close

Вход

Забыли?

вход по аккаунту

?

Разработка методики оценки рисков информационной безопасности корпоративных телекоммуникационных сетей

код для вставкиСкачать
На правах рукописи
Губарева Ольга Юрьевна
РАЗРАБОТКА МЕТОДИКИ ОЦЕНКИ РИСКОВ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
КОРПОРАТИВНЫХ ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ
Специальность: 05.12.13 —
Системы, сети и устройства телекоммуникаций
Автореферат
диссертации на соискание ученой степени
кандидата технических наук
Самара — 2018
Работа выполнена на кафедре мультисервисных сетей и информационной безопасности Федерального государственного бюджетного образовательного
учреждения высшего образования «Поволжский государственный университет
телекоммуникаций и информатики» (ПГУТИ)
Научный
руководитель:
Осипов Олег Владимирович
доктор физико-математических наук,
доцент, ПГУТИ, г. Самара
Официальные
оппоненты:
Сухов Андрей Михайлович
доктор технических наук, профессор, профессор
кафедры «Суперкомпьютеров и общей информатики»
Федерального государственного автономного образовательного учреждения высшего образования «Самарский национальный исследовательский университет
имени академика С.П. Королева», г. Самара
Семенов Евгений Сергеевич
кандидат технических наук, доцент, заведующий
кафедрой «Телекоммуникационные системы» Федерального государственного автономного образовательного учреждения высшего образования «Волгоградский государственный университет», г. Волгоград
Ведущая
организация:
Федеральное государственное бюджетное
образовательное учреждение высшего образования
«Уфимский государственный авиационный технический университет» (г. Уфа)
Защита диссертации состоится 21 сентября 2018 г. в 14-00 часов на заседании
диссертационного совета Д 219.003.02 в Поволжском государственном университете телекоммуникаций и информатики по адресу: 443010, г. Самара, ул.
Льва Толстого, 23.
С диссертацией можно ознакомиться в библиотеке Федерального государственного бюджетного образовательного учреждения высшего образования
«Поволжский государственный университет телекоммуникаций и информатики» и на сайте www.psuti.ru/science/diss-ob.
Автореферат разослан «____» __________________ 2018 г.
Учёный секретарь
диссертационного совета Д 219.003.02,
доктор технических наук, профессор
А.И. Тяжев
2
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность темы. На современном этапе развития общества, когда информационную эру сменяет цифровая, глобальным трендом становится цифровизация предприятий. Технологически цифровизация базируется на масштабируемой облачной платформе и безопасной и стабильной корпоративной сети
телекоммуникаций, обеспечивающей разнообразные сетевые сценарии. При
этом, поскольку корпоративные сети телекоммуникаций обеспечивают технологические процессы предприятия, основным приоритетом является их
надежность и информационная безопасность (ИБ) в них. Очевидно, что цифровизация предприятия может быть успешной только в том случае, если облако и сеть будут в состоянии гарантировать безопасность корпоративных данных. Вместе с тем, подключение корпоративной сети к облачной платформе,
внешним сетям, использование гаджетов и электронных сервисов потенциально приводят к ее уязвимости. Все это делает проблему защиты информации и
обеспечение ИБ в корпоративных сетях телекоммуникаций в целом и задачу
определения рисков ИБ в этих сетях в частности крайне актуальными.
При этом на первый план выходит создание быстродействующих методик
как для оценки рисков ИБ в целом, так и локальных индикаторов состояния
ИБ.
Компании в ходе осуществления своей профессиональной деятельности
подвержены разнообразным информационным рискам, которые так или иначе
влияют на ведение бизнеса, и негативно сказываются на финансовом положении организации. Современное положение дел бизнеса диктует необходимость
использования в работе компаний, обоснованных технических и экономических методов и средств, позволяющих количественно и качественно измерять
уровень обеспечения ИБ, а также адекватно оценивать финансирование затрат
на ИБ. Для эффективного обеспечения ИБ организаций необходим направленный, регулярный, системный и комплексный подход, одну из важнейших ролей в котором играет комплексный аудит ИБ. Указанные проблемы затронуты,
в частности, в диссертационной работе Созиновой Е.Н. «Метод обеспечения и
проведения внутреннего аудита информационной безопасности организаций
на основе риск-ориентированного подхода».
Построение практически любой системы ИБ должно начинаться с анализа
рисков. До начала проектирования системы ИБ необходимо точно определить,
какие условия и факторы могут повлиять на нарушение целостности системы,
конфиденциальности и доступности циркулирующей в ней информации и
оценить насколько они потенциально опасны.
Грамотный учет существующих угроз и уязвимостей корпоративной сети
телекоммуникаций, выполненный на этой основе анализ рисков закладывает
основу для выбора решений с необходимым уровнем ИБ при минимальных
затратах.
На сегодняшний день уровень инфокоммуникационных технологий предоставляет нам возможность реализации современных сетевых приложений для
проведения аудита ИБ, позволяющих оценить уровень защищенности корпоративной сети телекоммуникаций на основе вероятностных критериев оценки
3
рисков, предлагающих те или иные рекомендации по устранению уязвимостей
корпоративной сети телекоммуникаций компании, которые напрямую зависят
от особенностей построения этой сети. Такие системы, выступающие в качестве полноправных аудиторов ИБ, сочетают в себе обеспечение недостижимых
для обычных аудиторов (в силу человеческого фактора) и систем полноты картины решаемых проблем и детальности их проработки.
В связи с распространением информационно-телекоммуникационных технологий и развитием всемирной системы объединённых компьютерных сетей
Internet, реализация таких систем в виде Web-приложений, которые в свою
очередь могут быть установлены на любом устройстве, несомненно представляет практический интерес и сможет найти широкое распространение. По сути
подобные системы представляют собой экспертные web-сервисы для анализа
рисков ИБ как всей инфраструктуры в целом, так и определенных её сегментов.
Степень разработанности темы исследований. Вопросы обеспечения ИБ
мультисервисных сетей, к которым относится и большинство корпоративных
телекоммуникационных сетей, рассмотрены в работах И.В. Котенко, А.А. Чечулина, А.П. Алферова, А.С. Кузьмина, Д.П. Зегжда, Б.Я. Рябко, А.А. Шелупанова, А.Д. Новикова, Л.Г. Осовецкого, А.Г. Лысенко, Е.В. Зубкова, X. Ou, I.
Ray, R. Dewri, A. Singhal, N. Poolsappasit, S. Owre, N. Shankar, J. Rushby, W.
Diffie, N. Ferguson, B. Forouzan, B. Dillaway, J. Hogg, Kaur N. Harshna, P Docas,
A.B. Shahri, Z. Ismail и др. Вопросам оценки рисков ИБ посвящены работы
А.О. Калашникова, Ю.Ю. Громова, В.Н. Максименко, Г.А. Остапенко, М.В.
Степашкина, М. Аль-Балуши, С.С. Соколова, Р.А. Нурдинова, Е.В. Ермилова,
А.В. Львовой, О.Н. Выборновой, X. Ou, A. Singhal, H. Joh, A. Vorster, C.
Alberts, A. Dorofee, L. Marino, J. Soo, A. Jones, D. Ashenden, K. Hoo. Рассмотренные методики либо не обладают достаточным быстродействием в своей
работе, либо не учитывают всех рисков ИБ. С точки зрения защиты информации и согласно теории катастроф, это является не вполне корректным и может
привести к большим потерям, что и определяет потребность в разработке новых методик и алгоритмов оценки рисков ИБ.
Также необходимо отметить вклад в развитие теоретических основ управления рисками ИБ в работах ряда зарубежных университетов и коммерческих
структур: BSI, CMU, IEC, ISO, MITRE, NIST. Анализ работ в данной области
показывает, что при всей значимости проведенных исследований, проблема
количественной и качественной оценки рисков ИБ корпоративной сети телекоммуникаций изучена и практически проработана пока не в полной мере.
В настоящее время существует достаточно большое количество автоматизированных систем, решающих различные задачи анализа рисков ИБ, но ни
одна из этих систем не учитывает аспекты, специфичные для телекоммуникационной отрасли. Здесь стоит обратить внимание на то, что корпоративные
сети телекоммуникаций имеют множество уязвимостей, возникающих как при
разработке системного программного обеспечения, так и при неправильной
конфигурации оборудования. Кроме того, анализ транспортного оборудования
автоматизированными системами анализа рисков ИБ такого рода, как правило,
не проводится, редкостью также можно считать и сканирование портов обору4
дования сети. Необходимо отметить, что компании должны не только осуществлять мониторинг состояния портов своего оборудования, но отслеживать
скачки трафика, связанные с DoS/DDoS-атаками, так как на данном этапе их
функционирования это является вполне выполнимой задачей. В настоящее
время систем анализа и выявления причин скачков телекоммуникационного
трафика известно не так много.
Примерами подобных автоматизированных систем являются программные
комплексы анализа и контроля информационных рисков: CRAMM (компания
Insight Consulting, Великобритания), RiskWatch (компания RiskWatch, США),
ГРИФ (компания Digital Security, РФ) и АванГард (Институт системного анализа РАН, РФ). Так же на западном рынке можно встретить такие системы как
SIS SI, COBRA, MINIRISK и некоторые другие.
В связи с вышесказанным задача создания новых эффективных алгоритмов
и методов анализа рисков ИБ корпоративной сети телекоммуникаций является
актуальной. Несомненный интерес представляет разработка эффективных методик определения угроз ИБ корпоративной сети телекоммуникаций, на основе которых возможно создания быстродействующих алгоритмов оценки угрозы ИБ. К решению описанной выше проблемы необходим комплексный подход, а именно, требуется качественно и количественно оценивать уровень
угрозы ИБ как всей корпоративной сети телекоммуникаций, так и определенных ее сегментов на основе анализа телекоммуникационного трафика.
Известны работы таких авторов как С.С. Корт, А.Ф. Супруна, А.А. Азарова, М.В. Бурса, И.Я. Львовича, Т.З. Чана, Т.К. Ха, Г. Кабуракиса, P.K. Sree, I.R.
Babu, Z. Xia, S. Lu, J. Li, J. Tang, K. Waldorf, которые занимались рассмотрением вопросов, связанных сетевыми атаками и аномалиями. Работы О.И. Шелухина, А.В. Осина, В.Г. Карташевского, А.В. Рослякова, Е. Федера, О.К. Филипповой, М.В. Мещерякова, Д.В. Белькова, Г.А. Кучука, К.М. Можаева, К.М.
Руккаса, А.И. Гетмана, А.А. Подорожняка, М.А. Бурановой, Н.В. Киреевой, J.
Beran, R. Sherman, M.S. Taqqu, W. Willinger, S. Bates, S. Wenger, G.D. Knorr, J.
Ott, F. Kossentini, S. Molnar, A. Vidacs, M.E. Crovella, A. Bestavros, R. Addie, I.
Norros посвящены анализу телекоммуникационного трафика и, в частности,
исследованиям его фрактального характера по таким фрактальным параметрам, как показатель Херста, корреляционна размерность, R/S-анализа и др. Исследования, посвященные вопросам определения сетевых атак путем анализа
сетевого трафика фрактальными методами, основанными на вычислении оценок признаков его самоподобия показали, что далеко не всегда можно однозначно и своевременно определить наличие сетевой атаки по значению показателя Херста и (или) корреляционной размерности трафика. На взгляд автора|
такой подход не в полной мере использует возможности фрактального анализа.
Таким образом, анализ степени проработанности темы исследований позволяет сделать заключение, во-первых, о необходимости разработки на основе
вероятностного подхода модели анализа рисков ИБ, позволяющей учитывать
различные угрозы ИБ всей корпоративной сети телекоммуникаций с учетом
уровня и важности угрозы.
5
Во-вторых, о необходимости анализа параметров ИБ телекоммуникационного трафика на каждом конкретном узле (хосте) сети связи. Это потребует
разработки математической модели телекоммуникационного трафика на основе набора фрактальных параметров, справедливой для различных состояний
телекоммуникационного трафика (нормального, загруженного и при наличии
сетевых атак) и методики определения телекоммуникационного трафика по
виду фазового аттрактора, что в свою очередь позволит создавать быстродействующие онлайн-индикаторы.
Целью работы является разработка методики оценки рисков ИБ телекоммуникационной сети предприятия.
Для достижения поставленной цели в работе решаются следующие задачи:

анализ известных методик и систем анализа состояния ИБ с целью
выявления их достоинств и недостатков;

построение вероятностной модели оценки рисков ИБ телекоммуникационной сети с учетом различных видов возможных уязвимостей на всех её
узлах;

построение математической модели телекоммуникационного трафика на основе фрактальных мер и анализа его фазового портрета при различных
состояниях сети (обычном и при наличии сетевой атаки);

разработка методики выявления аномалий телекоммуникационного
трафика на основе анализа фрактальных мер и его фазового портрета в режиме
онлайн.
Объектами исследования являются телекоммуникационная сеть и телекоммуникационный трафик при наличии или отсутствии сетевых атак на ресурсы сети.
Предметом исследования являются совокупность методов и средств оценивания рисков ИБ на основе вероятностных критериев и фрактального анализа трафика.
Методы исследования. При разработке моделей угроз, анализе уязвимостей ИБ, а также алгоритмов дистанционного анализа рисков ИБ телекоммуникационной сети использовались методы теории вероятностей, системного
анализа, дискретной математики, математической статистики, теории случайных процессов, методы экспертного оценивания и основы проектирования
экспертных систем, фрактальные методы анализа телекоммуникационного
трафика и физическое моделирование.
Достоверность изложенных положений работы обосновывается корректным выбором исходных данных, строгим использованием математического аппарата теории вероятностей, а также результатами натурных экспериментов на реальном телекоммуникационном трафике.
Положения, выносимые на защиту:
1. Показано, что предложенная математическая модель на основе набора
фрактальных параметров описывает телекоммуникационный трафик как при
отсутствии, так и при наличии сетевых атак.
6
2. Показано, что выявленные общие формы фазового портрета телекоммуникационного трафика при отсутствии и наличии сетевых атак однозначно
позволяют делать выводы о его текущем состоянии.
3. Доказано, что по значениям показателя Херста и корреляционной размерности нельзя однозначно сделать вывод о наличии сетевой атаки в данный
момент времени.
4. Показано, что вероятностная модель оценки рисков информационной
безопасности телекоммуникационной сети, учитывающая различные виды
уязвимостей на всех её узлах, позволяет обеспечить анализ рисков базовых
параметров ИБ.
Соответствие паспорту специальности. Работа соответствует пп. 2, 10,
11, 12 паспорта специальности 05.12.13 – Системы, сети и устройства телекоммуникаций («Исследование процессов генерации, представления, передачи, хранения и отображения аналоговой, цифровой, видео-, аудио- и мультимедиа информации; разработка рекомендаций по совершенствованию и созданию новых соответствующих алгоритмов и процедур», «Исследование и разработка новых методов защиты информации и обеспечение ИБ в сетях, системах и устройствах телекоммуникаций», «Разработка научно-технических основ технологии создания сетей, систем и устройств телекоммуникаций и обеспечения их эффективного функционирования» и «Разработка методов эффективного использования сетей, систем и устройств телекоммуникаций в различных отраслях народного хозяйства»).
Научная новизна заключается в следующем:
1. Разработана вероятностная модель анализа рисков ИБ и алгоритм
направленного поиска рисков ИБ телекоммуникационной сети, учитывающие
различные вероятности возникновения разных уязвимостей на каждом узле
сети.
2. Предложена математическая модель телекоммуникационного трафика
на основе набора фрактальных параметров и его фазового портрета, позволяющая более эффективно, чем только по значениям показателя Херста и корреляционной размерности оценивать наличие и отсутствие сетевых атак.
3. Разработана методика определения сетевой атаки для текущего момента
времени по виду фазового аттрактора телекоммуникационного трафика.
4. Предложен алгоритм работы индикатора состояния телекоммуникационного трафика на основе анализа ряда его фрактальных параметров и фазового аттрактора.
Теоретическая значимость диссертационного исследования заключается
в синтезе алгоритма расчета индикатора состояния телекоммуникационного
трафика, основанного на расчете ряда фрактальных параметров и определении
вида его фазового портрета. В диссертационной работе показано, что при любых ситуациях о наличии сетевой атаки можно судить по форме фазового аттрактора телекоммуникационного трафика, а также, что различный уровень
нагрузки сети в нормальном состоянии (без сетевой атаки) не приводит к
большому влиянию на значения фрактальных параметров. Предложенная в
диссертационном исследовании вероятностная модель обеспечивает возможность реализации распределенных систем оценки рисков ИБ, используемых в
7
компьютерных сетях, для каждого из уровней иерархии классификации угроз
ИБ корпоративной сети телекоммуникаций.
Практическая ценность работы заключается в том, что на её основе целесообразно создание программного обеспечения для анализа рисков ИБ корпоративной сети телекоммуникаций, ориентированное на работу в сетевой среде,
а также предложен алгоритм работы фрактального индикатора состояния сети
на основе расчета фрактальных мер и фазового аттрактора телекоммуникационного трафика. Разработано программное обеспечение, позволяющее определять степень заполнения фазового пространства фазовыми траекториями. Показано, что при любых ситуациях о наличии сетевой атаки можно судить по
форме фазового аттрактора телекоммуникационного трафика. Определен вид
фазового аттрактора телекоммуникационного трафика при различных состояниях сети. Разработанные алгоритмы повышают надежность, функционирования системы защиты информации корпоративной сети телекоммуникаций, на
протяжении всего жизненного цикла сети, путем снижения количества инцидентов нарушения ИБ.
Реализация и внедрение работы. Разработанные алгоритмы и системы на
их основе внедрены в агентстве цифровой трансформации «Webrover», ООО
«Стройтехком» для построения систем анализа телекоммуникационного трафика, методика и алгоритмы на основе расчета фрактальных мер и фазового
аттрактора телекоммуникационного трафика при создании программного
обеспечения анализа рисков ИБ, а также в разработки индикаторов наличия
сетевых атак в группе компаний «СМС-Автоматизация», а также используются при проведении лабораторных работ в ФГБОУ ВО «Поволжский государственный университет телекоммуникаций и информатики».
Апробация работы. Результаты работы докладывались на российских и
международных научно-технических конференциях и конгрессах: XIX – XXV
Российская научная конференция профессорско-преподавательского состава,
научных сотрудников и аспирантов (ПГУТИ, Самара, 2012-2018 гг.); XIII–
XVIII Международная научно-техническая конференция «Проблемы техники
и технологии телекоммуникаций» (УГАТУ, г. Уфа, 2012 г., ПГУТИ, г. Самара,
2013 г., КНИТУ-КАИ, г. Казань, 2014 г., УГАТУ, г. Уфа, 2015 г., ПГУТИ, г.
Самара, 2016 г., КНИТУ-КАИ, г. Казань, 2017 г.); VI, VIII, IХ Всероссийская
научно-техническая конференция «Актуальные проблемы информационной
безопасности. Теория и практика использования программно-аппаратных
средств» (СамГТУ, Самара, 2012, 2014, 2015 гг.); Материалы Международной
научно-практической конференции «Информационная безопасность в свете
Стратегии Казахстан – 2050» (Евразийский национальный университет им.
Л.Н. Гумилева, г. Астана, 2013 г.); III Всероссийская научно-практическая
конференция «Актуальные вопросы информационной безопасности регионов в
условиях глобализации информационного пространства» в рамках первого
всероссийского конгресса «Приоритетные технологии: актуальные вопросы
теории и практики» (ВолГУ, г. Волгоград, 2014 г.); IX Международная научнотехническая конференция «Энергетика, телекоммуникации и высшее образование в современных условиях» (Алматинский университет энергетики и связи, г. Алматы, 2014 г.); I Всероссийская научно-техническая конференция
8
«Студенческая наука для развития информационного общества» (Северокавказский федеральный университет, г. Ставрополь, 2014 г.); ХХ Международная научно-техническая конференция «Современные средства связи» (УО
ВГКС, г. Минск, Республика Беларусь, 2015 г.); II Международная Научнопрактическая очно-заочная конференция «Проблемы и перспективы внедрения
инновационных телекоммуникационных технологий» (ОФ ПГУТИ, г. Оренбург, 2016 г.); Международная научно-практическая конференция «СИБ–
2016» – Современные проблемы и задачи обеспечения информационной безопасности (МФЮА, Москва, 2016 г.); Научно-техническая конференция «Росинфоком—2017 «АКТУАЛЬНЫЕ ВОПРОСЫ ТЕЛЕКОММУНИКАЦИЙ»
(ПГУТИ, г. Самара, 2017 г.); XV Международная научно-техническая конференция «Оптические технологии в телекоммуникациях», ОТТ-2017 (КНИТУКАИ, г. Казань, 2017 года).
Результаты диссертационной работы были представлены на следующих
научных конкурсах: второе место в конкурсе инновационных проектов в VI
Всероссийском молодежном форуме «Информационные технологии в мире
коммуникаций» (МТУСИ, Москва, 2013 г.); Конкурс молодежных инновационных проектов по программе «УМНИК» Фонда содействия развитию малых
форм предприятий в научно-технической сфере (Фонд содействия инновациям) – грант на 2016-2017 гг.; Startup village 2016 в треке "Кибербезопасность:
новые решения противодействия киберугрозам" (г. Сколково, 2016 г.); а также
в финалах и полуфиналах следующих конкурсов: Конкурс молодежных инновационных проектов в сфере телекоммуникаций «Телеком Идея»; Конкурс
прорывных идей «Эврика! Концепт» и многие другие.
Публикации. Результаты работы опубликованы в 55 научных работах, в
том числе: 12 статей в научно-технических журналах и сборниках (в том числе
6 в журналах, включенных решением ВАК Минобразования России в перечень
ведущих научных изданий, в которых должны быть опубликованы основные
результаты диссертаций на соискание ученой степени доктора наук), 43 тезиса
докладов на научно-технических конференциях.
Объём и структура диссертационной работы. Диссертация содержит
введение, 3 главы и заключение, изложенные на 175 страницах. В работу
включено 60 рисунков, 8 таблиц, библиографический список из 203 наименований.
Сведения о личном вкладе автора: Все основные результаты, представленные в диссертационной работе, получены автором лично. Подготовка к
публикации некоторых результатов проводилась совместно с соавторами, причем вклад автора являлся определяющим.
ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ
Во введении обоснована актуальность темы диссертации, определены цели и задачи исследования, показана научная новизна, теоретическая и практическая ценность работы; описаны методы исследования, перечислены основные положения, выносимые на защиту; приведены сведения об апробации работы и структуре диссертации.
9
В первой главе «Методики и системы для анализа состояния информационной безопасности в телекоммуникационных системах» представлен анализ
некоторых наиболее часто используемых инструментальных средств оценки
рисков ИБ корпоративных сетей телекоммуникаций.
Кратко описаны основные цели и задачи аудита ИБ. Рассмотрены методики и подходы оценки рисков ИБ. В частности, показано, что байесовский классификатор (подход), хотя и требует невысоких вычислительных затрат для
обучения с целью дальнейшего определения показателей, при этом обладает
низким уровнем качества информации при решении конкретных задач. Также
данный метод позволяет учесть только локальное влияние входных параметров на результат классификации, не давая каких-либо интегральных характеристик.
Метод ближайшего соседа прост в реализации, однако при его использовании наблюдается высокая зависимость получения верного результата работы
алгоритма от метрики (что является критичным при оценке рисков ИБ).
Также рассмотрены методы нечеткой логики, которые позволяют резко сократить объем производимых вычислений, что, в свою очередь, приводит к
увеличению быстродействия нечетких систем. Однако применение нечеткого
подхода по сравнению с вероятностным не приводит к повышению точности
вычислений.
Таким образом, интерес представляет разработка комплексной методики,
обладающей как быстродействием, так и возможностью учета различных типов угроз с разным весом с целью вычисления интегральных характеристик
оценки рисков ИБ корпоративной сети телекоммуникаций.
Во второй главе «Оценка рисков информационной безопасности корпоративной сети телекоммуникаций на основе вероятностных критериев» построена модель оценки рисков ИБ корпоративной сети телекоммуникаций с учетом
весов (значимости) различных угроз. Описаны и оптимизированы алгоритмы
оценки рисков ИБ корпоративной сети телекоммуникаций в рамках предложенной модели. Доказано, что оценка рисков ИБ носит вероятностный характер. Действительная угроза ИБ корпоративной сети телекоммуникаций из
группы угроз (рисков) ИБ может быть определена только лишь с некоторой
долей вероятности.
Показано, что процесс оценки рисков ИБ может быть представлен в виде
последовательности простейших испытаний, каждая из которых характеризуется тензором испытания. Значения компонентов определяются законами распределения контролируемых параметров.
Предложен метод, позволяющий, из множества доступных простейших испытаний возможность выбрать такую последовательность, которая обеспечивает наибольшую скорость проведения испытания процесса оценки рисков ИБ
корпоративной сети телекоммуникаций.
Описана вероятностная модель обеспечивающая возможность реализации
распределенных систем оценки рисков ИБ, используемых в компьютерных
сетях, для каждого из уровней иерархии классификации угроз ИБ корпоративной сети телекоммуникаций. Для каждого уровня иерархии устанавливается
соответствующий ему набор процедур (проверок) оценки рисков ИБ корпора10
тивной сети телекоммуникаций, обеспечивающих надежное дифференцирование рисков внутри уровня. После завершения процесса оценки рисков ИБ на
очередном уровне, процесс перемещается на следующий уровень, обеспечивающий дальнейшую детализацию рисков ИБ корпоративной сети телекоммуникаций.
В рамках предлагаемой модели вводятся основные типы вероятностей событий: Pk  ei  — вероятность k-ой реализации угрозы ИБ с уязвимостью ei
среди данной группы рисков ИБ;


Pk q jk ei — вероятность появления уяз-
вимости q jk при угрозе ИБ ei . Вычисление вероятности


Pk q jk ei основа-
но на предположении, что рассматриваемые уязвимости ИБ q jk статистически
независимы. На основании показателя максимума средней информации I (π k )
системой выбирается предварительно наиболее информативное испытание
I  πk   H k  e   H k  e q  .
Также используемый в диссертационной работе метод анализа рисков ИБ
позволяет из совокупности доступных простейших испытаний выбирать оптимальную последовательность, которая обеспечивает наибольшую скорость
проведения испытания процесса оценки рисков ИБ корпоративной сети телекоммуникаций. Однако в данном случае может быть потеряна информация о
состоянии системы, если по каким-то причинам основная угроза ИБ исходит
не от самой информативной проверки (испытания).
Для интегральной оценки введено понятие тензора условной вероятности:
  P 
Tmjk i   P1 jk i

2 jk i
...
P  ,
Ns jk i
где N s — общее число компонентов (уязвимостей) во всей телекоммуникационной системе.
Каждая проверка  k характеризуется уникальной матрицей условных вероятностей:
 P1,1
 ...

 Pk (q / e)   Pjk ,1
 ..
P
 fk ,1
P1, i
...
Pjk , i
...
Pfk , i
Пример таблицы проверок приведен на рисунке 1.
11
P1, s 
... 
Pjk , s  .

... 
Pfk , s 
Рисунок 1. – Пример таблицы проверок
Степень угрозы от одной уязвимостей (на одном m-м компоненте системы)
при отсутствии всех других можно определять как U mk  det  Pmjk i  . Тогда
степень угрозы от всех уязвимостей на всех компонентах системы оценивается
как
Ns
Ns
m 1
m 1
U  U mk   det  Pmjk i .
На рисунках 2 и 3 приведены блок-схемы предложенного в работе алгоритма оценки рисков ИБ телекоммуникационной сети предприятия.
Заметим, что приведенная на рисунке 2 блок-схема реализуют алгоритм,
который должен быть применен для всех проверок конкретной уязвимости. В
результате применения данного алгоритма будет построен вектор, определяющий условные вероятности возникновения уязвимостей при всем наборе
проверок (испытаний)  k . На следующем шаге алгоритм повторяется для всех
возможных уязвимостей при использовании всех проверок. После этого вводится в рассмотрение тензор, составленный из условных вероятностей возникновения всех уязвимостей при всех проверках. Указанный тензор в случае
анализа всей корпоративной сети телекоммуникационной компании должен
быть рассчитан для всех узлов данной сети. Дальнейший анализ заключается в
следующем: находятся все главные определители всех тензоров вероятностей
возникновения той или иной уязвимости. Далее анализируется уровень важности той или иной уязвимости и им приписываются некоторые веса. Здесь
необходимо учитывать, как уязвимости, связанные с телекоммуникационным
оборудованием, информационными сервисами, так и уязвимости, связанные с
человеческим фактором. После вычисления весовых коэффициентов (относящихся к качественному и количественному уровню) строится линейная комбинация из вычисленных ранее главных определителей тензоров 2-го ранга с
весовыми коэффициентами, которая находит некоторое интегральное значение
уязвимости на конкретном узле сети. После применения указанной методики
для всех узлов будет построен вектор, элементы которого U k определяют
12
риски информационной безопасности на каждом узле, то есть, по сути набор
параметров U k определяет локальные состояния рисков угрозы ИБ для каждого компонента телекоммуникационной системы. Далее для каждого узла
(компоненты) также вводится весовой коэффициент, определяющий значимость данного узла для всей корпоративной сети телекоммуникационной компании в целом. На последнем шаге может быть рассчитан интегральный параметр U , получающийся путем сложения параметров U k с весовыми коэффициентами. В результате по значению параметра U можно судить о состоянии
информационной безопасности всей корпоративной сети телекоммуникаций в
целом.
Здесь также уместно заметить, что в отличие от ряда работ (см., например,
Зубков Е.В. Алгоритмы и методики интеллектуального анализа событий информационной безопасности в сетях и системах телекоммуникаций: дис. ...
канд. тех. наук: 05.12.13 / Зубков Евгений Валерьевич. - Новосибирск, 2016. –
Том 1. - 179 с.), предлагаемый в диссертационной работе алгоритм позволяет
учитывать не только наиболее вероятную уязвимость ИБ, но и учитывать
вклады в оценку рисков от различных угроз (уязвимостей). Кроме того, описанный выше алгоритм позволяет оценить уровень угроз ИБ как отдельного
сегмента (оборудования), так и провести анализ всей системы в целом путем
её многократных проверок на различные типы уязвимостей.
Рисунок 2. – Блок-схема алгоритма оценки рисков ИБ. Часть 1
13
Рисунок 3. – Блок-схема алгоритма оценки рисков ИБ. Часть 2
В третьей главе «Применение фрактальных методов анализа телекоммуникационного трафика к обнаружению уязвимостей информационной безопасности» рассмотрены известные методы расчета фрактальных параметров
(показателя Херста, корреляционной размерности, размерности пространства
вложений) применительно к телекоммуникационному трафику.
Проведен расчет фрактальных параметров телекоммуникационного трафика в различном состоянии сети: нормальном; при наличии сетевой атаки во
всем интервале исследования и при наличии сетевой атаки на некотором временном промежутке фиксированной длительности.
Доказано, что по значениям показателя Херста, корреляционной размерности нельзя однозначно судить о наличии сетевой атаки.
Показано, что показатель Херста является индикатором сетевой атаки
только в случае, когда DDoS-атака происходит на всем временном интервале
исследования.
Для телекоммуникационного трафика состояние узла однозначно определяется одномерной последовательностью временных отсчетов. Поэтому интерес представляет реконструкция фазового пространства по одномерному вре14
менному ряду. В диссертационной работе доказано, что при любых ситуациях
о наличии сетевой атаки можно судить по форме фазового аттрактора системы. На рисунке 5 приведен результат расчета фазового пространства (траекторий в фазовом пространстве) для телекоммуникационного трафика при нормальном функционировании сегмента сети, показанного на рисунке 4. Как
видно из рисунка, основной аттрактор системы занимает достаточно большую
площадь и смещен в область начала системы координат.
130000
'2.dat'
120000
110000
100000
90000
80000
70000
60000
50000
40000
30000
0
2000
4000
6000
8000
10000
Рисунок 3. — Пример исследуемого
телекоммуникационного трафика
Рисунок 4. — Фазовый портрет телекоммуникационного трафика в нормальном
состоянии сети
Таким образом, предлагается использовать структуру фазового портрета
телекоммуникационного трафика для оценки его состояния.
При помощи рассмотренного в диссертационной работе метода задержек,
который позволяет осуществлять реконструкцию одномерного ряда (отсчетов
значений загруженности канала) в многомерные векторы, по которым в дальнейшем происходит вычисление фрактальных параметров и построение фазового аттрактора, в данном случае из исследуемого одномерного ряда конструируются многомерные векторы:
x  i   x  i   m  1 τ  , x  i   m  2  τ  ,..., x  i , i  1, N   m  1 τ , ,


где τ — временной лаг, m — размерность восстановленного фазового пространства.
Корреляционный интеграл вычисляется по формуле:
C  ε, N  m 
 


N N
1
θ ε  xm  i   xm  j  , i  j; m  1, md ,

N  N  N  1
i
j
 lim
(1)
где N — количество отсчетов во временном ряде; xm  i   xm  j  — расстояние по норме между i-ой и j-ой точками фазовой траектории в m -мерном евклидовом пространстве
m ; ε — точность расчета; θ  x  — функция Хеви-
сайда.
Корреляционный интеграл C  ε, N  представляет функцию, зависящую
от количества точек аттрактора в пространстве  , расстояние между которыми меньше наперед заданной точности ε .
В формуле (1) норма расстояния между i-ой и j-ой точками:
m
15
xm  i   xm  j  

 x i   x  j     x i 
2
m
1
m
1
m
 xm  j 2   ...   xm  i  N  xm  j  N  .
2
2
(2)
2
Далее для всех полученных при разных m корреляционных интегралов вычисляется производная DC , представляющая собой корреляционную размерность:
 d lg C  , N  
DC  lim lim 
.
 0 N 
 d lg 

(3)
По графику зависимости (рисунок 6) DC  m  определяется максимум
функции, определяющей корреляционную размерность. Значение m  mc , при
котором функция имеет максимум, будет соответствовать размерности пространства вложения md , а значение DC будет соответствовать корреляционной размерности.
Рисунок 6. — Зависимость корреляционной размерности DC от размерности
восстановленного фазового пространства
В работе было исследовано 12 захваченных трафиков на сетях оператора
связи в нормальном устойчивом состоянии и 2 трафика во время проведения
сетевой атаки. Эксперимент проводился на сегменте сети оператора связи и
для анализа использовались данные сайта https://top.mail.ru/Rating/ (Рейтинг@mail.ru), где в качестве эталонных данных был взят недельный срез трафика сайта ria.ru. Трафик был детально смоделирован с помощью сервера оператора, на который в последующем производилась DoS/DDoS-атака. Схема
эксперимента представлена на рисунках 7 и 8, где рисунок 7 это схема эксперимента при моделировании нормальной работы сети и рисунок 8 это моделирование DDoS-атаки на ресурсы телекоммуникационной сети.
16
Генерирование трафика
Запись телекоммуникационного
трафика
Рисунок 7. – Схема эксперимента при моделировании нормальной работы сети
Генерирование трафика
Эмуляция сетевой атаки
Эмул
яция
се т
ев ой
а та к
и
Запись телекоммуникационного
трафика в момент DDoS-атаки
Рисунок 8. – Схема эксперимента при моделировании DDoS-атаки на ресурсы
телекоммуникационной сети
Для записи трафика использовалось программное обеспечение Zabbix.
Расчет фрактальных параметров проводился с использованием разработанного
в рамках диссертационной работы программного обеспечения, проверка результатов осуществлялась при помощи программного обеспечения Fractan.
Для анализа степени заполнения фазовых траекторий на фазовом пространстве
использовалась разработанная программа для анализа изображения фазового
портрета на предмет процесса степени заполнения фазового пространства траекториями. Для подсчета площади заполнения кривыми использовался тот
факт, что фазовые траектории и незаполненное пространство на изображении
фазового портрета отличались по цвету. Кроме того, уместно заметить, что
возможна разработка общей программы для анализа сетевого трафика на основе фрактального анализа с последующей обработкой фазового портрета телекоммуникационного трафика. После выполнения модуля расчета фрактальных
параметров и фазового пространства сохраняется изображение с фазовым
17
портретом, который передается на обработку в модуль анализа цвета и в результате делается вывод о наличии/отсутствии DDoS-атаки.
Определен вид фазового аттрактора телекоммуникационного трафика в
различном состоянии сети: нормальном; при наличии сетевой атаки во всем
интервале исследования и при наличии сетевой атаки на некотором временном
промежутке фиксированной длительности.
В работе предложен алгоритм расчета степени заполнения фазового пространства фазовыми траекториями на основе анализа цвета линий на изображении фазового портрета системы.
Рисунок 10. — Фазовое пространство
для трафика в момент DDoS-атаки
Рисунок 9. — Анализ степени заполнения траекториями фазового пространства для трафика в момент
DDoS-атаки
Предложен алгоритм работы фрактального индикатора состояния сети на
основе расчета фрактальных мер и фазового аттрактора телекоммуникационного трафика.
Доказано, что в состоянии сетевой атаки показатель Херста меньше 0,5, то
есть происходит утрата самоподобия трафика, однако это имеет место только в
том случае, когда сетевая атака длится на всем временном интервале исследования.
Доказано, что в состоянии сетевой атаки корреляционная размерность
меньше 9, однако это имеет место только в том случае, когда сетевая атака
длится на всем временном интервале исследования.
Разработано программное обеспечение для определения по цвету процента
степени заполнения фазовыми траекториями фазового пространства.
На рисунках 11-132 приведен вид фазового портрета телекоммуникационного трафика при различных состояниях сети.
18
Рисунок 11. — Фазовый аттрактор в
нормальном состоянии сети
Рисунок 12. — Фазовый аттрактор при
наличии сетевой атаки во всем временном интервале исследования
Рисунок 13. — Фазовый аттрактор
при наличии сетевой атаки на некотором временном промежутке из
интервала исследования
Рисунок 14. — Диаграмма соотношений показателя Херста и корреляционной размерности
Также доказано, что различный уровень нагрузки сети в нормальном состоянии (без сетевой атаки) не приводит к большому влиянию на значения
фрактальных параметров. На рисунке 134 приведена диаграмма соотношений
между показателем Херста и корреляционной размерностью, позволяющая
определять наличие сетевой атаки или её отсутствие. Основным выводом из
результата анализа экспериментальных данных следует, что о наличии сетевой
атаки однозначно можно судить по фазовому портрету телекоммуникационного трафика. Таким образом, на основе предложенных методик возможно создание фрактального индикатора состояния сети, работающего в режиме реального времени (здесь уместно заметить, что в среднем фрактальный анализ,
построение и анализ фазового портрета трафика из 20000 временных расчетов
составляет около 2 минут с использованием ПЭВМ Intel CORE i5 и объемом
оперативной памяти 8гБ). Подобный индикатор на входе получает срез телекоммуникационного трафика за некоторый интервал времени, рассчитывает
набор фрактальных параметров, далее, если по данным значениям однозначно
можно определить нормальное состояние сети, то дальнейшие вычисления игнорируются, в противном случае — строится и анализируется фазовый портрет телекоммуникационного трафика.
19
ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ
1. Математическая модель телекоммуникационного трафика на основе
набора фрактальных параметров, справедливая для различных состояний телекоммуникационного трафика (нормального, загруженного и при наличии сетевых атак).
2. Методика определения телекоммуникационного трафика по виду фазового аттрактора.
3. Алгоритм работы индикатора состояния телекоммуникационного трафика, базирующегося на расчёте фрактальных параметров и определении фазового портрета.
4. Вероятностная модель анализа рисков ИБ и алгоритм направленного
поиска рисков ИБ корпоративной сети телекоммуникаций.
Перспективы дальнейшей разработки темы. С целью развития темы
диссертационного исследования в дальнейшем на её основе планируется создание программного обеспечения для анализа рисков ИБ корпоративных сетей телекоммуникаций, а также сниффира сетевых атак в режиме реального
времени по виду фазового аттрактора с учетом предыстории телекоммуникационного трафика.
СПИСОК ПУБЛИКАЦИЙ
Статьи в рецензируемых научных журналах, рекомендованных ВАК
1. Губарева, О.Ю. Обзор методик анализа рисков информационной безопасности
информационной системы предприятия / О.Ю. Губарева, В.В. Пугин // T-comm Серия:
Телекоммуникации и транспорт. – 2012. – №6. – С. 54 – 57.
2. Губарева, О.Ю. Современные методики, применяемые для оценки угроз и информационных систем / О.Ю. Губарева, В.В. Пугин // Инфокоммуникационные технологии. – 2013. – Том 11. – №1. – С. 100 – 105.
3. Губарева, О.Ю. Оценка рисков информационной безопасности в телекоммуникационных сетях / О.Ю. Губарева // Вестник Волжского университета имени В.Н. Татищева. Серия Информатика. – 2013. – №2 (21). – С. 76 – 81.
4. Губарева, О.Ю. Иерархическая вероятностная модель мониторинга угрозы информационной безопасности информационной системы / О.Ю. Губарева, О.В. Осипов,
В.В. Пугин // Инфокоммуникационные технологии. — 2016. — Т.14. — №4. — С. 429 –
435.
5. Губарева, О.Ю. Аспекты защиты информации в системах электронного образования / О.Ю. Губарева, О.В. Осипов, А.О. Почепцов, В.В. Пугин // Вестник связи. –
2017. – № 8. – С. 49 – 52.
6. Губарева, О.Ю. Организация защищенного канала передачи конфиденциальной
информации с помощью специализированного волоконно-оптического линейного тракта
/ О.Ю. Губарева, А.В. Бурдин, С.С. Пашин, В.В. Пугин // Инфокоммуникационные технологии. — 2017. — Т.15. — №4. — С. 337 – 349.
Публикации, индексируемые в Web of Science, Scopus
7. Gubareva, O.Yu. Secure data transmission channel protected by special fiber optic
link based on optical crypto-fibers / Gubareva O.Yu., Bourdine A.V., Evtushenko A.S.,
Minaeva A.Yu., Pashin S.S., Praporshchikov D.E. // Optical Technologies in Telecommunications 2017, SPIE Proceedings, v. 10774, 2018, 0A(14)
20
8. Gubareva O.Yu. Simulation of simplex acousto-optical data transmission on fiber optic link / Gubareva O.Yu., Burdin V.A. // Optical Technologies in Telecommunications 2017,
SPIE Proceedings, v. 10774, 2018, 0B(6)
Другие публикации
9. Губарева, О.Ю. Автоматизированная система аудита информационной безопасности банка / О.Ю. Губарева, В.В. Пугин // Проблемы техники и технологий телекоммуникаций: Сборник трудов XIII международной научно-технической конференции – Уфа,
2012. – С. 246 – 248.
10. Губарева, О.Ю. Защита информации обрабатываемой многофункциональными
центрами предоставления государственных и муниципальных услуг / О.Ю. Губарева,
В.В. Пугин // Проблемы техники и технологий телекоммуникаций: Сборник трудов XIV
Международной научно-технической конференции – Уфа, 2012. – С. 248 – 250.
11. Губарева, О.Ю. Комплексный аудит информационных систем как базовое требование информационной безопасности / О.Ю. Губарева, В.В. Пугин // Актуальные проблемы информационной безопасности. Теория и практика использования программноаппаратных средств: Сборник трудов VI Всероссийская научно-техническая конференция – Самара, 2012. – С. 92 – 98.
12. Губарева, О.Ю. Аудит информационной безопасности как средство обеспечения
национальной безопасности государства / О.Ю. Губарева, В.В. Пугин // Информационная безопасность в свете Стратегии Казахстан – 2050: Сборник трудов Международной
научно-практической конференции – Астана, 2013. – С. 483 – 488.
13. Губарева, О.Ю. Тест на проникновение как метод, используемый в проведении
риск-ориентированной оценки информационной безопасности / О.Ю. Губарева, В.В.
Пугин // Актуальные проблемы информационной безопасности. Теория и практика использования программно-аппаратных средств: Сборник трудов VIII Всероссийская
научно-техническая конференция – Самара, 2014. – С. 169 – 175.
14. Губарева, О.Ю. Тест на проникновение как неотъемлемая часть активного аудита информационной безопасности / О.Ю. Губарева, В.В. Пугин // Актуальные вопросы
информационной безопасности регионов в условиях глобализации информационного
пространства: Сборник трудов III Всероссийской научно-практической конференции –
Волгоград, 2014. – С. 196 - 199
15. Губарева, О.Ю. Методы оценки рисков информационной безопасности информационных систем предприятий / О.Ю. Губарева, В.В. Пугин // Проблемы техники и
технологий телекоммуникаций: Сборник трудов XV Международной научнотехнической конференции – Казань, 2014. – С. 344 – 336.
16. Губарева, О.Ю. Современные экономически эффективные методы оценки рисков информационной безопасности информационных систем предприятий крупного и
среднего бизнеса / О.Ю. Губарева, В.В. Пугин // Вестник Алматинского университета
энергетики и связи. – 2014. – №3(26). – С. 39-51.
17. Губарева, О.Ю. Консалтинг в области информационной безопасности / О.Ю.
Губарева // Проблемы техники и технологий телекоммуникаций: Сборник трудов XVI
Международной научно-технической конференции – Уфа, 2015. – Т. 3. – С. 134 – 136.
18. Губарева, О.Ю. Сканеры безопасности как инструменты «Пентеста» / О.Ю. Губарева, А.А. Жесткова // Современные средства связи: Сборник трудов ХХ Международной научно-технической конференции – Минск, 2015. – С. 218 – 219.
19. Губарева, О.Ю. Защищенные накопители данных / О.Ю. Губарева, А.А. Жесткова // Современные проблемы и задачи обеспечения информационной безопасности:
Сборник трудов Международная научно-практическая конференция «СИБ - 2016» –
Москва, 2016. – С. 82 – 86.
20. Губарева, О.Ю. Иерархическая вероятностная модель мониторинга угрозы информационной безопасности информационной системы / О.Ю. Губарева, О.В. Осипов,
В.В. Пугин // Проблемы техники и технологий телекоммуникаций: Сборник трудов XVII
Международной научно-технической конференции – Самара, 2016. – С. 414 – 415.
21
21. Губарева, О.Ю. Возможности использования фрактальных мер для анализа
угроз информационной безопасности / О.Ю. Губарева, О.В. Осипов, А.О. Почепцов, В.В.
Пугин // XXIV Российской научно-технической конференции профессорскопреподавательского состава, научных сотрудников и аспирантов: тезисы докладов – Самара, 2017. – С. 82.
22. Губарева, О.Ю. Средства анализа сетевого трафика в инфокоммуникационных
сетях / О.Ю. Губарева, О.В. Осипов, А.О. Почепцов, В.В. Пугин // XXIV Российской
научно-технической конференции профессорско-преподавательского состава, научных
сотрудников и аспирантов: тезисы докладов – Самара, 2017. – С. 111.
23. Губарева, О.Ю. Средства сбора статистики о трафике в инфокуммуникационных
сетях / О.Ю. Губарева, А.О. Почепцов // XXIV Российской научно-технической конференции профессорско-преподавательского состава, научных сотрудников и аспирантов:
тезисы докладов – Самара, 2017. – С. 112.
24. Губарева, О.Ю. Разработка вероятностного метода определения типа атаки на
основе анализа данных мониторинга сети с применением фрактальных мер / О.Ю. Губарева, О.В. Осипов, С.Ю. Анцинов, А.В. Харьковский // Актуальные вопросы телекоммуникаций: Сборник трудов Научно-технической конференции Росинфоком—2017 – Самара, 2017. – С. 213 – 214.
25. Губарева, О.Ю. Разработка программного обеспечения для исследования различных сегментов сети / О.Ю. Губарева, В.В. Пугин, А.Н. Соколов // Проблемы техники
и технологий телекоммуникаций: Сборник трудов XVIII Международной научнотехнической конференции – Казань, 2017. – С. 180 – 181.
26. Губарева, О.Ю. Мониторинг состояния сети и определение угроз при помощи
фрактальных мер / О.Ю. Губарева, О.В. Осипов // XXV Российской научно-технической
конференции профессорско-преподавательского состава, научных сотрудников и аспирантов: тезисы докладов – Самара, 2018. – С. 30.
27. Губарева, О.Ю. Способ определения сетевой атаки по фазовому пространству /
О.Ю. Губарева, О.В. Осипов // XXV Российской научно-технической конференции профессорско-преподавательского состава, научных сотрудников и аспирантов: тезисы докладов – Самара, 2018. – С. 31.
28. Губарева, О.Ю. Использование фрактальных мер для мониторинга состояния
сети и вероятностного определения типа сетевой атаки / О.Ю. Губарева, О.В. Осипов,
А.О. Почепцов, В.В. Пугин // Информационные технологии и нанотехнологии: Сборник
трудов ИТНТ-2018 – Самара, 2018. – С. 2893-2899.
Подписано в печать 27.06.2018.
Формат 60х84 1/16. Бумага офсетная. Гарнитура Times New Roman.
Усл. печ. л. 1,375. Тираж 100 экз. Заказ № 1010055.
ИУНЛ ПГУТИ
443090, г. Самара, Московское шоссе, 77
22
1/--страниц
Пожаловаться на содержимое документа