CC BY
150
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ
УДК 681.3
Л. М. Груздева, М. Ю. Монахов
ПОВЫШЕНИЕ ПРОИЗВОДИТЕЛЬНОСТИ КОРПОРАТИВНОЙ СЕТИ В УСЛОВИЯХ ВОЗДЕЙСТВИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Формализована задача повышения производительности в условиях воздействия угроз информационной безопасности корпоративной сети как задача построения системы защиты, обеспечивающей максимально возможный уровень производительности сети при достоверном обнаружении и эффективном противодействии угрозам информационной безопасности.
Ключевые слова: корпоративная сеть передачи данных, производительность, система защиты информации, угрозы информационной безопасности.
Введение. Основными причинами интереса к вопросам повышения производительности корпоративной сети передачи данных (КСПД) являются возрастающая структурная сложность и размерность современных сетей, характеризующихся множественными изменяющимися во времени информационными связями, а также потребности в увеличении уровня информационной безопасности.
Снижение производительности сетей связано с недостаточной защищенностью вследствие широкого использования слабозащищенных протоколов HTTP, SNMP, FTP, TCP/IP; участия в процессе обработки информации пользователей различных категорий, их непосредственного и одновременного доступа к системным ресурсам и процессам. Современная система защиты информации (СЗИ), даже включающая систему обнаружения и предотвращения атак и вторжений IPS/IDS, не может гарантировать обнаружения 70 % информационных атак, что периодически приводит к значительному возрастанию вредоносного трафика (ВТ). В настоящее время актуальны задачи повышения достоверности обнаружения информационных атак, их идентификации, а также разработки методов и средств снижения их влияния на производительность КСПД.
Постановка задачи
1. Дано множество объектов КСПД O = {O\, 02,..., Ons } • Линии связи абсолютно надежны, помехоустойчивы и состоят из дуплексного канала; узлы коммутации (маршрутизаторы сегментов КСПД) имеют бесконечную память; трафик состоит из пакетов одинакового приоритета и образует пуассоновский поток; длительность обработки пакетов в узлах определяется экспоненциальным законом распределения.
2. СЗИ включает модули защиты, в состав которых входит средство обнаружения (СО, SO) воздействия угроз информационной безопасности (ИБ) из множества
80 = {80ь802,..., } и средство противодействия (СП, БР) угрозам ИБ из множества
3. Каждый элемент множества 80 обладает следующими характеристиками: р1 () (, = 1, — вероятность обнаружения угроз ИБ; р, ) (, = 1, — вероятность возникновения „ложной тревоги"; tобi (/ = 1, N) — время обнаружения угроз ИБ, за которое достигается максимальное значение вероятности обнаружения угроз ИБ, т.е.
рГ = Иш рг ().
t
4. Каждый элемент множества 8Р обладает следующими характеристиками: У] () (У = 1, М) — вероятность противодействия угрозам ИБ; (] = 1, М) — время противодействия, за которое достигается максимальное значение вероятности противодействия,
т.е. дшах = Иш д, ^).
tИt
пр,
Требуется: обеспечить максимально возможный уровень производительности КСПД при достоверном обнаружении и максимально эффективном противодействии угрозам ИБ:
Ф(П) И шах;
Роб ^) И шах; Рлт ^) И шт; 0Пр и шах;
Т + т < т
об пр — д '
(1)
где Ф(П) — производительность КСПД; Роб(t) = ф1 (р1 (t), р2 (t),...,рм (t)) — вероятность обнаружения угроз ИБ; РЛТ(^ = ф2 (р1 tt), р2 tt),...,рм — вероятность возникновения „ложной тревоги"; QПр(t) = фз (д1 (), д2 (t),...,дм (— вероятность противодействия угрозам ИБ; Тоб = Ф4 , tоб2,. ., tобN) — время обнаружения угроз ИБ;
Тпр = Ф5 (пр1, tПр2,..., tПрм ) — время противодействия угрозам ИБ; Тд — допустимые временные затраты на обеспечение защиты (ф1, ф2, Фз, Ф4 — виды соответствующих функциональных зависимостей).
Для решения поставленной задачи была разработана СЗИ [1], функционирование которой удобно рассмотреть с помощью структурной модели обнаружения и противодействия атакам на ресурсы КСПД (см. рисунок).
Уровень обнаружения — совокупность СО. На выходе СО формируется сигнал Х, (¿)
(/ = 1, N), принимающий значение либо единица (угроза ИБ обнаружена), либо нуль (угроза ИБ не обнаружена). Сигнал Х, (¿) характеризуется плотностью распределения вероятности его появления — /у (Х (^) — угроза ИБ есть, а также /п (Х ^)) — угрозы ИБ нет:
/(Х(0)Чгч\А _ „ /п(Х(0)Н
р, () при Х (t) = 1, 1 - р() при Х (t) = 0.
\р, ^) при Х ^) = 1, [1 - р, tt) при Х (0 = 0,
В процессе формирования уровня обнаружения должны выполняться следующие условия:
1) возможность совместной работы объединяемых СО;
2) обеспечение оптимального времени работы по обнаружению и противодействию уг-
Повышение производительности корпоративной сети в условиях воздействия угроз
55
розам ИБ;
3) обеспечение заданной вероятности обнаружения угроз ИБ;
4) снижение средней частоты появления „ложных тревог".
В статье [2] предложен алгоритм работы уровня обнаружения, основанный на понятии „критическая область угроз" (КОУ). Достоинством алгоритма является учет возможного взаимного влияния различных СО, так как КОУ строится по вероятностным характеристикам уровня обнаружения, а не его отдельных модулей.
52.
Информационная - атака
Уровень обнаружения
50»!
Б02
503
Х2(0
50к
хм
РЕШАЮЩИМ БЛОК
г
У1
У2
Уз
ум
5Р1 БР2 БР3
5рм
Уровень противодействия
г =
Уровень противодействия — совокупность СП, каждое из которых может быть задействовано при обнаружении угрозы ИБ.
Решающий модуль реализует следующий алгоритм: на основании показаний СП (( (), Х2 (),...,XN (I)) принимается решение о наличии или отсутствии угроз ИБ:
1, если угроза ИБ обнаружена, 0 — в противном случае.
Если г = 1, то вырабатывается управляющее воздействие (уь У2,...,Ум ) , иначе — конец алгоритма.
В работе [1] предложен алгоритм определения узлов КСПД, в которых должны быть использованы СП при обнаружении угроз ИБ:
1) для каждого варианта инициирования уровня противодействия вычисляются вероятность Q-Пр (^) и производительность Ф(П);
2) выбирается вариант использования СП, которому соответствует максимально возможная вероятность @пр (^) при Ф(П) ^ тах .
Реализация алгоритма позволяет обеспечить максимально возможное противодействие угрозам ИБ при максимально высоком уровне производительности.
Алгоритм работы СЗИ
Шаг 1. Запуск средств обнаружения. Время обнаружения t = 0.
Шаг 2. Снятие показаний, генерируемых СО (Х1 (t), Х2 (t),...,XN (t)) .
Шаг 3. Если Х1 () = Х2 () =... = XN (t) = 0, то угроза ИБ не обнаружена ^ = 0) и
запуск средств уровня противодействия не производится, переход к шагу 2. В противном случае — Z = 1.
Шаг 4. Определение вероятностных характеристик:
Роб^) = ф1 (р1 (), р2 (t),. .,pN tt)) — вероятность обнаружения угроза ИБ системой защиты; Рлт(0 = ф2 (р tt), р2 tt),...,PN tt)) — вероятность возникновения „ложной тревоги" СЗИ; Ф(Роб ^), РЛТ (t)) — критерий достоверности.
Шаг 5. Если Ф(Роб ^), РЛТ ^)) < Фпор (значение критерия достоверности ниже порогового), то угроза ИБ не обнаружена и запуск средств уровня противодействия не производится, переход к шагу 2. В противном случае — Z = 1.
Шаг 6. Определение стохастической маршрутной матрицы Р^).
Шаг 7. Запуск алгоритма определения узлов КСПД, в которых должны быть инициированы средства противодействия. Вырабатывается управляющее действие Y = ((, У2,...,Ум ) .
Шаг 8. Инициирование уровня противодействия в соответствии с Y = (, У2, . .,Ум ). Конец алгоритма.
Выводы. Реализация предложенной модели организации защитных механизмов в КСПД позволяет обеспечивать требуемый уровень производительности за счет выбора алгоритма раннего и достоверного обнаружения угроз ИБ и оперативного использования средства противодействия угрозам ИБ в наиболее уязвимых узлах КСПД.
список литературы
1. Груздева Л. М. Модели повышения производительности корпоративных телекоммуникационных сетей в условиях воздействия угроз информационной безопасности: Дис. ... канд. техн. наук. Владимир: Изд-во Владим. гос. ун-та, 2011.
2. Груздева Л. М., Монахов М. Ю. Алгоритм раннего обнаружения атак на информационные ресурсы АСУП // Автоматизация в промышленности. 2008. № 3. С. 12—14.
3. Груздева Л. М., Монахов М. Ю. Алгоритм оптимизации функционирования распределенной системы защиты // Вестн. Костромского гос. ун-та им. Н. А. Некрасова. Сер. Техн. и естеств. науки „Системный анализ. Теория и практика". 2008. Т. 14, № 2. С. 80—82.
Людмила Михайловна Груздева
Михаил Юрьевич Монахов
Сведения об авторах канд. техн. наук; Владимирский государственный университет им. А. Г. и Н. Г. Столетовых, кафедра информатики и защиты информации; E-mail: [email protected]
д-р техн. наук, профессор; Владимирский государственный университет им. А. Г. и Н. Г. Столетовых, кафедра информатики и защиты информации; заведующий кафедрой; E-mail: [email protected]
Рекомендована ВлГУ
Поступила в редакцию 17.04.12 г.
