CC BY
32
УДК 681.322
ОПТИМИЗАЦИЯ РАБОТЫ СИСТЕМЫ ВЫЯВЛЕНИЯ НЕСАНКЦИОНИРОВАННЫХ ВОЗДЕЙСТВИЙ В УСЛОВИЯХ ОГРАНИЧЕНИЯ ВРЕМЕННОГО РЕСУРСА НА РЕШЕНИЕ ЗАДАЧ ЗАЩИТЫ ИНФОРМАЦИОННОЙ СИСТЕМЫ А.В. Душкин, Е.А. Рогозин, С.В. Скрыль
В статье рассматривается вариант оптимизации работы системы выявления несанкционированных воздействий в условиях ограничения временного ресурса на решение задач защиты информационной системы методом рационального комплексирования разнородных признаков этих воздействий
Ключевые слова: информационная система, несанкционированное воздействие, признак
Современная жизнь невозможна без информационных систем (ИС), представляющих собой взаимосвязанные между собой информационные и телекоммуникационные средства сбора, обработки и передачи информации, предназначенные для обеспечения определенных технологических циклов по формированию баз данных и управлению различными технологическими процессами (например, автоматизированные системы управления воздушным движением, транспортными потоками и т.д.). При этом нарушение последовательности операций технологических циклов, выход некоторых параметров за допустимые пределы на установленном интервале времени приводит к нарушению функционирования ИС, и, соответственно, нанесению им определенного ущерба.
Существующие меры защиты, как правило, используют большое количество средств обнаружения несанкционированных воздействий (НСВ) и реагирования на воздействия угроз. Но огромная часть информации о характеристиках воздействий и происходящих процессах зачастую дублируется или просто отсутствует, что не дает возможности определения этапа и характера воздействия и, как следствие, степени его опасности, а это, в свою очередь, приводит к неадекватному реагированию системы защиты информации (СЗИ). Кроме того, современные средства защиты, как правило, разрабатываются для сетей общего пользования и не учитывают особенностей работы ИС, выполняющих определенные технологические циклы и не приемлющих в ряде случаев стандартных универсальных решений СЗИ.
Вышесказанное определило необходимость решения задачи рациональной фильтра-
Душкин Александр Викторович - ВГТУ, канд. техн. наук, доцент, e-mail: a_dushkin@mail.ru
Рогозин Евгений Алексеевич - ВГТУ, д-р техн. наук, доцент, e-mail: a_dushkin@mail.ru
Скрыль Сергей Васильевич - МГТУ им. Н.Э. Баумана, д-р техн. наук, профессор, тел. (495) 632-22-47,
e-mail: zi@bmstu.ru
ции разнородных признаков НСВ в рамках оптимизации процесса выявления НСВ с учетом необходимости безусловного выполнения ИС основных задач по целевому назначению. В ходе ее решения дано обоснование метода рационального комплексирования разнородных признаков несанкционированных воздействий на информационные системы, отличающегося от известных введением в пространство основных признаков НСВ дополнительных значимых признаков, специфичных для определенных ИС, и дополнительных математических соотношений с целью оптимизации работы системы выявления НСВ в условиях ограничения временного ресурса и достижения требуемой своевременности реагирования на воздействия.
Формирование информационного пространства признаков НСВ на ИС реализуется путем покрытия информационного пространства данных основных средств регистрации признаков воздействий информационным пространством дополнительных данных. Это связано с недостатком в пространстве основных данных мониторинга некоторых элементов, специфичных для отдельных типов воздействий, отсутствие которых может привести к низкой эффективности процесса выявления (неправильному определению вида НСВ, оценке степени его опасности и т.д.). С методической точки зрения данную процедуру можно рассматривать как процедуру дополнения одного информационного пространства другим [1], что позволяет сформулировать утверждение о ее формальном представлении.
Утверждение 1. Процесс формирования информационного пространства данных основных средств регистрации признаков НСВ информационным пространством дополнительных данных с точки зрения формальной логики можно рассматривать как процедуру дополнения одного множества информационных элементов другим.
Для формального представления положений утверждения введем следующие обозначе-
ния: Iо - общее информационное пространство
данных признаков НСВ; Iм - информационное пространство данных основных средств регистрации признаков НСВ; Iдоп - информационное пространство дополнительных данных.
С учетом введенных обозначений формальное представление утверждения имеет
то тм I I тдоп Л
следующий вид: при I = I и I справедли-
тм тдоп
во I = I
Доказательство. Рассмотрим детально механизм информационного покрытия. Для однозначного определения корреляции основных и дополнительных данных мониторинга информационного пространства осуществим разбиение пространств Iм и Iдоп на М и N не-пересекающихся подпространств (фрагментов)
соответственно. При этом в пространстве Iм формируется М фрагментов базовых инфор-
доп
мативных признаков, а в пространстве I -N фрагментов значимых информативных признаков, обеспечивающих соответствующие базовые признаки. Тогда можно записать следующее соотношение:
Iм 4л /2м, к, м ), (1)
где ¡м - т -й ( т = 1, 2,..., М ) базовый ин-
формационный признак информационного пространства данных основных средств регистрации признаков НСВ;
тдоп 1-доп •доп •доп |
1 = П , 2 , ., ¡N ), (2)
где ¡Пдоп - п -й (п = 1, 2, ., N ) значимый ин-
формационный признак информационного пространства данных дополнительных средств регистрации признаков НСВ.
Общее информационное пространство данных признаков НСВ на ИС СН формируется на основе информационного пространства данных основных средств регистрации признаков
НСВ Iм и информационного пространства до-
доп
полнительных данных I , то есть имеет место соотношение
то _ 1-м | | -доп | | •доп | | •доп
1 = \<1 и ¡11 и ¡12 — и ¡1К, , ■■■,
1 \, (3)
м доп доп доп
1М и ¡11 и ¡12 — и 1МКм )
где Кт - число значимых признаков простран-
доп
ства I , дополняющих отсутствующую часть смыслового содержания базового признака ¡тм
доп
пространства I .
М
Характеристику ^ Кт = N процесса по-
т=1
крытия одного информационного пространства
другим будем называть степенью или глубиной покрытия. При этом, (3) примет вид
Iо 4г и ¡г.......м и Iм), (4)
где 7м = (,;' и ¡м-и м.).
доп доп доп доп
Тогда для I = ^1 , ¡2 , ■, ) и
Тм ¡Тм Тм Тм |
I = ^1 , 2 , ■, ¡м ) справедливо
Iдоп = Iм . (5)
Утверждение доказано.
Процедура информационного покрытия при управлении процессом выявления признаков НСВ на ИС позволяет рассматривать обеспечение информативных признаков информационного пространства данных основных средств регистрации признаков НСВ информационным пространством дополнительных данных как процесс резервирования общего информационного пространства данных признаков воздействий. Наиболее полной характеристикой процесса покрытия информационного пространства данных основных средств регистрации признаков атак информационным пространством дополнительных данных является вероятность обеспечения дополнительным содержанием базовых информативных признаков.
Следующий момент, который необходимо рассмотреть, это зависимость времени выявления НСВ на ИС от глубины покрытия. Корреляция в данном контексте отличается от общепринятого понимания [2] и носит смысловой характер. Она заключается в определении в дополнительных данных только значимых информативных признаков, которые соответствуют базовым признакам данных основных средств регистрации признаков НСВ. Таким образом, можно оптимизировать время выявления по критерию минимальное вре-
мя/необходимое качество. Для достижения этой цели сформулируем следующее утверждение.
Утверждение 2. При покрытии информационного пространства данных основных
средств регистрации признаков НСВ Iм информационным пространством дополнитель-
доп
ных данных I существует локальный интервал малого изменения функции времени реализации процесса выявления НСВ Т° ^) от глубины покрытия N.
Введем следующие обозначения: Т° ^) -
время реализации процесса выявления НСВ как функция глубины покрытия информационного пространства данных основных средств регистрации признаков НСВ дополнительными данными; Руи - вероятность устранения информационной избыточности дополнительных данных, характеризующая степень корреляции
данных мониторинга основных средств регистрации признаков НСВ и дополнительных данных за счет информационного покрытия.
Формальное представление утверждения
то тм I I тдоп —I
имеет вид: при I = I и I $ локальный интервал малого изменения То (Ы).
Доказательство. Формирование общего информационного пространства данных признаков НСВ (состояние О °) осуществляется путем дополнения пространства базовых признаков данных основных средств регистрации признаков НСВ (состояние Ом) значимыми информационными признаками дополнительных данных
/ одоп \
(состояние о ) с соответствующими вероятностными характеристиками по устранению информационной избыточности Руи и обеспечению дополнительным содержанием информационного пространства данных основных средств
регистрации признаков НСВ Ро6 .
Пусть Тм - временная характеристика со-
сум _доп
стояния о , а Т - временная характеристика состояния Одоп . Тогда, учитывая характеристики Ро6 и Руи , а также соотношение со-
~ одоп ом
стояний о и о , временную характеристику состояния Оо, правомерно
То =Тм + (і - Ро6 • Руи )• Тдоп . (6)
Уровень резерва общего информационного
пространства данных признаков НСВ на ИС Iо запишем в виде
Яф =
доп доп
а Т
(7)
ам тм
Тогда выражение (6) представляется как то =тм-(1 + (1 - Ро6 - Руи )- Яф). (8)
Вероятность Руи , характеризующую степень корреляции данных основных средств ре-
гистрации признаков НСВ и дополнительных данных за счет информационного покрытия, можно представить в виде
" і \ руи=і-п(і - руи),
(9)
я=1
где
руи =
у
доп. зн
удоп. зн + удоп. нзн Кт Кт
вероятность уст-
ранения информационной избыточности дополнительных данных одного базового информативного признака данных основных средств
доп. зн пдоп. нзн
ттлп пдоп. зн /у
регистрации признаков НСВ; 6к , &к
г -доп. зн
объемы полных подпространств т
доп. нзн
г
тк
, вычисляемых как [3]:
6 = 0- 1о§2Е , (10)
где О - количество уникальных (неповторяю-
доп. зн
щихся) сигнатур подпространств т , ; Е - общее число сигнатур подпро-
•доп. нзн
г
тк
доп. зн доп. нзн
странств 1тк , ¡тк
Тогда при равномерном разбиении про-
доп
странства I на фрагменты имеем
руи=1 -(1 - рти ^. (11)
Учитывая изложенное, а также положение о поведении вероятности обеспечения дополнительным содержанием базовых информативных признаков пространства данных основных
средств регистрации признаков НСВ Ро6, выражение (8) можно представить в виде зависимости времени Т° от глубины покрытия N :
N) = Тм • ^1+(V^1-(і-РтбГ)• ^1-(і-РутиГ|)Яф
( Г Г
= Т
1+
1V V
1-
1 —
/удоп \
ук
^т
м\
,доп т Кт У
У +Ук
(12)
1-
1-
удоп зн + удоп нзн
Кт Кт
N • вд>а М вм
о
Т
доп. зн
т
После дифференцирования и проведения необходимых преобразований получается трансцендентное уравнение, решаемое известными численными методами [4]. При этом, исходя из условий
0 < Ро6 < 1 и 0 < Руи < 1, (13)
корень уравнения не может быть равным нулю или отрицательным.
Из этого следует, что локальный интервал малого изменения зависимости времени реализации процесса выявления НСВ как функции глубины покрытия информационного пространства данных основных средств регистрации признаков НСВ дополнительными данными существует (рис. 1), что свидетельствует о возможности оптимизации процесса выявления
за счет учета только действительно значимых дополнительных данных.
В соответствии с принципами оптимизации управления процессом выявления НСВ на ИС возникает необходимость оптимального распределения резерва дополнительных средств мониторинга информационного пространства. Целевую функцию в данной задаче определяют потребности в резервировании, а функцию ограничения - возможности по его внесению. В [5] показано, что увеличению значения резерва дополнительных данных любого из М базовых информационных признаков данных основных средств регистрации признаков НСВ соответствует снижение значения своевременности реагирования на воздействия, свидетельствующее об ограниченности возможностей резервирования дополнительных данных.
t
15 N
Зависимость времени реализации процесса выявления НСВ Т° от глубины покрытия N
Таким образом, в работе показан вариант оптимизации работы системы выявления несанкционированных воздействий в условиях ограничения временного ресурса на решение
задач защиты информационной системы методом рационального комплексирования разнородных признаков этих воздействий. Он основан на том положении, что при покрытии информационного пространства данных основных средств регистрации признаков НСВ информационным пространством дополнительных данных существует локальный экстремум или интервал малого изменения функции времени реализации процесса выявления признаков НСВ от глубины покрытия. Это свидетельствует о возможности оптимизации процесса выявления за счет учета только действительно значимых дополнительных признаков НСВ. Использование данного метода позволяет оптимизировать работу системы выявления НСВ в условиях ограничения временного ресурса на решение задач защиты и дает возможность достижения требуемой своевременности реагирования на воздействия с учетом необходимости безусловного выполнения ИС основных задач по целевому назначению.
Литература
1. Заряев А.В. О возможности формального представления процедуры интегрирования разнородных информационных процессов в интересах подготовки специалистов в области информационной безопасности // Информация и безопасность. 2002. №1. С. 48-49.
2. Вентцель Е.С., Овчаров Л.А. Теория вероятностей и ее инженерные приложения. М.: Наука, 1988. 480 с.
3. Холстед М.Х. Начала науки о программах / Пер. с англ. М.: Финансы и статистика, 1981. 128 с.
4. Бахвалов И.В., Жидков Н.П., Кобельков Г.М. Численные методы. М.: Лаборатория базовых знаний, 2000. 624 с.
5. Душкин А.В. Методическое обеспечение системы выявления несанкционированных воздействий на информационные телекоммуникационные системы специального назначения в условиях ограничения временного ресурса. Монография. Воронеж: ВАИУ, 2010. 192 с.
Воронежский государственный технический университет Московский государственный технический университет им. Н.Э. Баумана
OPTIMIZATION WORK SYSTEM REVEALING OF THE UNAPPROVED INFLUENCES IN THE CONDITIONS RESTRICTION OF THE TIME RESOURCE ON THE DECISION PROBLEMS PROTECTION OF INFORMATION SYSTEM A.V. Dushkin, E.A. Rogozin, S.V. Skryl
In article the variant of optimisation work system revealing of the unapproved influences in the conditions restriction of the time resource on the decision problems protection of information system by a method rational complexes diverse signs of these influences is considered
Key words: information system, unapproved influence, a sign
о
