Задача перераспределения потоков в сети по наиболее
защищенным каналам
Белов С.В.(88Ве1оу@уа^ех.ги ), Попов Г.А. Астраханский государственный технический университет
Введение
Задача обеспечения информационной безопасности на объекте обработки информации, имеющей ценностей даже на самую минимальную стоимость, являлась и является актуальной. Одной из составляющей информационной безопасности является физическая защищенность каналов и систем передачи, обработки и накопления информации, поскольку зачастую несанкционированное воздействие с информацией связано непосредственно с физическим подключением к каналам передачи, узлам ее обработки и хранения.
На задачу обеспечения физической защищенности объекта затрачиваются огромные средства, причем масштабы этих затрат часто бывают сравнимы с совокупностью стоимости систем обработки информации.
Задача обеспечения физической защищенности всех элементов системы обработки данных является самостоятельной серьезной проблемой, которой посвящены работы [1,2].
В данной работе обсуждается следующая задача: предположим, известны вероятности хищения информации на различных элементах системы передачи данных, также заданы объемы и маршруты обработки информации разного уровня секретности. Требуется найти такие режимы обработки информации в АСОИУ, при которых вероятность хищения минимальна. Именно этой проблеме посвящена данная проблема.
Постановка задачи
Любую сеть АСОИУ можно задать в виде граф. Данный граф является ориентированным и взвешенным, причем вес имеют и вершины и дуги. Для дальнейшего рассмотрения необходимо так перестроить данный граф, чтобы вес имели только дуги, для этого заменяем вершину дугой.
Пусть граф сети О задан следующими характеристиками: матрица смежности топологической структуры А размерностью NxN; матрица С размерностью NxN пропускных
способностей звеньев сети; матрица тяготения Г = ||^^|| размерностью NxN, т.е. матрица информационных потребностей между различными парами узлов сети; матрица Р = |р || вероятностей проникновения к звену (1-]) (предполагается, что эти вероятности независимы);
матрица Р = |р || вероятностей того, что злоумышленник не бедет обнаружен в зоне звена (/-/);
вероятность Рдоп - заданный уровень стойкости информационной безопасности АСОИУ, и -средняя длина пакета данных.
Необходимо так распределить потоки информации, чтобы они проходили по наиболее защищенным каналам и минимизировали потери связанные со злоумышленным воздействием. Данная задача близка к задаче маршрутизации потоков в сети и наиболее приемлемым алгоритмом является полуэвристическим алгоритмом, описанный Клейнроком [3]. Применительно к данной задаче он был модифицирован и адаптирован.
Основные положения метода решения задачи
В качестве критерия по которому происходит перераспределение потоков по локальной вычислительной сети выбирается среднее время работы Т потенциального злоумышленника с защищаемой информацией (с учетом возможностей его доступа к защищаемой информации). По аналогии с [3, глава 5] можно записать следующее выражение для Т:
Т = 1А• Рч ■ %Т)• Тч =ТРЬТ,, (!)
',ч У ',] У
ч ч
где Л4 - средняя величина потока проходящего через звено (/-/); у - полная величина потока в
сети: у = ^Ау ; qiч (^)- вероятность того, что злоумышленник проникнет к звену (/-/) и сможет
ч
^ ч
реализовать злоумышленное воздействие в течение времени Т ^ - среднее время пребывания
заданного пакета данных в звене (/-/'); Тчч = рч • qiч (Тч) • Тчч.
Основные этапы алгоритма опираются на следующие рассуждения.
дТ д 2Т
Путем вычислений не трудно показать что -> 0 и —— > 0, т.е. функция выпуклая
дАч дАА
возрастающая и поэтому любой локальный минимум является глобальным. Пусть {А(ч0) }-текущий набор, а А}- набор, полученный путем перераспределения (перебора) текущего потока. Тогда
а(0) др ( А(0)) 1
Т (А})-Т ({ •чй •А ■ Р (АА^
У дАч i, ч У
i, ч ' ч' ч
ч ч
где А =ААч А
Поскольку поток {Я,} получается из ЯЮ} путем его перераспределения, то сумму в
правой части равенства можно представить в виде двух сумм, первая из которых( Е') учитывает потоки где добавляется нагрузка, а вторая сумма( Е") учитывает где нагрузка убавилась. Напомним что целью решения является нахождения минимума Т. Поэтому можно предположить следующую схему перераспределения потока: при перераспределении потока стремимся к тому, чтобы сумма Е' была минимально возможной, а сумма Е" -максимально возможной.
т дТ 40) дТ1 (40)) , т /-1(0)4 тт
Т.к. -> 0, то I«---—--+ Т(Я/) можно интерпретировать как длины. И в
дЯ,, г] / дЛ 11
V У
предположении, что ЛЛ(]0) = А, для всех г и ], задача минимизации Е' сводиться к нахождению
кратчайшего пути, для чего в работе использовался алгоритм Флойда, задача же максимизации Е" решается как экстремальная задача с использованием методов Фибоначчи.
В [3] получено следующее выражение для Т. :
Т] = „ „ , (2)
где /и - средняя длина пакета данных. Полагая т, = Я- последнюю формулу можно записать в
¡
виде:
т..
Т, =---. (3)
У Я - (С, )
Из эвристических соображений можно предполагать, что вероятность q, ^) пропорциональна вероятности р. того, что злоумышленник не бсдет обнаружен в зоне звена (г-1) в течение достаточно долгого промежутка времени, т. е. можно записать:
q,l ^) = Р. - q(t), (4)
где q(t) - вероятность того, что злоумышленник может осуществить злонамеренное воздействие
в течение времени t. Предположим, что вероятность не зависит от характеристик конкретного звена и зависит лишь от технологии обеспечения информационной безопасности в сети.
Предполагая, что условная вероятность реализации злонамеренного воздействия в данный (малый) интервал времени при условии, что до данного момента оно не было реализовано, практически не зависит от момента времени (а зависит от степени обеспечения информационной безопасности в сети и квалификации злоумышленника) получаем
соотношение
q(t + А) - q(t) 1 - q(t)
e•Аt.
где е - коэффициент пропорциональности, откуда аналогично [1] выписывается соотношение
q(t) = 1 - е, t > 0 . (5)
При нахождении коэффициента е будем исходить из того, что вероятность проникновения должна быть не выше допустимого уровня Рдоп для всех звеньев сети, т.е.
q^Ч Т ) " Рдоп для всех i и j, * * ч . (6)
Подставляя (4) и (5) в (6) получим:
Рч -(1 - ее ) < Рдоп выразив из последнего неравенства е получаем
1 ( Р ^
е<-—1п 1 —доп
Тч
ч V
ч
В качестве е выбирается наиболее "неблагоприятное" значение, т.е.
е = шт
*, ч
** ч
1 ( Р ^ --1П 1 —доп
ГГ1 ~
ч V Рч У
(7)
Отметим, что в сети может передаваться информация нескольких уровней секретности. Поэтому данная задача должна решаться сначала для наиболее секретной информации (верхний уровень секретности), потом для менее секретной и так далее до самого низкого уровня.
Общая идея алгоритма
1. С использование пропускных способностей канала, формируется начальное распределение потоков .
2. Модификация или перераспределение потоков по таким характеристикам как:
a. Информационная потребность между узлами,
b. Пропускная способность звена,
c. Среднее время работы потенциального злоумышленника с защищаемой информацией.
Описание алгоритма.
Для начала запишем процедуру формирования потоков по наиболее безопасным маршрутам.
Входные данные: матрица вероятностей достижения каналов передачи Ь, матрица тяготения Г.
Выполнение:
1. Найти матрицу Н длин наиболее безопасных путей на основе алгоритма Флойда следующим образом. Полагаем Б0=Ь и последовательно для п = 0 до N-1 строятся матрицы Бп = ||ё;к (п)|, где:
ёк (п +1) = тп(Л]к (пХ ,п+1 (п) + ёп+и (п)). Тогда Н=Пио.
2. Построить матрицу Ф потоков по наиболее безопасным маршрутам следующим образом.
Пусть Ф = К|| . Полагаем Г'= Г ив начале Ц]к = 0 для всех ] и к.
" " К ] =1
Перебираем все пары (],к) вершин. Для данной пары вершин (¡,к) последовательно просматриваем значение п от N до 2:
Находим такой номер п > 1, что (п) < (п -1), a 1пк конечно и /пк>0;
если такого номера п нет и ] > 0, то полагаем п=1; в противном случае пути из 7-ой вершины в к-ую нет и /]к=ю. Полагаем < = <рл + у ]к и
^п =^п +У]к , если < Спк .
После перебора всех пар (р]к есть результирующий поток по каналу (¡,к) при пересылке по наиболее безопасным маршрутам.
Запишем процедуру маршрутизации потоков в сети:
1. Построить реализуемый начальный поток следующим образом:
NN 1
Положить у = ^^у]к - полный поток в сети, /^ =-, И0= 1. Сформировать поток
]=1 к=1 У • С]к
по наиболее безопасным маршрутам Ф0 =
<1
с 1 = Ы.
Положить п=0 и провести следующую итерационную процедуру:
<)
a) Вычислить а = max —■—.
п ],к С
■к
Ф
Если ап ■ Кп < 1, то положить Ф0 = —- и остановить процедуру (п.2).
К
ъ 7 >1 / К (1 - 0.01 • (1 -ап))/
Если же а • К > 1, то положить К +, = п 4 4 п"/ .
п п 5 п+1 /а
И
Ь) Положить Gn+1 ='~И+1, фп = |\ё]к (п +1)|| " это реализуемый поток различных грузов,
который несет полный трафик с интенсивностью Ип+]<1.
С)
Положить ¡к =
да, если aJk = 0 и ] ф к 0, если ] = к
С,.
'1 к
, если aJk = 1 и ] ф к
у[С]к - Ер (п +1)]2 и найти потоки Ф по наиболее безопасным маршрутам с Ь = ¡.к ||. Найти а, 0 < а < 1, минимизирующее величину средней
задержки
Т = Е-' Р. -Я:
а Г
'ф 1
(С)
У у
(С', -т.)
где Тк = §1к(п +1) •(1 -а) + а- <р]к
= Ф0. Положить Фп+1 = (1 -а) •Фп +а -Ф.
е) Если п=0, то п=1 и перейти к шагу a).
N N
1) Если -(рк - Е1к (п +1)) < 0.01 и ^п+1 - Ип| < 0.01, то задача не имеет
1=1 к=1
решений. В противном случае п=п+1 и перейти к шагу a). 2. Выбрать оптимальные маршруты на основе следующего алгоритма. Положить
п = 0, ||рк(0)|| = Ф.
a) Для каждого канала (],к) положить
С,.
¡к =
' 1к
-рп Ч2
+ да
0
, если aJk = 1 и ] ф к
, если aJk = 0 и ] ф к , если ] = к
вп = 1И *Рк(п)
1=1 к=1
Ь) Найти потоки по наиболее безопасным маршрутам с Ь = ^¡]к ||.
Пусть Еп =|| /,к (п)|| - матрица потоков по различным каналам. Положить
N N
Ьп = (п)
1=1 к=1
1
т
c) Если (вп - Ьп)<0.01, то процедура заканчивается.
d) По методу Фибоначчи минимизировать величину Т по а е [0,1], приведенную в пункте 1d) с т}к = (1 - а) • <р}к (п) + а • /}к (п) .
Положить (п +1) = (1 - а) • < кк (п) + а* • /]к (п), где а» - оптимальное значение а . Положить п = п+1 и перейти к шагу 2а).
Заключение
Полученные в данной работе процедуры позволяют оценивать вероятность проникновения к любому элементу АСОИУ и позволяют перераспределить маршрутизацию информационных пактов так, чтобы они проходили по наиболее защищенным каналам передачи информации. Также данные результаты позволят сравнивать между собой различные варианты обеспечения и повышения информационной безопасности объекта и на этой основе выбрать наиболее приемлемый вариант обеспечения защиты.
Перечисленные в работе характеристики могут зависеть от ситуаций на объекте (например, происходит где-то ремонт, не работают какие либо средства защиты и т.д.) и от времени. Поэтому данная задача должна решаться в динамическом режиме и может быть использована в качестве одной из компонент автоматизированной системы обеспечения информационной безопасности объекта.
Список литературы
1. Попов Г.А., Белов С.В., Некоторые задачи формализации процесса анализа физической защиты объекта информации // Материалы VI международной научно-методическая конференция НИТРИО-2001. Астрахань: АГТУ, 2000.
2. Белов С. В. Оценка степени наблюдаемости территории без использования технических средств защиты //Тематический выпуск: Материалы V международной научной практической конференции по информационной безопасности. Таганрог, 2003 г.
3. Клейнрок Л., Вычислительные системы с очередями. Москва: изд-во «Мир», 1979 г.