CC BY
18
УДК 004.942
ВАРИАНТ ПОСТРОЕНИЯ АДАПТИВНОЙ СИСТЕМЫ
МОНИТОРИНГА ИНФОРМАЦИОННО-ТЕХНИЧЕСКИХ
ВОЗДЕЙСТВИЙ
М.М. Добрышин, А. А. Горшков, В.В. Манзюк
Развитие способов и средств компьютерных атак приводит к снижению эффективности классических подходов защиты от компьютерных атак. Анализ последствий компьютерных атак на различные узлы компьютерных сетей выявил, что для эффективной защиты от указанных угроз в настоящее время недостаточно обнаруживать факт начала компьютерной атаки и реагировать на выявленные угрозы, вследствие чего необходимо разработка технического решения основанного на активном заблаговременном противодействии указанных угроз. Сущность предлагаемой системы заключается в повышении своевременности обнаружения фактов начала ведения различных компьютерных атак, а также заблаговременной реакции системы защиты на возникшие угрозы.
Ключевые слова: компьютерные атаки, системы защиты от компьютерных
атак.
Ежегодное увеличение наносимого ущерба от компьютерных атак в Яи№1 [1 - 3] свидетельствуют о ряде технических и теоретических противоречий. Анализ принципов построения и функционирования существующих решений обеспечения защищенности [4 - 7] выявил следующие технические противоречия.
1. Отсутствие защиты от потоковой компьютерной разведки, вызванное тем, что используя ресурсы предоставляемые провайдерами связи, защита в единой сети не предпринимается.
2. Отсутствие реакции на факты ведения сетевой компьютерной разведки, вызванное большим количеством таких атак.
3. Низкая своевременность обнаружения компьютерных атак, вызванная большим количеством сигнатур направленных на точную классификацию атаки.
4. Низкая своевременность реакции системы защиты на факт начала компьютерной атаки вызванная отсутствием способов и средств противодействия атакам. Так защита от ряда компьютерных атак возлагается на провайдера, однако провайдер реагирует на запрос соответствующих должностных лиц атакованного узла компьютерной сети.
5. Известные решения защищают от отдельных видов компьютерных атак и зачастую не способны взаимодействовать с другими имеющимися средствами, что приводит к частичному снижению эффективности (затруднению работы) группы средств защиты, а также к появлению системных уязвимостей.
Недостатки существующих технических решений вызваны недостаточной реализуемостью известных методических подходов [8 - 11], а также рядом противоречий между теоретическими подходами и практическими решениями:
1) исходя из классического определения теории управления и особенностей известных компьютерных атак, для того, что бы эффективно воздействовать на узел компьютерной сети, злоумышленнику необходимо идентифицировать узел, а так же наблюдать за ним. Вследствие чего очевидно, что для снижения эффективности компьютерных атак, необходимо затруднить процесс ведения компьютерных атак;
2) исходя из того же определения система защиты должна наблюдать за всеми уровнями МВОС и заданной периодичностью, причем, работа отдельных элементов системы защиты не должны снижать эффективность других элементов данной системы;
3) для своевременной защиты необходимо после обнаружения фактов начала компьютерной атаки прогнозировать ее развитие, однако это требует существенных ресурсов системы;
4) учитывая тот факт, что для защиты узла применяются несколько средств защиты (на разных уровнях МВОС), для обеспечения требуемой эффективности этих средств, необходима синхронизация их работы;
5) использование небольшого перечня средств и способов защиты от компьютерных атак не требует высокой точности определения класса компьютерных атак.
Таким образом, разрабатываемые системы защиты должны учитывать перечисленные выше практические и теоретические противоречия, которые позволят повысить защищенность узлов связи от различных компьютерных атак, проводимых, в том числе одновременно. Один из вариантов построения указанной системы представлен на рисунке.
Структурная схема адаптивной системы мониторинга информационно-технических воздействий
15
Предлагаемая система функционирует следующим образом: с помощью блока ввода нормированных значений и сигнатур (блок 3.4), устройства управления функционированием системы мониторинга (блок 3), оператор вводит нормированные значения параметров, которые сохраняются в базе данных (блок 3.3) и сигнатуры, характеризующие различные компьютерные атаки, которые сохраняются в блоках сигнатур (блок 6.2), устройства обнаружения компьютерных атак (блок 6).
На п входов анализатора сетевого трафика (блок 1) поступает входящий и исходящий информационный поток защищаемого узла связи.
В блоке 1 выделяются статистические значения анализируемого информационного потока и поступают на выход блока 1 соединенного с первым входом устройства коммутации и согласования (блок 2). На второй вход блока 2 поступает управляющий сигнал из блока ручного управления (блок 3.1), устройства управления функционированием системы мониторинга (блок 3) о направлении выделенных статистических значений либо в блок расчета параметров быстродействия системы мониторинга (блок 4.1), устройства промежуточных расчетов (блок 4) либо в блок идентификации и классификации компьютерных атак (блок 6.3), устройства обнаружения компьютерных атак (блок 6).
Если из блока 3. 1 поступил сигнал «настройки системы мониторинга», то с первого выхода блока 2 статистические значения анализируемого информационного потока поступают на первый вход блока 4.1, где рассчитываются значения параметров быстродействия системы мониторинга [12].
С выхода блока 4.1 значения параметров быстродействия системы мониторинга поступают на первый вход блока оценки параметров системы мониторинга (блок 5.1), устройства обработки данных и управления системой мониторинга (блок 5).
На второй вход блока 5.1 из блока 3.3 поступает нормированное значение быстродействия системы мониторинга. В блоке 5.1 поступившие на первый и второй входы значения быстродействия системы сравниваются. Если значение быстродействия на первом входе меньше аналогичного значения на втором входе, блок 5.1 с первого выхода передается управляющая команда в блок расчета коэффициентов корреляции (блок 4.3) [13].
На первый вход блока 4.3 с выхода блока 2 поступают статистические значения входящего и исходящего информационных потоков. Если на второй вход блока 4.3 поступает управляющий сигнал из блока 5.1, то рассчитывают значения коэффициентов корреляции между всеми принятыми статистическими значениями параметров входящего и исходящего информационных потоков [13].
С выхода блока 4.3 на первый вход блока сокращения сигнатур (блок 4.2) передаются рассчитанные значения коэффициентов корреляции. В блоке 4.2 на основании заданного порогового значения коэффициента корреляции (поступаемого на второй вход блока 4.2 из блока 3.3) выделяют и сокращают сигнатуры соответствующих компьютерных атак. При
выборе сокращаемых сигнатур оставляют сигнатуры нижележащего уровня эталонной модели взаимодействия открытых систем [14, 15]. После сокращения сигнатур, подсчитывают количество оставшихся сигнатур.
С выхода блока 4.2 на вход блока 4.1 поступают значения количества сокращенного перечня сигнатур. В блоке 4.1 рассчитывают быстродействие системы мониторинга с учетом сокращенного количества сигнатур. С выхода блока 4.1 значения быстродействия системы мониторинга поступают на вход блока 5.1.
Если повторно значения на первом входе блока 5.1 меньше чем значения на втором входе блока 5.1, на втором выходе блока 5.1 формируется команда о необходимости уменьшения порогового значения коэффициента корреляции и передается на вход блока визуализации (блок 3.2).
На основании полученной в блоке 3.2 команды о необходимости уменьшения порогового значения коэффициента корреляции, оператор уменьшает указанное значение путем внесения изменений с помощью блока 3.4.
Действия в блоках 4.1-5.1-4.3-4.2 продолжаются до тех пор, пока не будет выполнено условие в блоке 5.1.
Если условие в блоке 5.1 выполнено, то с третьего выхода блока 5.1 передаются номера сигнатур, которые необходимо использовать при функционировании системы мониторинга на первый вход блока синтеза и конфигурации системы мониторинга (блок 5.2).
В блоке 5.2 формируются управляющие команды необходимые для подключения указанных сигнатур определения компьютерных атак. С первого выхода блока 5.2 команда на подключения требуемых сигнатур передается на первый вход блока коммутации сигнатур (блок 6.1).
С первого выхода блока 6.1 на входы блоков сигнатур (блок 6.2) передаются управляющие команды на коммутацию сигнатур с первым входом блока идентификации и классификации атак (блок 6.3).
После коммутации требуемых сигнатур (блок 6.2) с блоком 6.3, со второго выхода блока 6.1 на первый вход блока ручного управления (блок 3.1) поступает сообщение о готовности устройства обнаружения компьютерных атак к работе.
После поступления на вход блока 3. 1 сообщения о готовности к работе устройства обнаружения компьютерных атак, оператор принимает решение о переключении входящих и исходящих информационных потоков с первого входа блока 4.1 на второй вход блока 6.3.
С первого выхода блока 3.1 на второй вход блока 2 передается команда о переключении входящих и исходящих информационных потоков с первого входа блока 4.1 на второй вход блока 6.3.
При поступлении на второй вход блока 6.3 входящих и исходящих информационных потоков осуществляется выделение и анализ статистических данных указанных потоков, и сравнивают с подключенными сигнатурами блока 6.2 с целью выявления компьютерных атак.
17
Результаты идентификации и классификации атак передаются с первого выхода блока 6.3 на второй вход блока 3.2.
Если по результатам идентификации и классификации атак, устройство обнаружения компьютерных атак не смогло с требуемой достоверностью классифицировать атаку, формируется соответствующее и передается со второго выхода блока 6.3 на третий вход блока 3.1.
При поступлении на второй вход блока 3.1 сообщения, оператор, формирует управляющую команду на дополнительную активацию сигнатур и передает со второго выхода блока 3.1 на первый вход блока выбора дополнительных сигнатур (блок 5.3), а так же передает статистические значения входящего и исходящего трафик которые устройство обнаружения компьютерных атак не смогло классифицировать.
В блоке 5.3 на основании принятой управляющей команды и значений входящего и исходящего трафика и имеющихся не подключенных к устройству 6 сигнатур, поступающих на второй вход блока 5.3 классифицируют атаку.
После классификации атаки с выхода блока 5.3 на вход блока 3.2 передается сообщение о классифицированной атаки.
Полученное сообщение о классификации атаки из блока 3.2 передается в блок 3.1, где оператор принимает решение об отключении выбранной в блоке 5.3 неактивированной сигнатуры.
За счет выявления сильных корреляционных связей между параметрами сетевого трафика, возможно определить такое количество сигнатур, при которых обеспечивается требуемое быстродействие и обеспечивает требуемую задержку потока данных, что обеспечивает требуемое качество связи. Сокращение количества сигнатур не влияет на защищенность узла связи в связи с тем, что при выявлении фактов ведения информационно-технических воздействий выявленные пакеты выделяются из обрабатываемого информационного потока и анализируются отдельно от основного трафика. Применение разработанной системы позволяет повысить быстродействие системы мониторинга на 14-19 %.
Представленный подход к определению актуальных сигнатур целесообразно применять в перспективных устройствах мониторинга, осуществляющих контроль информационной безопасности на высоких скоростях передачи данных (свыше 1 Гбит/с). Представленная адаптивная система реализована в виде патента РФ на изобретение [16].
Список литературы:
1. Positive Technologies. Positive Research. Сборник исследований по практической безопасности [Электронный ресурс]. URL: http://ptsecurity.com/ Positive Research A4.RUS. 0009.09.JUN.26.2018 (дата обращения: 10.02.2020).
2. Positive Technologies. Positive Research 2019. Сборник исследований по практической безопасности [Электронный ресурс]. URL: http://ptsecurity.com/ Positive Research A4.RUS.0001.02.APR.19.2019 (дата обращения: 10.02.2020).
3. Positive Technologies. Распространенные угрозы ИБ в корпоративных сетях. Результаты анализа сетевого трафика в различных компаниях в России и СНГ [Электронный ресурс]. URL: http://ptsecurity.com/Network Traffic Analysis A4.RUS. 0003.02.FEB.10. 2020 (дата обращения: 10.02.2020).
4. Система и способ обнаружения признаков компьютерной атаки: пат. РФ № 2661533. G06F 21/55 (2013.01). Заявка: 2017133842, 29.09.2017. Опубликовано: 17.07.2018 Бюл. № 20.
5. Способ и устройство для защиты от сетевых атак: пат. РФ № 2683486. G06F 21/00 (2013.01), H04L 29/08 (2006.01) Заявка: 2017139237, 13.05.2016. Опубликовано: 28.03.2019 Бюл. № 10.
6. Способ и устройство детектирования злонамеренной атаки: пат. РФ № 2647646. G06F 21/55 (2013.01), H04L 12/28 (2006.01). Заявка: 2016124770, 05.09.2014. Опубликовано: 16.03.2018 Бюл. № 8.
7. Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак: пат. РФ № 2634211 G06F 21/55 (2013.01), G06F 21/53 (2013.01), H04L 29/02 (2006.01). Заявка: 2016127245, 06.07.2016. Опубликовано: 24.10.2017 Бюл. № 30.
8. Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в специальных информационных системах персональных данных отрасли / Министерство связи и массовых коммуникаций Российской Федерации. Решение секции №1 Научно-технического совета Мин-комсвязи России «Научно-техническое и стратегическое развитие отрасли» от 21 апреля 2010 года № 2.
9. Стратегия развития отрасли информационных технологий в Российской Федерации на 2014 - 2020 годы и на перспективу до 2025 года. Утверждена распоряжением Правительства Российской Федерации от 1 ноября 2013 г. № 2036-р
10. Приказ Мининформсвязи РФ от 27.09.2007 № 113 "Об утверждении Требований к организационно-техническому обеспечению устойчивого функционирования сети связи общего пользования" (Зарегистрировано в Минюсте РФ 22.10.2007 N 10380).
11. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ 09.09.2000 N Пр-1895).
12. Добрышин М.М., Берлизев А.В., Осипова Н.С., Карелин Д.А. Программа расчета быстродействия системы мониторинга технического состояния средств связи: свидетельство о государственной регистрации программы для ЭВМ № 2018618661 от 17.07.2018 г. Бюл. № 7.
13. Добрышин М.М., Берлизев А.В., Берлизева Е.С., Верижникова О.Н. Расчет корреляционных связей между значениями параметров технического состояния средств связи: свидетельство о государственной регистрации программы для ЭВМ № 2018615232 от 03.05.2018 г. бюл. № 5.
14. Способ использования вариантов противодействия сетевой и потоковой компьютерных разведок и сетевым атакам и система его реализующая: пат. РФ № 2682108 от 14.03.2019 бил. № 8. G06F 21/60 (2013.01), H04B 17/00 (2015.01). Заявка № 2018105350, от 13.02.2018.
15. Гречишников Е. В., Добрышин М. М., и др. Предложения по повышению быстродействия распределенной системы мониторинга компьютерных сетей интегрированных в единую сеть электросвязи // Вопросы оборонной техники. Сер. 16. Технические средства противодействия терроризму. 2017. № 3-4 (105-106). С. 24 - 29.
16. Адаптивная система мониторинга информационно-технических воздействий: пат. РФ № 2728763 G06F 21/50 (2013.01). Заявка № 2019123565, от 26.07.2019. Опубликовано: 31.07.2020 Бюл. № 22.
Добрышин Михаил Михайлович, канд. техн. наук, сотрудник, Dobrithin@ya. ru, Россия, Орёл, Академия ФСО России,
Закалкин Павел Владимирович, канд. техн. наук, сотрудник, Dobrithin@ya. ru, Россия, Орёл, Академия ФСО России,
Горшков Алексей Анатольевич, канд. техн. наук, сотрудник, Dobrithin@ya.ru, Россия, Орёл, Академия ФСО России,
Манзюк Виктор Валентинович, сотрудник, Dobrithin@ya. ru, Россия, Орёл, Академия ФСО России
OPTION OF CREATION OF ADAPTIVE SYSTEM OF MONITORING OF INFORMATION AND TECHNICAL INFLUENCES
M.M. Dobryshin, A.A. Gorshkov, V. V. Manzyuk
Development of ways and means of computer attacks leads to decrease in efficiency of classical approaches of protection against computer attacks. The analysis of consequences of computer attacks to various knots of computer networks revealed that for effective protection against the specified threats, it is not enough to find the fact of the beginning of computer attack now and to react to the revealed threats. Owing to what it is necessary development of the technical solution based on active preliminary counteraction of the specified threats. The essence of the offered system consists in increase of timeliness of detection of the facts of the beginning of conducting various computer attacks, and also preliminary reaction of system of protection to the arisen threats.
Key words: computer attacks, systems of protection against computer attacks.
Dobryshin Michael Mihajlovich, candidate of technical sciences, employee, Do-brithin@ya.ru, Russia, Oryol, The Academy of FSO of Russia,
20
Gorshkov Alexey Anatolevich, candidate of technical sciences, employee, Do-brithin@ya.ru, Russia, Oryol, The Academy of FSO of Russia,
Manzyuk Victor Valentinovich, employee, Dobrithin@ya. ru, Russia, Oryol, The Academy of FSO of Russia
УДК 621.311
АЛГОРИТМЫ И УСТРОЙСТВО ДЛЯ КАТОДНОЙ ЗАЩИТЫ ЛИНЕЙНОЙ ЧАСТИ МАГИСТРАЛЬНЫХ ГАЗОПРОВОДОВ
Н.С. Акиншин, А.И. Гладышев, А.В. Кулешов
Предложены математическая модель и алгоритмы оптимизации работы станций катодной защиты магистральных газопроводов. Для решения формализованной задачи оптимизации работы станций катодной защиты предложено и обосновано комплексное применение многоагентных методов стохастического поиска. Для измерения параметров и управления работой СКЗ МГ предложена схема построения адаптивного управляющего контроллера с гальванической развязкой.
Ключевые слова: магистральный газопровод, катодная защита.
Для обеспечения эффективного функционирования антикоррозионной защиты магистральных газопроводов (МГ) с применением станций катодной защиты (СКЗ) [1 - 3] необходимо решение следующего круга задач.
1. Объединение СКЗ в систему с единым управлением.
2. Обеспечение оперативной выработки управляющих решений в системе СКЗ.
3. Создание эффективных устройств управления средствами электрохимической защиты.
Решение задач 1 и 2 связано с разработкой моделей и алгоритмов оптимизации работы совокупности СКЗ МГ.
По критерию минимума потребляемой мощности задача оптимизации работы СКЗ МГ может быть сформулирована следующим образом. Определить такие значения переменных xi, Ii (i = 1, 2, ..., N), которые обеспечивали бы
W (X, I ) = mm Yxt (zI2 + P™) (1)
i=1
при ограничениях:
