CC BY
17
УДК 004.732
С.Ю. Исхаков, Sergeу Y. Iskhakov, e-mail: frosty86@mail.ru
Томский государственный университет систем управления и радиоэлектроники, г. Томск, Россия
Tomsk state university of control systems and radio electronics, Tomsk, Russia
ОЦЕНКА ЗАЩИЩЕННОСТИ КОМПЛЕКСНЫХ СЕТЕЙ СИСТЕМ БЕЗОПАСНОСТИ НА ОСНОВЕ МЕТОДОВ ПРОГНОЗИРОВАНИЯ
ASSESSMENT OF SECURITY INTEGRATED NETWORK SECURITY SYSTEMS BASED ON PREDICTION METHODS
В статье рассмотрены вопросы моделирования комплексных сетей снстем безопасности. Описана имитационная модель сетей данного тала н предложен подход к формированию критериев идентификации инцидентов.
In article questions of modeling of complex networks of systems of safety are considered. The imitating model of networks of this type is described and approach to formation of criteria of identification of incidents is offered.
Ключевые слова: комплексные сет// систем безопасности, инцидент, идентификация, критерий, прогнозирование
Keywords: complex nefMwfa if systems of safely, incident, identification, criterion, forecasting Постановка задачи
На сегодняшний день большинство работодателей оборудуют свои объекты системами безопасности: видеонаблюдение, охранно-пожарные сигнализации (ОПС), системы контроля и управления доступом (СКУД) и т.д. Нередко такие системы объединяются с помощью технологий локальных сетей в комплексную сеть систем безопасности (КССБ) [1].
КССБ - это гетерогенный комплекс аппаратного и программного обеспечения ОТО), которое различается по принципам действия и типам предоставляемой информации, но объединено обшей задачей - обеспечение безопасности жизни и здоровья людей и снижение вероятности нанесения материального ущерба компании.
76
Для обеспечения защиты КССБ админисграторы часто изолируют их ог обшей сети пере дата данных, а в точках соприкосновения внедряют межсетевые экраны. Основная проблема при таком подходе заключается в том, что рассматриваются только риски, связанные с внешними вторжениями [2]. В случае реализации внутренних угроз могут произойти как однозначно выявленные (явные), так и скрытые инциденты безопасности.
Инцидент безопасности (инцидент) - любое незаконное, неразрешенное или неблагоприятное событие, происходящее в информационной системе. К категории скрытых инцидентов относятся события, возникновение которых не удается явно идентифицировать.
Идентификация инцидентов на основе прогнозирования
Таким образом, несмотря на изолированность КССБ и наличие средств защиты периметра. актуальной остается задача контроля текущего состояния защищенности КССБ и работоспособности всех систем. Первичным шагом в процессе мониторинга является этап сбора информации о состоянии объектов сети. Автором разработана методика [3], для определения текущей конфигурации сети, учитывающая особенности КССБ. В результате применения данной методики для каждого сетевого элемента (СЭ) строится модель, описывающая набор параметров, необходимый и достаточный для контроля его состояния.
Е = (РуР7: -Рк) > О)
где г. - параметры СЭ, к— количество параметров модели.
В текущий момент времени каждый из параметров характеризуется определенным значением. Задача оценки защищенности КССБ сводится к определению, является ли текущее значение конкретного параметра СЭ свидетельством наступления инцидента. При этом существует множество правил Я = (г = г(О.Р)} , сформированное в результате применения методики для определения необходимого и достаточного набора параметров для обнаружения инцидентов.
Критерий идентификации инцидента можно представить в виде логической функции (2), которая имеет булеву область значений и принимает значение ИСТИНА, когда параметр Р объеьла О находится в пределах допустимых значений ZJ и ЛОЖЬ - в противном случае.
С?1ГеПоп = (О.Р,Е} (2)
Имитационную модель информационной безопасности КССБ [X] можно представить совокупностью СЭ, наборов параметров и: критериев идентификации инцидентов.
УРЗг = г(0,Р)еЯ (3)
V Р Э Сп1епоп = (0,Р,г)
На вход модели подаются текущие значения параметров моделей СЭ, полученные на этапе сбора информации. В случае выполнения всех условий вычисляется значение критерия для каждого из проверяемых показателей. Результатом применения модели является ответ на вопрос, находится ли КССБ в безопасном состоянии
Если в результате проверки все критерии имеют значение ИСТИНА, то система находится в безопасном состоянии, в противном случае - нет.
После получения имитационной модели нерешенным остается вопрос формирования критериев. Учитывая масштабы КССБ и особенности ее функционирования, множество К может содержать десятки и сотни критериев. Автором были определены требования к способу формирования критериев:
- критерии должны формироваться регулярно для оценки каждого поступившего на вход модели значения;
- метод формирования критериев должен учитывать значения показателя за некоторый предыдущий период с учетом их распределения во времени.
Таким образом, необходимо на основе оценки предыдущих значений исследуемого параметра формировать прогноз и сравнивать его с текущим значением. Автором был предложен подход [4] к анализу данных мониторинга с помощью метода прогнозирования Холь-та-Винтерса [5]. Отличительной особенностью метода является способность обнаруживать тренды, относящиеся к коротким периодам в моменты времени, непосредственно предшествующие прогнозным, и экстраполировать эти тренды на будущее.
Разработанный автором программный инструментарий [3], позволяет моделировать КССЕ с различными уровнями детализации и контролировать состояние ее защищенности. На основе данных, полученных на этапе сбора информации, формируются зависимости показателей от времени и строятся прогнозы на будущие значения. Текущие значения сравниваются с прогнозными на основании сформированных критериев. В случае обнаружения отклонений администратор системы получает оповещение о наступлении инцидента.
Заключение
Мониторинг является одной из важнейших составляющих в процессе управления КССЕ Особенности эксплуатации таких комплексов, связанные с гетерогенностью оборудования и большим количеством объектов, порождают проблему автоматизированного формирования критериев идентификации инцидентов.
Предложенный подход к моделированию КССБ и способу формирования критериев позволяет решить вышеуказанную проблему и автоматизировать оценку защищенности системы. Недостатком подхода является длительный промежуток времени, необходимый для реакции системы на начальном этапе эксплуатации. Отличительной особенностью подхода также является отсутствие зависимости от предметной области. Он может быть использован для различных величин, которые изменяются во времени с некой прогнозируемой цикличностью
Библиографический список
1. Исхаков, С. Ю. Имитационная модель комплексной сети систем безопасности / С. Ю. Исхаков, А. А. Шелупанов, А. Ю. Исхаков i i Доклады Томского государственного университета систем управления и радиоэлектроники. - 2014. - № 2 (32). - С. 32-86
2. Мещеряков. Р. В Комплексное обеспечение информационной безопасности автоматизированных систем : монография / Р. В Мещеряков, Шелупанов A.A. - Томск : В-Спеклр, 2007. -278 с.
3. Исхаков, С. Ю. Разработка методического и программного обеспечения для мониторинга работы локальных сетей / С. Ю. Исхаков, А. А. Шелупанов // Телекоммуникации. -2013.-№6.-С. 16-21.
4. Исхаков, С. Ю. Прогнозирование в системе мониторинга локальных сетей / С. Ю. Исхаков, А. А. Шелупанов. С. В. Тимченко .7 Доклады Томского государственного университета систем управления и радиоэлектроники. - 2012 - № 1 (25), Ч. 2. — С. 100-103.
5 Aberrant Behavior Detection in Tune Senes foi Network Monitoring [Электронный ресурс]. - Режим доступа: http://www.nsenix.rag/е'ventb/lisaOO/fulljjapers/brutlag^nitlag^html, свободный (дата обращения: 20.02.2014).
