Повышение производительности корпоративной сети АСУ в условиях воздействия угроз информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ

УДК 681.3

Л. М. Груздева, М. Ю. Монахов

ПОВЫШЕНИЕ ПРОИЗВОДИТЕЛЬНОСТИ КОРПОРАТИВНОЙ СЕТИ В УСЛОВИЯХ ВОЗДЕЙСТВИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Формализована задача повышения производительности в условиях воздействия угроз информационной безопасности корпоративной сети как задача построения системы защиты, обеспечивающей максимально возможный уровень производительности сети при достоверном обнаружении и эффективном противодействии угрозам информационной безопасности.

Ключевые слова: корпоративная сеть передачи данных, производительность, система защиты информации, угрозы информационной безопасности.

Введение. Основными причинами интереса к вопросам повышения производительности корпоративной сети передачи данных (КСПД) являются возрастающая структурная сложность и размерность современных сетей, характеризующихся множественными изменяющимися во времени информационными связями, а также потребности в увеличении уровня информационной безопасности.

Снижение производительности сетей связано с недостаточной защищенностью вследствие широкого использования слабозащищенных протоколов HTTP, SNMP, FTP, TCP/IP; участия в процессе обработки информации пользователей различных категорий, их непосредственного и одновременного доступа к системным ресурсам и процессам. Современная система защиты информации (СЗИ), даже включающая систему обнаружения и предотвращения атак и вторжений IPS/IDS, не может гарантировать обнаружения 70 % информационных атак, что периодически приводит к значительному возрастанию вредоносного трафика (ВТ). В настоящее время актуальны задачи повышения достоверности обнаружения информационных атак, их идентификации, а также разработки методов и средств снижения их влияния на производительность КСПД.

Постановка задачи

1. Дано множество объектов КСПД O = {O\, 02,..., Ons } • Линии связи абсолютно надежны, помехоустойчивы и состоят из дуплексного канала; узлы коммутации (маршрутизаторы сегментов КСПД) имеют бесконечную память; трафик состоит из пакетов одинакового приоритета и образует пуассоновский поток; длительность обработки пакетов в узлах определяется экспоненциальным законом распределения.

2. СЗИ включает модули защиты, в состав которых входит средство обнаружения (СО, SO) воздействия угроз информационной безопасности (ИБ) из множества

80 = {80ь802,..., } и средство противодействия (СП, БР) угрозам ИБ из множества

3. Каждый элемент множества 80 обладает следующими характеристиками: р1 () (, = 1, — вероятность обнаружения угроз ИБ; р, ) (, = 1, — вероятность возникновения „ложной тревоги"; tобi (/ = 1, N) — время обнаружения угроз ИБ, за которое достигается максимальное значение вероятности обнаружения угроз ИБ, т.е.

рГ = Иш рг ().

t

4. Каждый элемент множества 8Р обладает следующими характеристиками: У] () (У = 1, М) — вероятность противодействия угрозам ИБ; (] = 1, М) — время противодействия, за которое достигается максимальное значение вероятности противодействия,

т.е. дшах = Иш д, ^).

tИt

пр,

Требуется: обеспечить максимально возможный уровень производительности КСПД при достоверном обнаружении и максимально эффективном противодействии угрозам ИБ:

Ф(П) И шах;

Роб ^) И шах; Рлт ^) И шт; 0Пр и шах;

Т + т < т

об пр — д '

(1)

где Ф(П) — производительность КСПД; Роб(t) = ф1 (р1 (t), р2 (t),...,рм (t)) — вероятность обнаружения угроз ИБ; РЛТ(^ = ф2 (р1 tt), р2 tt),...,рм — вероятность возникновения „ложной тревоги"; QПр(t) = фз (д1 (), д2 (t),...,дм (— вероятность противодействия угрозам ИБ; Тоб = Ф4 , tоб2,. ., tобN) — время обнаружения угроз ИБ;

Тпр = Ф5 (пр1, tПр2,..., tПрм ) — время противодействия угрозам ИБ; Тд — допустимые временные затраты на обеспечение защиты (ф1, ф2, Фз, Ф4 — виды соответствующих функциональных зависимостей).

Для решения поставленной задачи была разработана СЗИ [1], функционирование которой удобно рассмотреть с помощью структурной модели обнаружения и противодействия атакам на ресурсы КСПД (см. рисунок).

Уровень обнаружения — совокупность СО. На выходе СО формируется сигнал Х, (¿)

(/ = 1, N), принимающий значение либо единица (угроза ИБ обнаружена), либо нуль (угроза ИБ не обнаружена). Сигнал Х, (¿) характеризуется плотностью распределения вероятности его появления — /у (Х (^) — угроза ИБ есть, а также /п (Х ^)) — угрозы ИБ нет:

/(Х(0)Чгч\А _ „ /п(Х(0)Н

р, () при Х (t) = 1, 1 - р() при Х (t) = 0.

\р, ^) при Х ^) = 1, [1 - р, tt) при Х (0 = 0,

В процессе формирования уровня обнаружения должны выполняться следующие условия:

1) возможность совместной работы объединяемых СО;

2) обеспечение оптимального времени работы по обнаружению и противодействию уг-

Повышение производительности корпоративной сети в условиях воздействия угроз

55

розам ИБ;

3) обеспечение заданной вероятности обнаружения угроз ИБ;

4) снижение средней частоты появления „ложных тревог".

В статье [2] предложен алгоритм работы уровня обнаружения, основанный на понятии „критическая область угроз" (КОУ). Достоинством алгоритма является учет возможного взаимного влияния различных СО, так как КОУ строится по вероятностным характеристикам уровня обнаружения, а не его отдельных модулей.

52.

Информационная - атака

Уровень обнаружения

50»!

Б02

503

Х2(0

50к

хм

РЕШАЮЩИМ БЛОК

г

У1

У2

Уз

ум

5Р1 БР2 БР3

5рм

Уровень противодействия

г =

Уровень противодействия — совокупность СП, каждое из которых может быть задействовано при обнаружении угрозы ИБ.

Решающий модуль реализует следующий алгоритм: на основании показаний СП (( (), Х2 (),...,XN (I)) принимается решение о наличии или отсутствии угроз ИБ:

1, если угроза ИБ обнаружена, 0 — в противном случае.

Если г = 1, то вырабатывается управляющее воздействие (уь У2,...,Ум ) , иначе — конец алгоритма.

В работе [1] предложен алгоритм определения узлов КСПД, в которых должны быть использованы СП при обнаружении угроз ИБ:

1) для каждого варианта инициирования уровня противодействия вычисляются вероятность Q-Пр (^) и производительность Ф(П);

2) выбирается вариант использования СП, которому соответствует максимально возможная вероятность @пр (^) при Ф(П) ^ тах .

Реализация алгоритма позволяет обеспечить максимально возможное противодействие угрозам ИБ при максимально высоком уровне производительности.

Алгоритм работы СЗИ

Шаг 1. Запуск средств обнаружения. Время обнаружения t = 0.

Шаг 2. Снятие показаний, генерируемых СО (Х1 (t), Х2 (t),...,XN (t)) .

Шаг 3. Если Х1 () = Х2 () =... = XN (t) = 0, то угроза ИБ не обнаружена ^ = 0) и

запуск средств уровня противодействия не производится, переход к шагу 2. В противном случае — Z = 1.

Шаг 4. Определение вероятностных характеристик:

Роб^) = ф1 (р1 (), р2 (t),. .,pN tt)) — вероятность обнаружения угроза ИБ системой защиты; Рлт(0 = ф2 (р tt), р2 tt),...,PN tt)) — вероятность возникновения „ложной тревоги" СЗИ; Ф(Роб ^), РЛТ (t)) — критерий достоверности.

Шаг 5. Если Ф(Роб ^), РЛТ ^)) < Фпор (значение критерия достоверности ниже порогового), то угроза ИБ не обнаружена и запуск средств уровня противодействия не производится, переход к шагу 2. В противном случае — Z = 1.

Шаг 6. Определение стохастической маршрутной матрицы Р^).

Шаг 7. Запуск алгоритма определения узлов КСПД, в которых должны быть инициированы средства противодействия. Вырабатывается управляющее действие Y = ((, У2,...,Ум ) .

Шаг 8. Инициирование уровня противодействия в соответствии с Y = (, У2, . .,Ум ). Конец алгоритма.

Выводы. Реализация предложенной модели организации защитных механизмов в КСПД позволяет обеспечивать требуемый уровень производительности за счет выбора алгоритма раннего и достоверного обнаружения угроз ИБ и оперативного использования средства противодействия угрозам ИБ в наиболее уязвимых узлах КСПД.

список литературы

1. Груздева Л. М. Модели повышения производительности корпоративных телекоммуникационных сетей в условиях воздействия угроз информационной безопасности: Дис. ... канд. техн. наук. Владимир: Изд-во Владим. гос. ун-та, 2011.

2. Груздева Л. М., Монахов М. Ю. Алгоритм раннего обнаружения атак на информационные ресурсы АСУП // Автоматизация в промышленности. 2008. № 3. С. 12—14.

3. Груздева Л. М., Монахов М. Ю. Алгоритм оптимизации функционирования распределенной системы защиты // Вестн. Костромского гос. ун-та им. Н. А. Некрасова. Сер. Техн. и естеств. науки „Системный анализ. Теория и практика". 2008. Т. 14, № 2. С. 80—82.

Людмила Михайловна Груздева

Михаил Юрьевич Монахов

Сведения об авторах канд. техн. наук; Владимирский государственный университет им. А. Г. и Н. Г. Столетовых, кафедра информатики и защиты информации; E-mail: glm@vlsu.ru

д-р техн. наук, профессор; Владимирский государственный университет им. А. Г. и Н. Г. Столетовых, кафедра информатики и защиты информации; заведующий кафедрой; E-mail: mmonakhov@vlsu.ru

Рекомендована ВлГУ

Поступила в редакцию 17.04.12 г.