Научная статья на тему 'Внедрение системы детектирования внешних угроз при облачных вычислениях'

Внедрение системы детектирования внешних угроз при облачных вычислениях Текст научной статьи по специальности «Автоматика. Вычислительная техника»

CC BY
20
4
Поделиться
Ключевые слова
ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ / ВИРТУАЛЬНЫЕ МАШИНЫ / ИНФОРМАЦИОННЫЕ СИСТЕМЫ / СЕТЕВОЙ МОНИТОРИНГ / СИСТЕМЫ ВЫЯВЛЕНИЯ ВТОРЖЕНИЯ / МАШИННОЕ ОБУЧЕНИЕ / БАЗА ЗНАНИЙ

Аннотация научной статьи по автоматике и вычислительной технике, автор научной работы — Вишняков Александр Сергеевич, Макаров Анатолий Евгеньевич, Уткин Александр Владимирович, Зажогин Станислав Дмитриевич, Бобров Андрей Владимирович

Рассмотрены методологические основы внедрения парадигмы облачных вычислений как инструмента обеспечения доступа к инфраструктуре удаленных вычислительных ресурсов через организацию комплекса виртуальных машин. Анализ эффективности работы облачных программных приложений был произведен с точки зрения соотнесения их производительности и стоимости реализации платформы. Проведено сравнение сценариев систем обнаружения вторжений на сетевые ресурсы информационных систем путем анализа результатов моделирования облачных приложений для различных конфигураций сервиса. При моделировании процесса работы облачных программных приложений учитывались такие параметры, как время обработки данных, время отклика, время обслуживания запроса, общая стоимость передачи данных и архитектура комплекса виртуальных машин. В результате обработки статистических данных был предложен алгоритм определения наиболее эффективной реализации облачного сервиса с точки зрения минимизации времени отклика.

Похожие темы научных работ по автоматике и вычислительной технике , автор научной работы — Вишняков Александр Сергеевич, Макаров Анатолий Евгеньевич, Уткин Александр Владимирович, Зажогин Станислав Дмитриевич, Бобров Андрей Владимирович,

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Текст научной работы на тему «Внедрение системы детектирования внешних угроз при облачных вычислениях»

построение объединений, буферных зон, пересечений и разностей полигонов, поиск пересекаемых и смежных объектов.

В системах ГИС применяется методика алгоритма для хранения объемных данных, быстрого вывода на экран посредством сжатия данных и быстрого поиска объектов, есть возможность использования дополненной реальности [1]. Таким образом, это позволяет ГИС представлять дорожную сеть на картах небольшого масштаба, проводить анализ транспортного обеспечения районов, своевременно информировать об объектах сети дорог и выбирать наиболее оптимальный коридор варьирования проектировочной трассы для соответствующей цифровой модели местности (ЦММ).

Однотипные графические данные в ГИС отображаются в едином слое графических данных и обладают идентичным атрибутивным набором. Данная характерность ГИС может отобразить слой графических объектов с набором атрибутов как таблицу реляционной базы данных, это значит, что можно использовать соответствующий функционал баз данных для анализа атрибутов графических объектов. Атрибутивная поддержка геоинформационных систем дает возможность применять их при диагностике, паспортизации, инвентаризации и кадастре дорог.

Вышеперечисленные свойства ГИС позволяют интегрировать их с САПР дорог, в связи с чем указанные системы все чаще применяются в проектировании дорог. Так, развитие вычислительной техники полностью изменило процесс проектировки своими возможностями применения различных методов оптимизации и моделирования при проектировке дорог.

Список литературы

1. Куликов А.С., Мавлютов А.Р., Мавлютов А.Р. Применение дополненной реальности В ГИС // Вестник науки и образования. 2019. № 2-2 (56). С. 25-28.

ВНЕДРЕНИЕ СИСТЕМЫ ДЕТЕКТИРОВАНИЯ ВНЕШНИХ УГРОЗ ПРИ ОБЛАЧНЫХ ВЫЧИСЛЕНИЯХ Вишняков А.С.1, Макаров А.Е.2, Уткин А.В.3, Зажогин С.Д.4, Бобров А.В.5

'Вишняков Александр Сергеевич — ведущий инженер, системный интегратор «Крастком»;

2Макаров Анатолий Евгеньевич — архитектор решений, Российская телекоммуникационная компания «Ростелеком», г. Москва;

3Уткин Александр Владимирович — старший инженер, Международный системный интегратор «EPAMSystems», г. Минск, Республика Беларусь;

4Зажогин Станислав Дмитриевич - старший разработчик, Международный IT интегратор «Hospitality & Retail Systems»;

5Бобров Андрей Владимирович — руководитель группы, группа технической поддержки, Компания SharxDC LLC, г. Москва

Аннотация: рассмотрены методологические основы внедрения парадигмы облачных вычислений как инструмента обеспечения доступа к инфраструктуре удаленных вычислительных ресурсов через организацию комплекса виртуальных машин. Анализ эффективности работы облачных программных приложений был произведен с точки зрения соотнесения их производительности и стоимости реализации платформы. Проведено сравнение сценариев систем обнаружения вторжений на сетевые ресурсы информационных систем путем анализа результатов моделирования облачных приложений для различных конфигураций сервиса. При моделировании процесса работы облачных программных приложений учитывались такие параметры, как время обработки данных, время отклика, время обслуживания запроса, общая стоимость передачи данных и архитектура комплекса виртуальных машин. В результате обработки статистических данных был предложен алгоритм определения наиболее эффективной реализации облачного сервиса с точки зрения минимизации времени отклика.

Ключевые слова: облачные вычисления, виртуальные машины, информационные системы, сетевой мониторинг, системы выявления вторжения, машинное обучение, база знаний.

УДК 331.225.3

Введение

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Концепция облачных вычислений на сегодняшний день является одним из наиболее эффективных инструментов для решения проблем масштабирования систем хранении данных и организации вычислительных систем. Данная концепция широко используется при построении удаленных платформ, которые дают доступ пользователям к разнообразным сетевым сервисам, при использовании которых нет необходимости быть осведомленным в технических аспектах работы с серверными комплексами и сетевыми узлами. Однако, в условиях активного расширения области применения облачных сервисов как платформ удаленного доступа, в значительной степени актуализируется вопрос безопасности хранения и передачи данных, с точки зрения как их сохранности и доступности, так и сохранения конфиденциальности.

Создание принципиально новых технологий совместной работы с большими массивами данными приводит к появлению новых типов уязвимости. При построении стратегии зашиты облачного сервиса необходимо провести детальный анализ с учетом параметров стабильности работы облачного сервиса, которые могут быть представлены в числовой форме или в виде математических функций, в частности:

• время отклика на запрос пользователя;

• время обработки запроса;

• математическая модель балансировки нагрузки;

• количество пользователей;

• организация комплекса виртуальных машин (ВМ);

• вычислительная мощность ВМ.

Проведенный анализ дает возможность разработать методологию эффективной организации широкого класса облачных сервисов и далее на основе машинного моделирования построить на основе данной методологии алгоритмы и оценить их продуктивность. Такой подход претендует как на теоретическую, так и на практическую значимость в области информационных технологий, что обуславливает актуальность исследования проведенного в рамках данной работы.

Анализ последних исследований и публикаций в данной области показал приоритет метода, который в рамках организации системы выявления вторжения IDS (Intrusion Detection System) комбинирует алгоритмы типа EV (Event Gatherer) и систему мониторинга комплекса ВМ (VMM: Virtual Machine Monitor). Таким образом, в соответствии с данным подходом IDS включает в себя как центральный модуль управления, так и множество алгоритмов, выполняющих роль датчиков, распределенных по инфраструктуре облачного сервиса [1-3]. При этом программное приложение EG играет роль модуля, который обеспечивает хранение и обработку входных данных, а также выполняет роль интегратора датчиков. В архитектуре указанного типа также может использоваться специфический формат обмена сообщениями об обнаружении вторжений (IDMEF: Intrusion Detection Message Exchange Format), который предназначен для оформления отчетов об обнаружении потенциальных внешних угроз в виде доступном для пользователей сервиса.

Развитием данной концепции является модель многоуровневой IDS [4-6], в рамках которой возможно оптимизировать использование вычислительных ресурсов комплекса ВМ. Такая система на автоматическом уровне распределяет аккаунт в одну из групп безопасности, которая определяется в соответствии с уровнем потенциальной угрозы (anomaly level), который, в свою очередь, может быть высоким, средним или низким. Ее ключевым компонентом является модуль аутентификации, авторизации и учета. Также, для организации работы распределенных информационно-телекоммуникационных систем была предложена схема многопоточных IDS [7, 8]. Многопоточная IDS включает в себя три модуля: модуль захвата и организации очередности обработки сетевых пакетов (capture and queuing module), модуль анализа и обработки сетевых пакетов (analysis and processing module), а также модуль автоматического формирования отчетности (reporting module). Кроме того была предложена система обнаружения сетевых вторжений в рамках платформы облачного сервиса [9, 10], что включает в себя алгоритмы, которые способны генерировать новые правила обнаружения сигнатур кибератак на основе обнаруженных пакетов. Такой подход был положен в основу построения более совершенных алгоритмов гибридных IDS на основе систем KFSensor и Flowmatrix. Так, например, была построена архитектура системы обнаружения и предотвращения угроз облачного сервиса CIDPS (Cloud Detection and Prevention System), эффективность работы которой была показана на ряде компьютерных моделей [12-14]. В рамках данной системы предупреждения, которые генерируются при мониторинге сетевой инфраструктуры,

платформы и приложений в соответствии с корпоративными политиками, проходят анализ системой управления «Trust Management». В архитектуре CIDS каждый функциональный компонент включает в себя анализатор и детектор, которые связаны с базами знаний (БЗ) общей системы мониторинга (knowledge based databases). За счет проведения индивидуального анализа на уровне каждого узла существенно уменьшается объем данных, которые подлежат обмену и уменьшают быстродействие функционирования системы.

Целью работы, таким образом, стала разработка комплексной методологии организации гибридных систем мониторинга облачных сервисов, а также оценка эффективности построения алгоритмов, разработанных на их основе в соответствии с типом облачного сервиса.

1. Классификация схем комбинирования алгоритмов архитектуры IDS

Для построения методологии комбинирования алгоритмов архитектуры IDS, эффективность которого была показана выше, необходимо провести классификацию современных моделей IDS. При этом можно выделить следующие типы

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

• расширенная архитектура IDS (AIMA: Advanced IDS management architecture);

• облачная IDS (CIDS: Cloud intrusion detection system);

• облачная система обнаружения и предотвращения кибератак (CDPS: Cloud detection and prevention system);

• расширенная гибридная IDS (IHIDS: Improved hybrid IDS);

Задачи, соответствующие современным проблемам в области обнаружения кибератак, которые должны быть поставлены перед системами мониторинга, также следует разбить на четыре категории:

• обнаружение новых типов атак

• анализ зашифрованных данных, которые передаются по скрытым каналам;

• шифрование данных, которые передаются между функциональными элементами системы мониторинга;

• распространение данных о потенциальной угрозе по всем узлам системы.

На рис. 1 проведено соотнесение данных списков для выявления возможностей каждой из перечисленных моделей IDS. Приведенная схема наглядно демонстрирует, что модели AIMA и CIDS следует отнести к вспомогательным, а модели CDPS и IHIDS, в свою очередь, строятся на основе нейросетевых алгоритмов.

Рис. 1. Классификация современных моделей IDS

Таким образом, при построении гибридной системы следует с одной стороны учесть особенности архитектуры IDS, которая берется за основу, например, тип организации системы, наличие нейросетевых алгоритмов, которые позволяют системе самостоятельно обучаться новым сигнатурам кибератак в процессе работы, средства шифрования и дешифровки, алгоритмы для трансляции данных о новых обнаруженных кибератаказ, а с другой — задачи по отслеживанию и противодействую злоумышленникам, которые стоят перед разработчиком.

2. Построение моделей алгоритмов отслеживания кибератак на платформу облачного сервиса

Модели обнаружения кибератак облачного сервиса могут быть разделены на две группы:

• распределенная архитектура обнаружения кибератак;

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

• централизованная архитектура обнаружения кибератак.

Концепция распределенной архитектуры обнаружения кибератак состоит в построении такой модели обнаружения вторжений, при которой каждая хостовая система обнаружения вторжений (HIDS: Host-Based Intrusion Detection System), которая ведет мониторинг внутри инфраструктуры платформы облачного сервиса взаимодействует путем обмена IDMEF [15]. Каждая HIDS имеет свою собственную базу данных и оснащена модулем анализа и машинного обучения для обнаружения новых типов кибератак. При обнаружении кибератаки HIDS передает ее сигнатуру другим узлам HIDS для обновления баз данных всех компонентов системы (рис. 2).

Рис. 2. Схема распределенной архитектуры обнаружения кибератак

Централизованная архитектура обнаружения кибератак подразумевает централизацию взаимодействия всех HIDS комплекса ВМ (множество {ВЫЛ;ВМ. 2. . .ВМ.Щ которым соответствует серверный комплекс (множество { С. 1 ; С.2. . .С. К} ) с целью обнаружения и предотвращения кибератак, которые работают с программными приложениями, располагающихся на ВМ (рис. 3). Централизованная архитектура дает значительные преимущества с точки зрения уменьшения ресурсоемкости системы мониторинга, включая временные затраты. При этом отдельные модули HIDS размещаются на каждой ВМ и централизованно через отдельный модуль взаимодействуют друг с другом за счет обмена предупреждениями об обнаруженных кибератаках. Таким образом, центральный модуль отвечает за прием уведомлений от ШDS, а также за запись и чтение из центральной базы данных (БД) информации для синхронизации локальной базы данных каждого из ШDS.

Рис. 3. Схема централизованной архитектуры обнаружения кибератак

Данная модель может быть улучшена за счет использования методов интеллектуального анализа данных и машинного обучения (МО) для обнаружения новых типов кибератак.

3. Построение самообучающейся IDS на базе центрального модуля комплекса виртуальных машин

Как было указано в предыдущем разделе расширение централизованной архитектуры обнаружения кибератак может быть осуществлено за счет внедрения МО и БЗ (рис. 4), которые в динамическом режиме соотносят параметры системы и автоматически вносят корректировки в ее работу. В общем случае можно рассмотреть девять вариантов построения IDS, в которых рассматривает наличие МО или БЗ, либо их совмещение как для центрального модуля комплекса ВМ так и для каждой машины отдельности.

Рис. 4. Варианты организации архитектуры самообучающейся IDS на базе центрального модуля

комплекса виртуальных машин

Кроме того может быть рассмотрен вариант при котором центральный модуль включает в себя как МО, так и БЗ, а отдельные виртуальные машины при этом не включают ни МО, ни БЗ. Таким образом, через анализ возможных комбинаций методами комбинаторики, можно рассчитать, что суммарное количество вариантов организации архитектуры составляет 10 единиц:

1. Центральный модуль комплекса виртуальных машин включает в себя только МО, а ВМ включают в себя только БЗ. Данная модель неэффективна, т.к. наличие в ВМ БЗ существенно увеличивает сетевой трафик.

2. Центральный модуль комплекса виртуальных машин включает в себя только МО, а ВМ также включают в себя только МО. Данная модель неэффективна, т.к. подразумевает дублирование функций и в рамках данной архитектуры отсутствует БЗ.

3. Центральный модуль комплекса виртуальных машин включает в себя только МО, а ВМ включают в себя и МО, и БЗ. Данная модель неэффективна, т.к. подразумевает дублирование функций.

4. Центральный модуль комплекса виртуальных машин включает в себя только БЗ, и ВМ также включают в себя только БЗ. Данная модель неэффективна, т.к. включает в себя дублирование БЗ.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

5. Центральный модуль комплекса виртуальных машин включает в себя только БЗ, а ВМ включают в себя только МО. Данная модель может быть внедрена как вариант централизованной архитектуры.

6. Центральный модуль комплекса виртуальных машин включает в себя только БЗ, а ВМ включают в себя и МО, и БЗ. Данная модель избыточна, но при этом может быть использована при вероятности повреждении БЗ центрального модуля.

7. Центральный модуль комплекса виртуальных машин включает в себя МО и БЗ, а ВМ также включают в себя только БЗ. Данная модель избыточна, но может быть использована при вероятности повреждении БЗ центрального модуля.

8. Центральный модуль комплекса виртуальных машин включает в себя МО и БЗ, а ВМ включают в себя только МО. Данная модель избыточна и не потому неэффективна.

9. Центральный модуль комплекса виртуальных машин включает в себя МО и БЗ, а ВМ также включают в себя и МО, и БЗ. Данная модель избыточна и не потому неэффективна.

10. Центральный модуль комплекса виртуальных машин включает в себя МО и БЗ, а ВМ не включают в себя ни МО, ни БЗ. Данная модель может быть использована.

Соответственно, в результате проведенного анализа было получено четыре рабочих варианта организации архитектуры самообучающейся IDS на базе центрального модуля комплекса виртуальных машин. Выводы

В результате проведенного анализа были предложены комбинированные схемы архитектуры IDS в частности:

1. обобщенные схемы распределенной и централизованной архитектуры обнаружения кибератак;

2. централизованная архитектура, где центральный модуль комплекса виртуальных машин включает в себя только БЗ, а ВМ включают в себя только МО;

3. централизованная архитектура IDS, где центральный модуль комплекса виртуальных машин включает в себя только БЗ, а ВМ включают в себя и МО, и БЗ.

4. централизованная архитектура IDS, где центральный модуль комплекса виртуальных машин включает в себя МО и БЗ, а ВМ также включают в себя только БЗ.

5. централизованная архитектура IDS, где центральный модуль комплекса виртуальных машин включает в себя МО и БЗ, а ВМ не включают в себя ни МО, ни БЗ.

Данные схемы являются оптимальными с точки зрения использования вычислительных мощностей серверного комплекса и скорости отклика, а также эффективны для обнаружения новых типов кибератак.

Список литературы

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

1. Roschke S., Cheng F., Meinel C. An advanced IDS management architecture. J. Inf. Assur. Secur. 5, 246-255, 2010.

2. Pandey V., 2017. Ids Criteria For Enhanced Security Over Cloud. International Journal of Advanced Research in Computer Science, 837-840. doi:10.26483/ijarcs.v8i7.4505.

3. Din M. & Needegh D., 2017. Interference Discovery Scheme (IDS) For Cloud Computing. International Journal of Engineering and Technology, 9 (3), 1893-1898. doi:10.21817/ijet/2017/v9i3/170903079.

4. Kuzhalisai M., Gayathri G. Enhanced security in cloud with multi-level intrusion detection system. IJCCT3 (3), 2012.

5. Alaparthy V.T. & Morgera S.D., 2018. A Multi-Level Intrusion Detection System for Wireless Sensor Networks Based on Immune Theory. IEEE Access, 6, 47364-47373. doi: 10.1109/access.2018.2866962.

6. Gogoi P., Bhattacharyya D.K., Borah B. & Kalita J.K., 2013. MLH-IDS: A Multi-Level Hybrid Intrusion Detection Method. The Computer Journal, 57(4), 602-623. doi:10.1093/comjnl/bxt044.

7. Gul I., Hussain M. Distributed cloud intrusion detection model. Int. J. Adv. Sci. Technol. 34,7182, 2011.

8. Patil R., Dudeja H., Gawade S. & Modi C., 2018. Protocol Specific Multi-Threaded Network Intrusion Detection System (PM-NIDS) for DoS/DDoS Attack Detection in Cloud. 2018 9th International Conference on Computing, Communication and Networking Technologies (ICCCNT). doi:10.1109/icccnt.2018.8494130.

9. Modi C.N., Patel D.R., Patel A., Rajarajan M. Integrating signature apriori based network intrusion detection system (NIDS) in cloud computing. Procedia Technol.6, 905-912 (2012).

30

10. Luna J.E., Martín A.S. & Landín C.J., 2015. System for Intrusion Detection with Artificial Neural Network. Proceedings of the International Conference on Agents and Artificial Intelligence. doi:10.5220/0005256704700475.

11. Gautam A.K., Sharma V., Prakash S., Gupta M. Improved hybrid intrusion detection system (HIDS): mitigating false alarm in cloud computing. JCT, 2012.

12. Patel A., Taghavi M., Bakhtiyari K., Júnior J.C. Taxonomy and proposed architecture of intrusion detection and prevention systems for cloud computing. In: Cyberspace Safety and Security. Pp. 441-458. Springer, Heidelberg, 2012.

13. Granjal J. & Pedroso A., 2018. Intrusion Detection and Prevention with Internet-integrated CoAP Sensing Applications. Proceedings of the 3rd International Conference on Internet of Things, Big Data and Security. doi:10.5220/0006777901640172.

14. Kholidy H.A., Baiardi F. CIDS: a framework for intrusion detection in cloud systems. In: 2012 Ninth International Conference on Information Technology: New Generations (ITNG). P. 379. IEEE, 2012.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

15. Gustedt J., JeannotE., Quinson M. Experimental methodologies for large-scale systems: a survey. Parallel Process. Lett.19, 399-418, 2009.

ИССЛЕДОВАНИЕ СОДЕРЖАНИЯ ВРЕДНЫХ ВЫБРОСОВ ГАЗОТУРБИННЫХ УСТАНОВОК Смышляев А.О.1, Кутлин Н.А.2, Гильмутдинов А.М.3

'Смышляев Антон Олегович — магистрант;

2Кутлин Никита Анатольевич — магистрант;

3Гильмутдинов Артур Маратович — магистрант; кафедра энергетического машиностроения, Казанский государственный энергетический университет, г. Казань

Аннотация: преимуществом при использовании ГТУ является то, что содержание вредных выбросов у них минимально и находится на уровне 9-25 ррт. Этот критерий ГТУ значительно лучше, щчем у [поршневых электростанций. \При использовании |ГТУ потребитель \ может получить существенную экономию средств на катализаторах и при строительстве дымовых труб.

Ключевые слова: газотурбинная установка, топливо ГТУ, нормирование выбросов вредных веществ.

ГТУ |может работать как на жидком, так и на газообразном топливе: в обычном рабочем режиме |- на газе, |а в резервном (аварийном) |- автоматически переключается |на дизельное топливо. Оптимальным режимом работы газотурбинной установки является комбинированная выработка тепловой |и электрической |энергии. ГТУ |в энергетике |работают как |в базовом режиме, так и длярокрытия пиковых нагрузок.

Большинство [газотурбинных установок |могут работать |на низкокалорийных |топливах с минимальной концентрацией метана (до 30%).

Горение топлива в камере сгорания ГТУ происходит в смеси с воздухом. При этом протекает химическая реакция окисления горючих компонентов топлива. Окислителем служит кислород, которого в воздухе при нормальных условиях содержится примерно 21% по объему. При соединении кислорода с углеродом, водородом и серой (если топливо не очищенное от серы) топлива образуются соответственно углекислый газ, водяной пар и диоксид серы.

Чтобы эти реакции прошли полностью, необходимо определенное количество кислорода. Так как топливо в камере сгорания ГТУ смешивается не с чистым кислородом, следует определить | количество воздуха, | в котором »содержится требуемое | количество кислорода. Необходимое для [полного сжигания |1 кг топлива [количество воздуха | (кг/кг), называемое стехиометрическим количеством.

При полном окислении всех компонентов и отсутствии потерь горение происходит при наибольшей для данного топлива температуре. Обычно действительная температура горения ниже максимальной, 1так как! воздух в зону горения подается с [небольшим избытком, |не до конца сгорают отдельные компоненты и из-за процессов диссоциацииребольшая часть теплоты