOSE

Legkov K., Ph.D, Military Space Academy, [email protected] Burenin A., Ph.D, associate professor, Military Space Academy, [email protected] Abstract

In article according to features of architecture, principles of creation and operating conditions of the infocommunication networks of a special purpose intended according to the Law of the Russian Federation "About communication" for support of needs for information and telecommunication services of different governing bodies for needs of defense, safety and support of a law and order taking into account requirements of the international and domestic standards in the field of network control, the organization of networks of telecommunication management (TMN), systems of network control (NMS), networks of an exchange of control data of automated control systems of infocommunication networks of a special purpose, options of organizational creation and the mathematical description of complexes of detection of the cyberattacks influencing both means of infokommunikation and to controls of automated control systems are given. Setting of tasks of simulation of processes of detection of attacks is given, the detection models which are built in procedures of control of the equipment of infocommunication networks of a special purpose are offered, expressions for probable and temporal estimates of detection of the single and repeating cyberattacks to the equipment and its built-in controls for different options of response to the found attacks are received. When using opportunities of means of service of technological control for detection of the facts of computer attacks, authors offer to use the facts of the found illegitimate parameter values of MIB of agents of control of telecommunication equipment of nodes of an infocommunication network of a special purpose. Illegitimacy of change is fixed if this change wasn't caused by the controlling influence through service of technological control. Thus it is considered that the described attacks don't come to light or are missed by the information security features which are available on nodes of an infocommunication network of a special purpose

since otherwise they won't lead to illegitimate change of the MIB parameter. In artide analytical expressions for evaluation values of probabilities of detection of the attacks directed on complexes and the equipment of infocommunication networks of a special purpose in administrative process by them are received. Using the received analytical expressions for evaluation values of probabilities of detection of attacks, it is possible to realize reasonably a choice of expedient values of the periods of inquiry (mean values of the periods of inquiry).

Keywords: control, attacks, infocommunication network, telecommunication equipment, system of protection. References

1. Legkov, K 2013, 'About some approaches to increase of system effectiveness of control within change of approach to automation and information', Mobile telecommunications (Mobile Communications), no. 7, p. 48.

2. Legkov, K 2013, 'Main theoretical and application-oriented problems of a technical basis of management system of a special purpose and main directions of creation of infocommunication system of special assignment', T-Comm: Telecommunications and transport, vol. 7, no. 6, pp. 42-46.

3. Legkov, K 2012, 'Procedures and time response characteristics of operational management of traffic on the transport network of a special purpose of package switching', T-Comm: Telecommunications and transport, vol. 6, no. 6, pp. 22-26.

4. Legkov, K & Donchenko, A 2011, 'Veroyatnost of loss of a packet on the wreless networks wth accidental multiple access to the environment transmission', T-Comm: Telecommunications and transport, vol. 5, no. 5, pp. 32-33.

5. Legkov, K & Donchenko, A & Sadovov, V 2010, The modern technologies of broadband wreless access 802.16E and LTE: implementation perspectives on transport', T-Comm: Telecommunications and transport, vol. 4, no. 2, pp. 30-32.

6. Legkov, K & Donchenko, A 2009, "Wireless MESH networks of a special purpose', T-Comm: Telecommunications and transport, vol. 3, no. 3, pp. 36-37.

7. Legkov, K & Donchenko, A 2009, The analysis of transmission systems on networks of wreless access', T-Comm: Telecommunications and transport, vol. 3, no. 2, pp. 40-41.

www.h-es.ru

high tech in earth space research

3I

i Надоели баннеры? Вы всегда можете отключить рекламу.