ПОВЫШЕНИЕ ПРОИЗВОДИТЕЛЬНОСТИ КОРПОРАТИВНОЙ СЕТИ В УСЛОВИЯХ ВОЗДЕЙСТВИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ
УДК 681.3
Л. М. ГРУЗДЕВА, М. Ю. МОНАХОВ
ПОВЫШЕНИЕ ПРОИЗВОДИТЕЛЬНОСТИ КОРПОРАТИВНОЙ СЕТИ В УСЛОВИЯХ ВОЗДЕЙСТВИЯ УГРОЗ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Формализована задача повышения производительности в условиях воздействия угроз информационной безопасности корпоративной сети как задача построения системы защиты, обеспечивающей максимально возможный уровень производительности сети при достоверном обнаружении и эффективном противодействии угрозам информационной безопасности.
Ключевые слова: корпоративная сеть передачи данных, производительность, система защиты информации, угрозы информационной безопасности.
Введение. Основными причинами интереса к вопросам повышения производительности корпоративной сети передачи данных (КСПД) являются возрастающая структурная сложность и размерность современных сетей, характеризующихся множественными изменяющимися во времени информационными связями, а также потребности в увеличении уровня информационной безопасности.
Снижение производительности сетей связано с недостаточной защищенностью вследствие широкого использования слабозащищенных протоколов HTTP, SNMP, FTP, TCP/IP; участия в процессе обработки информации пользователей различных категорий, их непосредственного и одновременного доступа к системным ресурсам и процессам. Современная система защиты информации (СЗИ), даже включающая систему обнаружения и предотвращения атак и вторжений IPS/IDS, не может гарантировать обнаружения 70 % информационных атак, что периодически приводит к значительному возрастанию вредоносного трафика (ВТ). В настоящее время актуальны задачи повышения достоверности обнаружения информационных атак, их идентификации, а также разработки методов и средств снижения их влияния на производительность КСПД.
Постановка задачи
1. Дано множество объектов КСПД O = {O1, O2 ,..., ONS } . Линии связи абсолютно на-
дежны, помехоустойчивы и состоят из дуплексного канала; узлы коммутации (маршрутизаторы сегментов КСПД) имеют бесконечную память; трафик состоит из пакетов одинакового приоритета и образует пуассоновский поток; длительность обработки пакетов в узлах определяется экспоненциальным законом распределения.
2. СЗИ включает модули защиты, в состав которых входит средство обнаружения (СО, SO) воздействия угроз информационной безопасности (ИБ) из множества
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2012. Т. 55, № 8
54 Л. М. Груздева, М. Ю. Монахов
SO = {SO1, S O2 ,..., SON } и средство противодействия (СП, SP) угрозам ИБ из множества
SP = {SP1, SP2 ,..., SPM } .
3. Каждый элемент множества SO обладает следующими характеристиками:
( ) ( )pi (t ) i = 1, N — вероятность обнаружения угроз ИБ; pi (t ) i = 1, N — вероятность воз-
( )никновения „ложной тревоги“; tобi i = 1, N — время обнаружения угроз ИБ, за которое
достигается максимальное значение вероятности обнаружения угроз ИБ, т.е.
pimax
=
lim
t →tобi
pi (t ) .
4. Каждый элемент множества SP обладает следующими характеристиками:
( ) ( )q j (t ) j = 1, M — вероятность противодействия угрозам ИБ; tпрj j = 1, M — время про-
тиводействия, за которое достигается максимальное значение вероятности противодействия,
т.е.
qmj ax
= lim
t →tпрj
qj (t).
Требуется: обеспечить максимально возможный уровень производительности КСПД
при достоверном обнаружении и максимально эффективном противодействии угрозам ИБ:
Φ(Π) → max; Pоб (t) → max; Tоб + Tпр ≤ Tд ,
⎫ PЛТ (t) → min; Qпр → max;⎬⎪⎪
⎪ ⎭⎪
(1)
где Φ(Π) — производительность КСПД; Pоб (t) = ϕ1 ( p1 (t ) , p2 (t ),..., pN (t )) — вероятность
( )обнаружения угроз ИБ; PЛТ (t) = ϕ2 p1 (t ), p2 (t ),..., pN (t ) — вероятность возникновения
„ложной тревоги“; Qпр (t) = ϕ3 (q1 (t ), q2 (t ) ,..., qM (t )) — вероятность противодействия угро-
( )зам ИБ; Tоб = ϕ4 tоб1, tоб2 ,...,tобN
— время обнаружения угроз ИБ;
( )Tпр = ϕ5 tпр1, tпр2 ,...,tпрM — время противодействия угрозам ИБ; Tд — допустимые вре-
менные затраты на обеспечение защиты ( ϕ1, ϕ2 , ϕ3, ϕ4 — виды соответствующих функциональных зависимостей).
Для решения поставленной задачи была разработана СЗИ [1], функционирование которой удобно рассмотреть с помощью структурной модели обнаружения и противодействия атакам на ресурсы КСПД (см. рисунок).
Уровень обнаружения — совокупность СО. На выходе СО формируется сигнал Xi (t)
( )i = 1, N , принимающий значение либо единица (угроза ИБ обнаружена), либо нуль (угроза
ИБ не обнаружена). Сигнал Xi (t) характеризуется плотностью распределения вероятности
его появления — f y ( Xi (t)) — угроза ИБ есть, а также fn ( Xi (t)) — угрозы ИБ нет:
f
y
(
X
i
(t
))
=
⎧⎪ pi (t )
⎨⎩⎪1 − pi
(t
)
при Xi (t) = 1, при Xi (t) = 0,
f
n
(
X
i
(t
))
=
⎪⎧ pi (t )
⎨⎪⎩1 − pi
(t
)
при Xi (t) = 1, при Xi (t) = 0.
В процессе формирования уровня обнаружения должны выполняться следующие ус-
ловия:
1) возможность совместной работы объединяемых СО;
2) обеспечение оптимального времени работы по обнаружению и противодействию уг-
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2012. Т. 55, № 8
Повышение производительности корпоративной сети в условиях воздействия угроз
55
розам ИБ; 3) обеспечение заданной вероятности обнаружения угроз ИБ; 4) снижение средней частоты появления „ложных тревог“. В статье [2] предложен алгоритм работы уровня обнаружения, основанный на понятии
„критическая область угроз“ (КОУ). Достоинством алгоритма является учет возможного взаимного влияния различных СО, так как КОУ строится по вероятностным характеристикам уровня обнаружения, а не его отдельных модулей.
Информационная атака
Уровень обнаружения
SSOO1 1
SSOO22
SSOO3 3
...
SSOONN
X1(t)
X2(t)
X3(t) ...
XN(t)
РЕШАЮРЩЕШИАЙЮЩБИЛЙОБКЛОК
Z y1 y2
y3
yM
SP1 SSPP2
Уровень противодействия
SP3 ... SPM
Противодействие
КТККТКСС
Уровень противодействия — совокупность СП, каждое из которых может быть задейст-
вовано при обнаружении угрозы ИБ.
Решающий модуль реализует следующий алгоритм: на основании показаний СП
( X1 (t ), X 2 (t ),..., X N (t )) принимается решение о наличии или отсутствии угроз ИБ:
Z
=
⎧1, если угроза ИБ обнаружена, ⎨⎩0 ⎯ в противном случае.
Если Z = 1, то вырабатывается управляющее воздействие ( y1, y2 ,..., yM ) , иначе — ко-
нец алгоритма.
В работе [1] предложен алгоритм определения узлов КСПД, в которых должны быть
использованы СП при обнаружении угроз ИБ:
1) для каждого варианта инициирования уровня противодействия вычисляются вероят-
ность Qпр (t) и производительность Φ(Π) ;
2) выбирается вариант использования СП, которому соответствует максимально воз-
можная вероятность Qпр (t) при Φ(Π) → max .
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2012. Т. 55, № 8
56 Л. М. Груздева, М. Ю. Монахов
Реализация алгоритма позволяет обеспечить максимально возможное противодействие угрозам ИБ при максимально высоком уровне производительности.
Алгоритм работы СЗИ Шаг 1. Запуск средств обнаружения. Время обнаружения t = 0.
Шаг 2. Снятие показаний, генерируемых СО ( X1 (t ), X 2 (t ),..., X N (t )) .
Шаг 3. Если X1 (t ) = X2 (t ) =... = X N (t ) = 0 , то угроза ИБ не обнаружена (Z = 0) и
запуск средств уровня противодействия не производится, переход к шагу 2. В противном случае — Z = 1.
Шаг 4. Определение вероятностных характеристик:
Pоб (t) = ϕ1 ( p1 (t ), p2 (t ),..., pN (t )) — вероятность обнаружения угроза ИБ системой
( )защиты; PЛТ (t) = ϕ2 p1 (t ), p2 (t ),..., pN (t ) — вероятность возникновения „ложной трево-
ги“ СЗИ; Φ(Pоб (t), PЛТ (t)) — критерий достоверности.
Шаг 5. Если Φ(Pоб (t), PЛТ (t)) ≤ Φпор (значение критерия достоверности ниже порого-
вого), то угроза ИБ не обнаружена и запуск средств уровня противодействия не производится, переход к шагу 2. В противном случае — Z = 1.
Шаг 6. Определение стохастической маршрутной матрицы PR(t). Шаг 7. Запуск алгоритма определения узлов КСПД, в которых должны быть иницииро-
ваны средства противодействия. Вырабатывается управляющее действие Y = ( y1, y2 ,..., yM ) .
Шаг 8. Инициирование уровня противодействия в соответствии с Y = ( y1, y2 ,..., yM ) .
Конец алгоритма. Выводы. Реализация предложенной модели организации защитных механизмов в
КСПД позволяет обеспечивать требуемый уровень производительности за счет выбора алгоритма раннего и достоверного обнаружения угроз ИБ и оперативного использования средства противодействия угрозам ИБ в наиболее уязвимых узлах КСПД.
СПИСОК ЛИТЕРАТУРЫ
1. Груздева Л. М. Модели повышения производительности корпоративных телекоммуникационных сетей в условиях воздействия угроз информационной безопасности: Дис. … канд. техн. наук. Владимир: Изд-во Владим. гос. ун-та, 2011.
2. Груздева Л. М., Монахов М. Ю. Алгоритм раннего обнаружения атак на информационные ресурсы АСУП // Автоматизация в промышленности. 2008. № 3. С. 12—14.
3. Груздева Л. М., Монахов М. Ю. Алгоритм оптимизации функционирования распределенной системы защиты // Вестн. Костромского гос. ун-та им. Н. А. Некрасова. Сер. Техн. и естеств. науки „Системный анализ. Теория и практика“. 2008. Т. 14, № 2. С. 80—82.
Сведения об авторах
Людмила Михайловна Груздева — канд. техн. наук; Владимирский государственный университет им.
А. Г. и Н. Г. Столетовых, кафедра информатики и защиты информации;
E-mail: glm@vlsu.ru
Михаил Юрьевич Монахов
— д-р техн. наук, профессор; Владимирский государственный университет
им. А. Г. и Н. Г. Столетовых, кафедра информатики и защиты инфор-
мации; заведующий кафедрой; E-mail: mmonakhov@vlsu.ru
Рекомендована ВлГУ
Поступила в редакцию 17.04.12 г.
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2012. Т. 55, № 8
УДК 681.3
Л. М. ГРУЗДЕВА, М. Ю. МОНАХОВ
ПОВЫШЕНИЕ ПРОИЗВОДИТЕЛЬНОСТИ КОРПОРАТИВНОЙ СЕТИ В УСЛОВИЯХ ВОЗДЕЙСТВИЯ УГРОЗ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Формализована задача повышения производительности в условиях воздействия угроз информационной безопасности корпоративной сети как задача построения системы защиты, обеспечивающей максимально возможный уровень производительности сети при достоверном обнаружении и эффективном противодействии угрозам информационной безопасности.
Ключевые слова: корпоративная сеть передачи данных, производительность, система защиты информации, угрозы информационной безопасности.
Введение. Основными причинами интереса к вопросам повышения производительности корпоративной сети передачи данных (КСПД) являются возрастающая структурная сложность и размерность современных сетей, характеризующихся множественными изменяющимися во времени информационными связями, а также потребности в увеличении уровня информационной безопасности.
Снижение производительности сетей связано с недостаточной защищенностью вследствие широкого использования слабозащищенных протоколов HTTP, SNMP, FTP, TCP/IP; участия в процессе обработки информации пользователей различных категорий, их непосредственного и одновременного доступа к системным ресурсам и процессам. Современная система защиты информации (СЗИ), даже включающая систему обнаружения и предотвращения атак и вторжений IPS/IDS, не может гарантировать обнаружения 70 % информационных атак, что периодически приводит к значительному возрастанию вредоносного трафика (ВТ). В настоящее время актуальны задачи повышения достоверности обнаружения информационных атак, их идентификации, а также разработки методов и средств снижения их влияния на производительность КСПД.
Постановка задачи
1. Дано множество объектов КСПД O = {O1, O2 ,..., ONS } . Линии связи абсолютно на-
дежны, помехоустойчивы и состоят из дуплексного канала; узлы коммутации (маршрутизаторы сегментов КСПД) имеют бесконечную память; трафик состоит из пакетов одинакового приоритета и образует пуассоновский поток; длительность обработки пакетов в узлах определяется экспоненциальным законом распределения.
2. СЗИ включает модули защиты, в состав которых входит средство обнаружения (СО, SO) воздействия угроз информационной безопасности (ИБ) из множества
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2012. Т. 55, № 8
54 Л. М. Груздева, М. Ю. Монахов
SO = {SO1, S O2 ,..., SON } и средство противодействия (СП, SP) угрозам ИБ из множества
SP = {SP1, SP2 ,..., SPM } .
3. Каждый элемент множества SO обладает следующими характеристиками:
( ) ( )pi (t ) i = 1, N — вероятность обнаружения угроз ИБ; pi (t ) i = 1, N — вероятность воз-
( )никновения „ложной тревоги“; tобi i = 1, N — время обнаружения угроз ИБ, за которое
достигается максимальное значение вероятности обнаружения угроз ИБ, т.е.
pimax
=
lim
t →tобi
pi (t ) .
4. Каждый элемент множества SP обладает следующими характеристиками:
( ) ( )q j (t ) j = 1, M — вероятность противодействия угрозам ИБ; tпрj j = 1, M — время про-
тиводействия, за которое достигается максимальное значение вероятности противодействия,
т.е.
qmj ax
= lim
t →tпрj
qj (t).
Требуется: обеспечить максимально возможный уровень производительности КСПД
при достоверном обнаружении и максимально эффективном противодействии угрозам ИБ:
Φ(Π) → max; Pоб (t) → max; Tоб + Tпр ≤ Tд ,
⎫ PЛТ (t) → min; Qпр → max;⎬⎪⎪
⎪ ⎭⎪
(1)
где Φ(Π) — производительность КСПД; Pоб (t) = ϕ1 ( p1 (t ) , p2 (t ),..., pN (t )) — вероятность
( )обнаружения угроз ИБ; PЛТ (t) = ϕ2 p1 (t ), p2 (t ),..., pN (t ) — вероятность возникновения
„ложной тревоги“; Qпр (t) = ϕ3 (q1 (t ), q2 (t ) ,..., qM (t )) — вероятность противодействия угро-
( )зам ИБ; Tоб = ϕ4 tоб1, tоб2 ,...,tобN
— время обнаружения угроз ИБ;
( )Tпр = ϕ5 tпр1, tпр2 ,...,tпрM — время противодействия угрозам ИБ; Tд — допустимые вре-
менные затраты на обеспечение защиты ( ϕ1, ϕ2 , ϕ3, ϕ4 — виды соответствующих функциональных зависимостей).
Для решения поставленной задачи была разработана СЗИ [1], функционирование которой удобно рассмотреть с помощью структурной модели обнаружения и противодействия атакам на ресурсы КСПД (см. рисунок).
Уровень обнаружения — совокупность СО. На выходе СО формируется сигнал Xi (t)
( )i = 1, N , принимающий значение либо единица (угроза ИБ обнаружена), либо нуль (угроза
ИБ не обнаружена). Сигнал Xi (t) характеризуется плотностью распределения вероятности
его появления — f y ( Xi (t)) — угроза ИБ есть, а также fn ( Xi (t)) — угрозы ИБ нет:
f
y
(
X
i
(t
))
=
⎧⎪ pi (t )
⎨⎩⎪1 − pi
(t
)
при Xi (t) = 1, при Xi (t) = 0,
f
n
(
X
i
(t
))
=
⎪⎧ pi (t )
⎨⎪⎩1 − pi
(t
)
при Xi (t) = 1, при Xi (t) = 0.
В процессе формирования уровня обнаружения должны выполняться следующие ус-
ловия:
1) возможность совместной работы объединяемых СО;
2) обеспечение оптимального времени работы по обнаружению и противодействию уг-
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2012. Т. 55, № 8
Повышение производительности корпоративной сети в условиях воздействия угроз
55
розам ИБ; 3) обеспечение заданной вероятности обнаружения угроз ИБ; 4) снижение средней частоты появления „ложных тревог“. В статье [2] предложен алгоритм работы уровня обнаружения, основанный на понятии
„критическая область угроз“ (КОУ). Достоинством алгоритма является учет возможного взаимного влияния различных СО, так как КОУ строится по вероятностным характеристикам уровня обнаружения, а не его отдельных модулей.
Информационная атака
Уровень обнаружения
SSOO1 1
SSOO22
SSOO3 3
...
SSOONN
X1(t)
X2(t)
X3(t) ...
XN(t)
РЕШАЮРЩЕШИАЙЮЩБИЛЙОБКЛОК
Z y1 y2
y3
yM
SP1 SSPP2
Уровень противодействия
SP3 ... SPM
Противодействие
КТККТКСС
Уровень противодействия — совокупность СП, каждое из которых может быть задейст-
вовано при обнаружении угрозы ИБ.
Решающий модуль реализует следующий алгоритм: на основании показаний СП
( X1 (t ), X 2 (t ),..., X N (t )) принимается решение о наличии или отсутствии угроз ИБ:
Z
=
⎧1, если угроза ИБ обнаружена, ⎨⎩0 ⎯ в противном случае.
Если Z = 1, то вырабатывается управляющее воздействие ( y1, y2 ,..., yM ) , иначе — ко-
нец алгоритма.
В работе [1] предложен алгоритм определения узлов КСПД, в которых должны быть
использованы СП при обнаружении угроз ИБ:
1) для каждого варианта инициирования уровня противодействия вычисляются вероят-
ность Qпр (t) и производительность Φ(Π) ;
2) выбирается вариант использования СП, которому соответствует максимально воз-
можная вероятность Qпр (t) при Φ(Π) → max .
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2012. Т. 55, № 8
56 Л. М. Груздева, М. Ю. Монахов
Реализация алгоритма позволяет обеспечить максимально возможное противодействие угрозам ИБ при максимально высоком уровне производительности.
Алгоритм работы СЗИ Шаг 1. Запуск средств обнаружения. Время обнаружения t = 0.
Шаг 2. Снятие показаний, генерируемых СО ( X1 (t ), X 2 (t ),..., X N (t )) .
Шаг 3. Если X1 (t ) = X2 (t ) =... = X N (t ) = 0 , то угроза ИБ не обнаружена (Z = 0) и
запуск средств уровня противодействия не производится, переход к шагу 2. В противном случае — Z = 1.
Шаг 4. Определение вероятностных характеристик:
Pоб (t) = ϕ1 ( p1 (t ), p2 (t ),..., pN (t )) — вероятность обнаружения угроза ИБ системой
( )защиты; PЛТ (t) = ϕ2 p1 (t ), p2 (t ),..., pN (t ) — вероятность возникновения „ложной трево-
ги“ СЗИ; Φ(Pоб (t), PЛТ (t)) — критерий достоверности.
Шаг 5. Если Φ(Pоб (t), PЛТ (t)) ≤ Φпор (значение критерия достоверности ниже порого-
вого), то угроза ИБ не обнаружена и запуск средств уровня противодействия не производится, переход к шагу 2. В противном случае — Z = 1.
Шаг 6. Определение стохастической маршрутной матрицы PR(t). Шаг 7. Запуск алгоритма определения узлов КСПД, в которых должны быть иницииро-
ваны средства противодействия. Вырабатывается управляющее действие Y = ( y1, y2 ,..., yM ) .
Шаг 8. Инициирование уровня противодействия в соответствии с Y = ( y1, y2 ,..., yM ) .
Конец алгоритма. Выводы. Реализация предложенной модели организации защитных механизмов в
КСПД позволяет обеспечивать требуемый уровень производительности за счет выбора алгоритма раннего и достоверного обнаружения угроз ИБ и оперативного использования средства противодействия угрозам ИБ в наиболее уязвимых узлах КСПД.
СПИСОК ЛИТЕРАТУРЫ
1. Груздева Л. М. Модели повышения производительности корпоративных телекоммуникационных сетей в условиях воздействия угроз информационной безопасности: Дис. … канд. техн. наук. Владимир: Изд-во Владим. гос. ун-та, 2011.
2. Груздева Л. М., Монахов М. Ю. Алгоритм раннего обнаружения атак на информационные ресурсы АСУП // Автоматизация в промышленности. 2008. № 3. С. 12—14.
3. Груздева Л. М., Монахов М. Ю. Алгоритм оптимизации функционирования распределенной системы защиты // Вестн. Костромского гос. ун-та им. Н. А. Некрасова. Сер. Техн. и естеств. науки „Системный анализ. Теория и практика“. 2008. Т. 14, № 2. С. 80—82.
Сведения об авторах
Людмила Михайловна Груздева — канд. техн. наук; Владимирский государственный университет им.
А. Г. и Н. Г. Столетовых, кафедра информатики и защиты информации;
E-mail: glm@vlsu.ru
Михаил Юрьевич Монахов
— д-р техн. наук, профессор; Владимирский государственный университет
им. А. Г. и Н. Г. Столетовых, кафедра информатики и защиты инфор-
мации; заведующий кафедрой; E-mail: mmonakhov@vlsu.ru
Рекомендована ВлГУ
Поступила в редакцию 17.04.12 г.
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2012. Т. 55, № 8