Научная статья на тему 'Оптимизация механизмов безопасности в рамках протокола IPsec'

Оптимизация механизмов безопасности в рамках протокола IPsec Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
304
63
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ПРОТОКОЛ / ОПТИМИЗАЦИЯ / ПОЛИТИКА / БЕЗОПАСНОСТЬ / ПЕРЕХОДНАЯ ВЕРОЯТНОСТЬ / СИМПЛЕКС / PROTOCOL / OPTIMIZATION / POLICY / SAFETY / TRANSITION PROBABILITY / SIMPLEX

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Кирко И. Н., Кушнир В. П.

Объединение обширной информации в рамках IPSec предоставляет возможность оптимально сформировать разные классы защиты. Методы поисковой оптимизации открывают путь к построению и поддержанию на оптимальном уровне, на основе протокола IPSec, множества виртуальных сетей, различающимися своими параметрами.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

SAFETY MECHANIZM OPTIMIZATION WITHIN THE FRAMES OF IPSEC PROTOCOL

Vast information gathering within the frames of IPSec gives the possibility to form various classes of safety in the optimal way. Search optimization methods open the door to formation and optimal maintenance on the basis of IPSec protocol of a lot of virtual nets, which differ in their parameters.

Текст научной работы на тему «Оптимизация механизмов безопасности в рамках протокола IPsec»

5. Петров А.П. Экономическое стимулирование комплексного использования древесного сырья. - М.:

Лесная пром-сть, 1980. - 104 с.

6. Леоненков А.В. Самоучитель 11М1_. - СПб.: БХВ-Санкт-Петербург. 2001. - 304 с.

7. Буч Г. Язык 11М1_. Руководство пользователя. - М.: Бином, 1999. - 560 с.

8. Ефремова С.А. Оптимизация использования производственных ресурсов лесопромышленных пред-

приятий: дис. ... канд. экон. наук. - СПб.: Изд-во ГЛТА, 1998. - 179 с.

--------♦------------

УДК 004 (075.8) И.Н. Кирко, В.П. Кушнир

ОПТИМИЗАЦИЯ МЕХАНИЗМОВ БЕЗОПАСНОСТИ В РАМКАХ ПРОТОКОЛА IPSEC

Объединение обширной информации в рамках IPSec предоставляет возможность оптимально сформировать разные классы защиты.

Методы поисковой оптимизации открывают путь к построению и поддержанию на оптимальном уровне, на основе протокола IPSec, множества виртуальных сетей, различающимися своими параметрами.

Ключевые слова: протокол, оптимизация, политика, безопасность, переходная вероятность, симплекс.

I.N. Kirko, V.P. Kushnir SAFETY ME^ANIZM OPTIMIZATION WITHIN THE FRAMES OF IPSEC PROTOCOL

Vast information gathering within the frames of IPSec gives the possibility to form various classes of safety in the optimal way. Search optimization methods open the door to formation and optimal maintenance on the basis of IPSec protocol of a lot of virtual nets, which differ in their parameters.

Key words: protocol, optimization, policy, safety, transition probability, simplex.

Совокупность механизмов безопасности, предлагаемая в рамках протокола IPsec - это основа, на которой может строиться реализация виртуальных частных сетей, обеспечиваться защищенное взаимодействие мобильных систем с корпоративной сетью, защита прикладных потоков данных и т.п. Работа в рамках стандартов IPsec обеспечивает полную защиту информационного потока данных от отправителя до получателя.

Средства безопасности для IP описываются семейством спецификаций IPsec. Протоколы IPsec обеспечивают управление доступом, целостность вне соединения, аутентификацию источника данных, защиту от воспроизведения, конфиденциальность и защиту от анализа трафика.

Архитектура средств безопасности для IP-уровня - это, прежде всего, протоколы обеспечения аутентичности (протокол аутентифицирующего заголовка - Authentication Header, AH) и конфиденциальности (протокол инкапсулирующей защиты содержимого - Encapsulating Security payload, ESp), а также механизмы управления криптографическими ключами. На более низком архитектурном уровне располагаются конкретные алгоритмы шифрования, контроля целостности и аутентичности. Наконец, роль фундамента выполняет домен интерпретации (Domain of Interpretation, DOI), являющийся базой данных, хранящей сведения об алгоритмах, их параметрах, протокольных идентификаторах и т.п. Для задания алгоритмов IPsec используется протокол ассоциаций (набор параметров) безопасности и управления ключами - ISAKMP.

Протоколы обеспечения аутентичности и конфиденциальности в IPsec не зависят от конкретных криптографических алгоритмов.

Алгоритмическая независимость протоколов требует предварительного согласования набора применяемых алгоритмов и их параметров, поддерживаемых общающимися сторонами, т.е. стороны должны выработать общий контекст безопасности (Security Association, SA) и затем использовать такие его элементы, как алгоритмы и их ключи. За формирование контекстов безопасности в IPsec отвечает особое семейство протоколов.

Системы, реализующие IPsec, должны поддерживать две базы данных:

• базу данных политики безопасности (Security policy Database, SpD);

• базу данных протокольных контекстов безопасности (Security Association Database, SAD).

Все IP-пакеты (входящие и исходящие) сопоставляются с упорядоченным набором правил политики безопасности. При сопоставлении используется фигурирующий в каждом правиле селектор - совокупность анализируемых полей сетевого уровня и более высоких протокольных уровней.

Системы, реализующие IPsec, функционируют как межсетевые экраны, фильтруя и преобразуя потоки данных на основе предварительно заданной политики безопасности [1].

Протокольный контекст безопасности в IPsec - это однонаправленное соединение (от источника к получателю), предоставляющее обслуживаемым потокам данных набор защитных сервисов в рамках одного протокола (AH или ESp). В случае симметричного взаимодействия партнерам придется организовать два контекста (по одному в каждом направлении). Если используются AH и ESp, потребуется четыре контекста.

Протокольный контекст создается на базе управляющего с использованием ключевого материала и средств аутентификации и шифрования последнего. Протокольные контексты являются средством проведения в жизнь политики безопасности. Политика безопасности должна быть задана для каждого сетевого интерфейса с задействованными средствами IPsec и для каждого направления потоков данных (входящие/исходящие). Согласно спецификациям IPsec, политика рассчитывается на бесконтекстную (независимую) обработку IP-пакетов.

Ассоциации безопасности

Исходный пакет IP

.__________J

SPD исходящего трафика

Обработанный пакет

ESP IP

ПТ ^

SPD исходящего ассоциаций

Входящий пакет ESP IP

Селектор Политика Параметры SA1

Параметры SA2

SA3 Параметры SA3

SPI

SPD входящих ассоциаций

Параметры SA1

Параметры SA2

Параметры SA3

Обработанный пакет IP

SPD входящего трафика

Селектор Политика

SA3

Рис. 1. Установление соответствия между IP-пакетами и правилами их обработки

База данных политики безопасности (SpD) представляет собой упорядоченный набор правил. Каждое правило задается как пара:

• совокупность селекторов;

• совокупность протокольных контекстов безопасности.

Селекторы служат для отбора пакетов, контексты задают требуемую обработку. Если правило ссылается на несуществующий контекст, оно должно содержать достаточную информацию для его (контекста) динамического создания. Очевидно, в этом случае требуется поддержка автоматического управления контекстами и ключами. В принципе функционирование системы может начинаться с задания базы SpD при пустой базе контекстов (SAD); последняя будет наполняться по мере необходимости.

Дифференцированность политики безопасности определяется селекторами, употребленными в правилах. Обработка исходящего и входящего трафика не является симметричной. Для исходящих пакетов

просматривается база SpD, находится подходящее правило, извлекаются ассоциированные с ним протокольные контексты и применяются соответствующие механизмы безопасности. Во входящих пакетах для каждого защитного протокола уже проставлено значение SpI, однозначно определяющее контекст. Просмотр базы SpD в таком случае не требуется; можно считать, что политика безопасности учитывалась при формировании соответствующего контекста.

Сложность процесса формирования механизмов безопасности приводит к большим затруднениям в выборе и поддержании оптимальных режимов работы в рамках протокола IPsec. Эти трудности обусловлены многообразием факторов, их сложной взаимозависимостью, наличием неконтролируемых возмущений.

Методы оптимизации могут быть различными в зависимости от конкретной формулировки задачи, объема и качества исходной информации, выбранных критериев оптимальности. Среди методов, получивших наибольшее распространение в промышленной оптимизации, достойное место занимает последовательный симплексный метод поиска и его модификации из-за их простоты и эффективности при поиске в сложных условиях.

Сущность симплексных методов состоит в том, что в ^-мерном пространстве управляемых переменных х движение к оптимуму осуществляется последовательным отражением вершин симплекса. Симплекс представляет собой фигуру с k+1 вершинами, не принадлежащими ни одному пространству меньшей размерности. В случае k=1 - это прямая, при k =2 - треугольник, k=3 тетраэдр и т.д. Целевая функция вычисляется в каждой из вершин симплекса. При поиске максимума вершина с наименьшим значением целевой функции отбрасывается и строится новый симплекс. Направление последнего перемещения симплекса в факторном пространстве достаточно близко к направлению градиента линейного приближения целевой функции.

На разных этапах ставятся различные задачи оптимизации, например, для этапа восхождения - максимум математического ожидания смещения центра симплекса к цели, а на этапе доводки - достижение заданной точности. Характер оптимизации во время доводки обусловлен расстоянием до цели: при малых расстояниях симплекс в среднем удаляется от точки экстремума целевой функции, при больших - приближается к этой точке. Поэтому локальные характеристики процесса доводки зависят от расстояния до цели и для изучения движения симплекса, представляющего собой случайное блуждание в районе цели, применяются интегральные статистические характеристики поиска. Условное математическое ожидание смещение центра симплекса к цели зависит от соотношения расстояния р до цели и длины шага А. Для каждого значения отношения полезного сигнала А, определяемого как произведение L |grad 0| ^ - длина ребра симплекса) к среднеквадратичному отклонению помехи 5 при заданных А и к существует расстояние р =R, при котором М[А /р] =0. Величина R называется радиусом стационарной орбиты, к которой в среднем тяготеет центр симплекса, блуждая вокруг цели. Радиусу R соответствует относительный радиус стационарной орбиты S=R/А, позволяющий анализировать влияние параметров поиска на точность отыскания экстремума.

Локальная плотность распределения перехода центра симплекса любой ориентации из состояния 5 в состояние д представляется в виде [2]

Г* С;Ю=2,,а1Р1(^)б[,-(?+*)], I1)

где Р) - вероятность отражения j-й вершины; 5 - дельта-функция; д] - значение величины А

при отражении j-й вершины.

Каждый шаг поиска вблизи экстремума зависит как от ориентации симплекса, так и от расстояния его центра до цели. Состоянием системы a, Ьь Ь2, със2,съ,с11... соответствуют расстояния до цели ра , рь , Ръ^Рс^Рс2, Рс3 Рй^ — (рис. 2). Относительному радиусу S стационарной орбиты R блуждания симплекса вокруг экстремума соответствует определенное минимальное количество шагов поиска достижения цели при условии, что длина ребра симплекса постоянная. Так состояния системы a соответствует 0-й орбите, состояния системы Ьь Ь2 - 1-й орбите и т.д. Последовательность простых состояний a, Ьъ Ь2,... образуют сложные состояния системы при построении многосвязной марковской цепи. В [2] показано, что в результате синтеза структуры марковской цепи, описывающей процесс поиска на этапе доводки, оптимальным будет алгоритм со свободным отражением. Данный алгоритм является базовым для оптимизации переходных вероятностей при поиске с распознаванием состояний.

Оптимизация переходных вероятностей осуществляется введением в алгоритм симплексного поиска правила распознавания состояний.

г = <

'1 при (т; <к + 2) П (уп - уп_я > 0)

2 при (т,- < к + 2) П (уп - Ул—ц > 0)

3 при (т,- < к + 2) П (уп - Ул—ц < 0),

4 при (т,- > к + 2) П (уп - Ул—q < 0),

(2)

где т;- - число последовательных шагов поиска, в ходе которых вершина с номером ] - не отражалась; ]=1,...,к+1;уп - значение измеряемой величины в вершине симплекса Vn; q - глубина предыстории.

Рис. 2. Блуждание симплекса вблизи экстремума

Данное правило позволяет в случае удаления симплекса от цели исключить переходы, связывающие

состояния марковской цепи (рис. 3) 2—6, 6—>17, 17—>27, 7—>13, 13—>18, 22—>28, 30—>24, 20—>14, 14 — 8,

31 —>21, 21—9, 9—4 (т.е. Р2б =0, Р6Д7=0,...Р94=0).

Приведем основные правила алгоритма симплексного поиска с распознанием состояний, полученные в результате оптимизации переходных вероятностей стохастического графа, описывающего процесс блуждания симплекса вокруг экстремума.

1. Из всех вершин симплекса выбрать вершину Уг с наименьшим значением у.

2. Присвоить m=z.

3. Оценить состояние на данном шаге поиска согласно (2):

а) если z=1,4, перейти к п. 4.

б) если т=2,3, перейти к п. 7.

4. Отразить вершину с номером т относительно противоположной грани симплекса.

5. Определить значение у^ во вновь полученной вершине.

6. Перейти к п. 1.

7. Из всех вершин симплекса, кроме 1£, выбрать вершину УР с наименьшим значением у.

8. Присвоить m=P.

9. Перейти к п. 4.

Приведенные правила процесса поиска на этапе доводки назовем алгоритмом симплексного поиска с запретом прямолинейного движения.

При определении переходных вероятностей используется методика, рассмотренная в [2], однако в данном случае необходимо учитывать величину полезного сигнала в соответствии с ориентацией симплекса.

£

а а

а Ы

Ы Ь2

Ы Ь2

а Ы

а а

Рис. 3. Граф стохастического блуждания симплекса вокруг экстремума

Предельные вероятности простых состояний a,b^,b2,cі,с2,с3 определяем путем суммирования вероятностей сложных состояний, имеющих одинаковые последние состояния:

ра—Р1+Р3+Р4+Р9, РЬ1=Р2+Р5+Р8+Рц+Р21, РЬ2=Рб+Р7+Рі0+Рі2+Рі*+Рі5+Р20+Р27+Рзіі Рс1=РіЗ+Рі6+Рі7+Рі9+Р25+Рз0>

Рс2 =Р22+Р26+Р28+Р29<

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Рс3 =Рі8+Р23+Р24-

(3)

На основе вероятностей (3) получаем предельную плотность вероятности нахождения центра симплекса на орбите R:

Л(0 = РаЩ - - т)+р'8в - Т,

где

Рс Рс^Р^ +Рс3

Рь =

_ РЬ!+РЬ2

Рс ~

_ РС1+РС2+РСЗ

2

1

3

5

а

4

Характеристика (4) позволяет оценить точность доводки, определить вероятность того, что в процессе случайного блуждания в районе цели симплекс не выйдет из заданной области.

Сопоставление зависимости плотности распределения &© для алгоритмов со свободным отражением вершин, запретом возврата и запретом прямолинейного движения показывает, что применение алгоритма с запретом прямолинейного движения можно в 1,2-И,3 раза повысить точность оптимизации, поддерживать оптимальный режим работы протокола !Рзео в рамках заданной политики безопасности.

Литература

1. Шаньгин В.Ф. Защита компьютерной информации: учеб. - М.: ДМК Пресс, 2008. - С. 544.

2. Дамбраускас А.П. Симплексный поиск: учеб. - М., 1979. - С. 175.

'--------♦-----------

УДК 57.025 В.А. Лоренц, В.Л. Гавриков, Р.Г. Хлебопрос

АНАЛИЗ ОБУЧЕНИЯ НЕЙРОННОЙ СЕТИ ЗАДАЧАМ, СОДЕРЖАЩИМ СКРЫТУЮ ЗАКОНОМЕРНОСТЬ

Анализируется динамика ошибок обучения нейронной сети в процессе решения задач, содержащих скрытую закономерность. Выявлено сходство обучения нейронной сети и способностей животных и человека.

Ключевые слова: нейронная сеть, обучение, ошибка, динамика, скрытая закономерность.

V.A. Lorents, V.L. Gavrikov, R.G. Khlebopros ANALYSIS OF THE NEURAL NETWORK TRAINING TO THE TASKS CONTAINING HIDDEN LAW

The dynamics of the neural network training error in the process of task solving which contain hidden law is analyzed. The similarity of neural network training and animal and human being abilities is revealed.

Key words: neural network, training, error, dynamics, hidden law.

Введение. Область науки, специализирующаяся на разработке и исследовании нейронных сетей, развивается в настоящее время очень интенсивно, это обусловлено фундаментальным интересом во всем мире к созданию искусственного интеллекта, а также широким применением нейронных сетей для решения различных практических задач, связанным с уникальным свойством нейросетей решать задачи, не поддающиеся человеческим способностям.

То обстоятельство, что нейронная сеть является совокупностью простых элементов, взаимодействие которых порождает новые свойства, не присущие каждому ее элементу в отдельности, породило идею о потенциальной возможности сопоставления нейронных сетей с природными объектами. Предполагается, что нейросеть может выступать в роли универсального эвристического модельного объекта «живого» и использоваться для выявления общих зависимостей поведения системы от ее структуры и свойств ее компонентов [1].

Среди всех возможных функций, осуществляемых живыми организмами, одной из важнейших является их способность к обучению. Исследовать это эволюционно значимое качество живых систем можно разнообразными способами, и сравнительный подход, включающий параллельное рассмотрение естественных и искусственных адаптивных систем, представляется весьма плодотворным.

Количество публикаций в области исследования обучения живых систем чрезвычайно велико, так как данная тема находится на стыке многих научных дисциплин - нейрофизиологии, психологии, педагогики, математики, нейрокомпьютинга - и каждая из них претендует на особую значимость в сфере исследования

i Надоели баннеры? Вы всегда можете отключить рекламу.