автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Модель и алгоритмы обнаружения компьютерных атак в локальных вычислительных сетях органов государственного и муниципального управления

авах рукописи

004Ы':+1 1Т

ДЕНИСЕНКО Виталий Дмитриевич

МОДЕЛЬ И АЛГОРИТМЫ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК В ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ ОРГАНОВ ГОСУДАРСТВЕННОГО И МУНИЦИПАЛЬНОГО УПРАВЛЕНИЯ

Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

Автореферат диссертации на соискание ученой степени кандидата технических наук

2 5 НОЯ 2010

Москва-2010

004614114

Работа выполнена в Межрегиональном общественном учреждении «Институт инженерной физики» (ИИФ).

Научный руководитель: доктор технических наук, профессор

БОРИДЬКО Сергей Иванович

Официальные оппоненты: Заслуженный деятель науки и техники РФ,

доктор технических наук, профессор Емелин Николай Михайлович

Защита состоится 15 декабря 2010 года в 15.00 часов на заседании диссертационного совета Д 520.033.01 в Межрегиональном общественном учреждении «Институт инженерной физики» (ИИФ) по адресу: 142210, г. Серпухов, Большой Ударный пер., д. 1а.

Отзывы на автореферат в 2-х экз. просьба направлять по адресу: 142210, г. Серпухов, Большой Ударный пер., д. 1а, Межрегиональное общественное учреждение «Институт инженерной физики» (ИИФ), ученому секретарю диссертационного совета Д 520.033.01.

С диссертацией можно ознакомиться в библиотеке Межрегионального общественного учреждения «Институт инженерной физики» по адресу: 142210, г. Серпухов, Большой Ударный пер., д. 1а.

доктор технических наук, профессор Гончаров Владимир Васильевич

Ведущая организация: Закрытое акционерное общество «Синтерра»,

109147 г. Москва, ул. Воронцовская, д. 35Б, корпус 3

Автореферат разослан «_ ноября 2010 года.

Ученый секретарь

диссертационного совета Д 520.033.01 кандидат технических наук, доцент

О. В. Коровин

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность диссертационных исследований

Непрерывное развитие различного рода систем, в том числе информационных, обусловлено постоянным развитием потребностей практики в связи с общим прогрессом науки техники и технологий.

Проблеме защиты информационных ресурсов посвящено значительное количество публикаций как в России, так и за рубежом.

Большое значение проблема защиты информации приобретает в автоматизированных системах (АС) органов государственного и муниципального управления.

Примерами АС органов государственного и муниципального управления могут являться: локальные вычислительные сети органов государственного и муниципального управления (далее-ЛВС органов), Интернет-портал государственных услуг, системы электронного документооборота и т. п. Основная задача АС заключается в автоматизации деятельности и поддержке принятия решений должностных лиц, посредством предоставления необходимых информационных ресурсов в удобном для них виде.

Комплекс средств автоматизации для органа государственного и муниципального управления обычно реализуется в виде аппаратно-программных средств ЛВС.

Практически любые аппаратно-программные средства ЛВС органов могут выступать в качестве объекта деструктивного воздействия нарушителя, которое может быть определено как совокупность действий злоумышленника, направленных на нарушение одного из трех свойств информации - конфиденциальности, целостности и доступности.

Одним из важнейших направлений защиты от угроз информации в ЛВС органов является своевременное и достоверное обнаружение попыток несанкционированных воздействий (НСВ) на ресурсы ЛВС, например, посредством компьютерных атак (КА), с помощью вирусов, программных и аппаратных закладок и т. п.

Сегодня в мире существует большое количество разновидностей КА. Наиболее часто реализуемыми являются КА типа «отказ в обслуживании».

Использование данного типа КА для нанесения ущерба, в том числе, функционированию ЛВС органов, обусловлено простотой их организации, малой стоимостью, отсутствием необходимости глубоких знаний компьютерных технологий и языков программирования для их реализации.

Перечисленные особенности КА типа «отказ в обслуживании» делают их достаточно широко применяемыми на практике, что объективно требует поиска путей защиты от них ЛВС органов.

Для защиты ЛВС органов от КА в настоящее время используются системы обнаружения атак (СОА), способные обеспечить предупреждение об их появлении на начальном этапе воздействия. При этом максимальный срок предупреждения должен быть меньше времени, необходимого для принятия адекватных мер, но не может быть больше, чем время, за которое проявится определенная репрезентативная выборка признаков, характеризующих КА.

По поиску путей решения сформулированной задачи ведутся теоретические и практические исследования в ряде научных, научно-производственных и других учреждений. К ним, в частности, относятся: ЗАО «Синтерра», ЗАО «РНТ», Военная академия связи им. С.М. Буденного и другие.

Ценность полученных результатов бесспорна. На соответствующем этапе в них нашли решение различные задачи, стоящие перед системой защиты ЛВС, в том числе ЛВС органов.

Однако в них не исследован ряд вопросов, в частности, оценивания интенсивности приема пакетов как для потока в целом, так и для парциальных потоков его составляющих, адаптивный поиск признаков в словаре признаков системы обнаружения атак и ряд других.

Исходя из этого, объектом научных исследований является СОА ЛВС органов, а предметом - обнаружение КА СОА ЛВС органов.

Цель исследования: повысить эффективность обнаружения КА СОА ЛВС органов.

Для достижения поставленной цели в научных исследованиях сформулирована научная задача: на основе исследования условий функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления и возможностей ведения в них компьютерной разведки разработать алгоритмы обнаружения компьютерных атак и научно-технические предложения по их практической реализации.

Методы исследований. Общий метод исследований - системный анализ. Для решения частных задач использовался математический аппарат теории вероятности, марковских случайных процессов, теории графов, теории распознавания образов, математической статистики, методы интегрального и дифференциального исчисления.

Научные результаты, предлагаемые к защите:

1. Модель функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

2. Алгоритмы обнаружения компьютерных атак систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

3. Научно-технические предложения по реализации алгоритмов обнаружения компьютерных атак систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

Научная новизна полученных результатов исследования заключается в том, что впервые:

1. Разработана модель функционирования СОА ЛВС органов для наихудших условий обнаружения КА, отличающаяся от существующих тем, что:

а) имеется возможность анализа и оценки времени процессов приема и обработки пакетов в условиях максимального входного трафика;

б) полученные аналитические выражения позволяют рассчитать значения вероятностей состояний СОА в любой момент времени;

в) имеется возможность сравнительного анализа времени пребывания СОА в различных состояниях.

2. Разработаны алгоритмы обнаружения КА по структурным и статистическим признакам СОА ЛВС органов, отличающиеся от существующих тем, что:

а) осуществляется поиск признаков в словаре признаков по своевременности при заданной достоверности;

б) разработан подход к анализу структуры пакета с целью определения наличия КА в нем;

в) предложен подход к обнаружению КА по статистическим признакам;

г) математически обоснован выбор величин ошибок первого и второго рода.

3. Разработаны научно-технические предложения по реализации алгоритмов обнаружения KA COA ЛВС органов, отличающиеся тем, что:

а) разработана блок-схема обобщенного алгоритма обнаружения KA COA ЛВС органов по структурным и статистическим признакам;

б) разработана аппаратно-программная реализации алгоритмов обнаружения KA COA ЛВС органов по структурным и статистическим признакам;

в) предложены зависимости и расчеты показателя эффективности обнаружения KA COA ЛВС органов.

Теоретическая ценность заключается в том, что проведенные исследования углубляют и расширяют содержание теорий обработки информации, распознавания образов в аспекте обнаружения КА.

Практическая значимость исследования заключается в возможности использования разработанных модели и алгоритмов и полученных на их основе результатов и предложений при проектировании и эксплуатации COA ЛВС органов с учетом возможности воздействия КА типа «отказ в обслуживании».

Полученные в диссертации новые теоретические и практические результаты использованы при проведении занятий по курсам повышения квалификации «Основы защиты информации», «Противодействие компьютерному терроризму», «Программно-аппаратные средства обеспечения информационной безопасности ЛВС» Московского инстшута новых информационных технологий (акт использования вх. №25/75 от 27.05.2009 г.); реализованы в качестве модуля специального программного обеспечения при создании COA защищенной ЛВС ООО «Масса» (акт реализации вх. № 25/456 от 11.11.2009 г.); использованы в научных исследованиях ЗАО «Синтерра» г. Москва (акт использования результатов вх. № 25/272 от 06.09.2010 г.).

Достоверность полученных результатов обеспечивается: обоснованностью вводимых допущений и ограничений; корректным выбором математического аппарата; ясной физической трактовкой общих и частных показателей; отсутствием противоречий с результатами, полученными другими авторами.

Апробация. Научная сессия МИФИ-2009 «Информационно-телекоммуникационные системы. Проблемы информационной безопасности в системе высшей школе. Экономика, инновации и управление», г. Москва, 2009 г.

VIII межведомственная научно-практическая конференция «Актуальные проблемы правового обеспечения обороны страны и безопасности государства», г. Москва, 2009 г.

Научно-практическая конференция «Вопросы обеспечения информационной безопасности в органах безопасности», г. Москва, 2009 г.

VIII Межведомственная конференция «Научно-техническое и информационное обеспечение деятельности спецслужб», г. Москва, 2010 г.

XXIX Всероссийская научно-техническая конференция «Проблемы эффективности и безопасности функционирования сложных технических и информационных систем», г. Серпухов, 2010 г.

Публикации по теме исследований. Основные научные результаты исследований опубликованы в 14 работах, в том числе 7 статей [4, 6, 8,14] (из них 3 в издании из списка ВАК [1,2,3]), 2 учебных пособия ((§§6.1, 6.2 [10,11]), [15]), 1 монография (§ 1.2 [12]) и тезисы 3 докладов [6,9,13].

Структура диссертационной работы: введение, четыре раздела, заключение, список литературы (105 наименований), приложения.

Объем диссертационной работы составляет 181 страницу, включая 4 таблицы и 45 рисунков.

СОДЕРЖАНИЕ РАБОТЫ

Во введении сформулирована цель, обоснована актуальность и раскрыто содержание научной задачи, приведены результаты, выносимые на защиту, а также перечислены сведения о публикациях, апробациях и реализациях полученных результатов.

В первом разделе проведено исследование условий функционирования ЛВС органов: дана характеристика ЛВС органов; рассмотрены угрозы безопасности функционирования ЛВС органов как объектов компьютерных воздействий; проанализированы возможности компьютерной разведки деструктивных сил как основного источника угроз безопасности функционирования ЛВС органов; рассмотрены современные технологии и средства защиты ресурсов ЛВС от компьютерных воздействий; проведен анализ существующих подходов к обнаружению КА на ЛВС; обоснованы зависимости и показатели эффективности обнаружения KA COA ЛВС органов.

Во втором разделе на основе исследования физических процессов функционирования ЛВС разработана модель функционирования COA ЛВС органов, позволяющая вычислять среднее относительное время пребывания COA в различных состояниях. Проведено оценивание адекватности разработанной модели реальному объекту ранговым методом и методом единичных наблюдений.

Анализ современных математических методов моделирования функционирования информационно-вычислительных систем позволил выбрать для разработки модели методы теории графов, марковских случайных процессов, дифференциального исчисления.

Проведенные в работе исследования на основе математической модели ЛВС органов в режиме приема пакетов позволяют сделать вывод о том, что более 40 % времени при функционировании ЛВС органов затрачивается на анализ входного трафика с целью обнаружения КА. Зависимость вероятностей состояний ЛВС органов от времени (при исходных данных: X = 1.58 1 04; 1\г = 3.641-Ю4; Лгз = 2.37-105;

Рисунок 1 - Зависимость вероятностей состояний ЛВС органов от времени

Функционирование COA ЛВС органов представлено на рис. 2.

^1211 ^-1214

-И 5м

И-V

^1213,

Рисунок 2 - Граф состояний системы обнаружения атак

На рис.2 обозначены следующие состояния COA: прием пакета - Su, предварительное решение - S12, сборка файла - Su, поиск в словаре признаков и принятие решения о наличии атаки - 514. Хип, ¿1211, ¿1213. ¿1214, ¿пм, ^12 -интенсивности обслуживания информации соответствующими элементами COA.

Совокупность дифференциальных уравнений, описывающих состояния COA:

dP„(')

КО + ЛтМ-РпМ-^тОУРМ

^ = ЛшС) ■■ /"„('У- (ЛшС) + <U(0 + 42,.(0)' Р,М

ÍM1.

Л Л

2>„м=ад.

-W0 ■ +W) • Ч>С) -■"»(')■ W.

(1)

4,(0 =

Совокупность вероятностей состояний COA:

^ ^'Лгп___^'Лгп

4:п+4п2 (Лш (Л21З + ^2i«)'(^2ii+Лп2 Лги ^21«)

Л

(^213+Лп2 Л2П Лги) Лг 11+Лш

__dliuu_

ч (Лги + Лги)'(Лги + Лт)

Í___Х

Лш+Лл* Лги+Лг» __Л'.Лгп

Л-Л21;

Л 211 +Лпг (Лиз + Лги) "(Лги Миг) (Лаз +Л21.) (Л21, -Л2И

11+Лн2 Лги "Лги)

(2)

(3)

Л211

(ЛаЗ+ЛгмМЛа.+Л IL

1,(0=

■¿'Л:»

Лзм"(Лыз + Л:н) (Лиз + Л21«)" (Лпз+ Лгм — Л314) Лзм '(Л211 + Лн:) Лзм "(Лап +Л2н)"(Лл1 +Лпг)

(Л213 + Л214 )• (Л21. + Л 42 - Лиз ~ Л=,4) • (Л2.3 + Л:м - Л 314) (Лгп + ' (Л211 + Л< 12-^213-^214) (Лги --Лзм) ¿'Лиз__g-O.'O'__¿'Ли "Л»__+

(Лги+Л.и)" (Лап +Л>» "Лзм) (Лж + Л:м)(Л3и + Л.чНЛ*1 +Л.н "Лзн) ___я-л,:п

Лзм "(Лги +Лгм) (Лги + Лгн)"(Лг»з+ Лг14 "Лзм)

Лзм "(Лги +Ли:) Лзм '(Лги +Л:м)'(Л:п + Лш)

h_^'Лдч'Лап__

(Л213 + Л2иМЛг» +Л|12 "Ллз "Л:м)'(Л:13 + Лзм "Лзм) ¿'ЛлгЛги

(Лиз + Ли«)' (Лги + Лт -Лиз " Ли«)' (Лиз + Лам " Ли«) h__+

(Л211 -^п 12) * (^211 +Лпг

+__

/¡.('ММ-Ч.М-Ч.М-'Ы').

±гЛ')=т

(4)

Проведенные на модели функционирования СОА ЛВС органов расчеты позволили выделить процесс поиска признака в словаре признаков КА как наиболее емкий с точки зрения временных затрат (более 37 %, рис. 3).

р( о

0.5

0 МО"6 2-Ю"6 3-Ю"6 410"6 5 10_б /,с Рисунок 3 - Зависимость вероятностей состояний СОА от времени

Для уменьшения указанных временных затрат необходимо предложить более эффективные способы поиска признаков КА в словаре признаков.

Проведенное оценивание адекватности разработанной модели реальному объекту ранговым методом и методом для случая единичных наблюдений позволяют утверждать, что разработанная модель адекватна реальному объекту.

Разработанная совокупность элементов и связей между ними, отражающая функционирование СОА ЛВС органов, позволяет говорить о том, что первый научный результат достигнут.

В третьем разделе разработаны алгоритмы обнаружения КА по структурным и статистическим признакам, позволяющие обеспечивать их своевременное и достоверное обнаружение СОА ЛВС органов, проанализированы их свойства.

Современные способы обнаружения КА обычно разделяют на структурные и статистические. Правильное обнаружение признаков КА по структуре обеспечивает достоверные исходные данные для статистического оценивания.

Исследования, проведенные в процессе рассмотрения различных способов поиска в словаре признаков, показали, что наиболее быстродействующим является способ, основанный на использовании хэш-функции. Зависимость временных

затрат при поиске в словаре признаков различными способами от объема словаря признаков представлена на рис. 4.

Рисунок 4 - Зависимость временных затрат при поиске в словаре признаков различными способами от объема словаря признаков

Однако хэширование имеет ряд недостатков, в частности, возникновение коллизий. Для устранения этого недостатка предлагается использовать «расширенное» хэширование. Сущность предлагаемого способа поиска состоит в том, что дополнительно формируется вспомогательная память, содержащая количество признаков, находящихся по адресу (ключу поиска) в основной памяти. При этом сравнение признаков пакета с ячейкой словаря признаков производится то количество раз, которое записано во вспомогательной памяти.

Блок-схема обобщенного алгоритма обнаружения КА по структурным признакам представлена на рис. 5.

Сравнительные исследования математических методов распознавания образов позволяют сделать вывод о том, что наиболее эффективными (по быстродействию при заданной достоверности) являются процедуры последовательных решений, в частности, метод обнаружения разладки на основе последовательного анализа А. Вальда в виде алгоритма кумулятивных сумм.

В работе предложены подходы, позволяющие рассчитывать значения ошибок первого и второго рода в зависимости от реальных физических процессов.

Предложенный алгоритм позволяет повысить своевременность обнаружения КА, снизить вероятность пропусков и ложных тревог СОА и, соответственно, повысить достоверность статистической обработки признаков, характеризующих КА.

Рисунок 5

- Блок-схема обобщенного алгоритма обнаружения КА по структурным признакам

На рис. 6 представлена блок-схема обобщенного алгоритма обнаружения КА по статистическим признакам.

по статистическим признакам

Разработанные алгоритмы обладают свойствами: определенности, результативности и массовости. Это создает условия для разработки научно-технических предложений по практической реализации разработанных алгоритмов обнаружения КА в виде СОА ЛВС органов.

Разработанные структурная и статистическая последовательности операций по обнаружению КА представляют собой алгоритмы обнаружения КА СОА ЛВС органов, что позволяет говорить о том, что второй научный результат достигнут.

В четвертом разделе на основе алгоритмов обнаружения КА разработаны научно-технические предложения по их реализации в СОА ЛВС органов.

Предлагаемый вариант аппаратно-программной реализации базовых алгоритмов, приведенных на рис. 5,6, представлен в виде блок-схемы устройства, позволяющего осуществлять обнаружение КА по структурным и статистическим признакам (рис. 7).

"Дстерш

ФПП-1

П

хт

7\Ц

Вч «Пуск. -Вч «П«|чн»~" В\.я1»

Г1ч.«М.,м. -ТК«\'~ч» ~

.п.

1

1

ФСТО- формиротиель сш-налои ««кущей оценки

ДЗЗО- дискриминатор юн чничениН оценки

ГИ- рпспрелелшет тшульсон

СИИ- счетчик пременных интервалов

ФПГТ-1 - первый формирователь перемен по Л поиски

ФПП2- кюром формиронаимн» неремпон поиска

СС-1 - нериыи суммирующий счетчик

СС-2 - второй суммирующий счетчик

ГСП- регистр стратегии поиска

ФСС— ф (»рм'Чнмител!. сигнала еО/хч'а

БОЗД- блок отображения и 'кшнен ионных

ЬИ11С- блок шмеисиин иороюиыл сигналов

ПС- 1анмср чскущнх су юк

ПФПУ- блок форммрокпнин порога усечения

Рисунок 7 - Блок-схема устройства обнаружения КА по структурным и статистическим признакам

Увеличение своевременности обнаружения КА приводит к снижению достоверности их обнаружения. В работе проведены сравнительные исследования по критерию «своевременность - достоверность» существующих и предлагаемых решений.

Вероятности своевременного и достоверного обнаружения КА представлены на рис. 8, 9 соответственно.__ ___

рл редт ' са.обн.КЛ :

1

Рисунок 8 - Вероятности своевременного обнаружения компьютерных атак

0,9 0,8 0,7 0,6 0,5 0,4 0,3 0,2 0,1 О

------ 11 Йй) ■шм ¡¡¡¡¡¡¡¡11111 рврсДЛ '.';••* доог.оСя,КА •• г ■ И ||

Рисунок 9 - Вероятности достоверного обнаружения компьютерных атак

Общий выигрыш от использования разработанных алгоритмов по критерию «своевременность - достоверность», по сравнению с существующими, составляет более 5 %. В свою очередь, выигрыш по своевременности обнаружения КА - 27 %. При этом наблюдается незначительное снижение достоверности обнаружения КА. Вероятности обнаружения К А представлены на рис. 10.

0,9 0,8 0,7 0,6 0,5 0.4 0,3 0,2 0,1 о

Рисунок 10 - Вероятности обнаружения компьютерных атак

Для практического обнаружения, КА необходимо полученные алгоритмы реализовать в аппаратно-программном виде. Иными словами, описать математические методы на языке аппаратно-программных решений.

Реализация алгоритмов обнаружения КА в виде программных средств создает условия для их практического внедрения в СОА ЛВС органов.

Реализация разработанных алгоритмов на практике повлечет за собой изменение величин как внутренних, так и внешнего показателей эффективности обнаружения К А СОА ЛВС органов и позволяет говорить о том, что третий научный результат достигнут.

Эффективность обнаружения КА СОА ЛВС органов может быть оценена:

ЭФ(0=Р_(0ХРл(0хри1(/)Х( 1-*зат), (6)

где ЭФ(/) - обобщенный показатель эффективности функционирования ЛВС в условиях воздействия КА; Р (;) - вероятность своевременной передачи

информации; Рд (г) - вероятность достоверной передачи информации; (/) -

вероятность защищенности передачи информации; К - коэффициент затрат.

В выражении (6) ЭФ(?) изменяется в зависимости от времени; в фиксированный момент времени ЭФ(г) имеет определенное числовое значение. Коэффициент затрат ( К ^ ) - безразмерная величина (изменяющаяся в пределах от

О до 1), вычисляемая посредством отнесения величины реальных затрат к величине допустимых затрат.

Внешний показатель - вероятность защищенности передачи информации в условиях воздействия К А:

Рзащ. (') = ^обн.КА ('обн. КА " Гобн. тр.) Х РНСВ ('нСВ " 'нСВ тр.) Х РНСД ('нСД " 'нСД тр.)' ^

где кд(?обн. КА - ^обн.тр.) ~ вероятность обнаружения КА (вероятность такого

события, при котором время обнаружения КА не превышает требуемое);

^нсв^нсв -'нсвтр.) ~~ вероятность защищенности от НСВ (вероятность такого

события, при котором время, необходимое нарушителю для осуществления

воздействия, будет более требуемого); ^нсд^нсд - 'нсдтр) ~ вероятность

защищенности от несанкционированного доступа (НСД) (вероятность такого события, при котором время, необходимое нарушителю для осуществления НСД, будет более требуемого).

В выражении (7) в качестве аргумента функции Р (г) выступают -

время обнаружения КА; ?нсв - время несанкционированного воздействия; «нсд -

время несанкционированного доступа, однако в работе рассматривается поведение только /

обн.КА

Внутренний показатель - вероятность обнаружения КА:

обн. КА

(0=Л

(Ахр (,)

св. обн. КА 4 дост. обн. КА 4

(В)

где Р

(О - вероятность своевременного обнаружения КА; Р ст обн кд (О

св.обн. КА

вероятность достоверного обнаружения КА.

Соотношение эффективности защиты ЛВС органов от КА при существующем и предлагаемом подходах приведено на рис. 11.

0,97 рпредл * обн. К А

. , щ

0,96

0,95 -. _ Л... * Щ§

0,94

Л

Рисунок 11 - Эффективность защиты ЛВС органов

Графическое представление соотношения величин эффективности обнаружения КА СОА ЛВС органов при существующем и предлагаемом подходах к обнаружению К А приведено на рис. 12.

ЭФ

3.4-10» 3.610"

Рисунок 12 - Соотношение величин эффективности обнаружения КА СОА ЛВС органов (с учетом экономических затрат) Предложенные реализации разработанных алгоритмов обнаружения компьютерных атак представляют собой научно-технические предложения, которые обеспечивают выполнение условия ЭФЩСДД > ЭФС%1Д и позволяют говорить о том, что научная задача решена, цель диссертации достигнута.

ЗАКЛЮЧЕНИЕ

Для настоящего времени характерно следующее противоречие: либо обеспечивается требуемая достоверность, но затрачивается время больше допустимого;

либо выполняются требования по своевременности, но уровень достоверности снижается ниже допустимого.

Решением данной задачи является разработка алгоритмов обнаружения КА СОА ЛВС органов, способных своевременно с требуемой достоверностью обнаруживать их.

В работе основной акцент сделан на разработке алгоритмов обнаружения КА СОА ЛВС органов и научно-технических предложений по их практической реализации.

Существенные научные результаты работы:

1) Модель функционирования СОА ЛВС органов, включающая модели процессов приема пакетов, предварительных решений, сборки файлов и поиска признаков в словаре признаков, отличающаяся возможностью расчета значений относительного времени пребывания пакетов в элементах СОА в условиях максимального входного трафика, позволяющая адекватно отображать процессы обнаружения КА.

2) Алгоритмы обнаружения компьютерных атак СОА ЛВС органов, включающие совокупность структурно-статистических способов обнаружения признаков КА, отличающиеся адаптивностью к поиску признаков в словаре признаков; обоснованностью и оперативностью выбора ошибок первого и второго рода в статистических решениях при обнаружении КА, позволяющие повысить своевременность обнаружения КА.

3) Научно-технические предложения по реализации алгоритмов обнаружения КА СОА ЛВС органов, позволяющие на практике повысить эффективность обнаружения КА.

В совокупности научные результаты представляют собой решение сформулированной выше научной задачи, обусловленной противоречием между своевременностью и достоверностью обнаружения КА СОА ЛВС органов, посредством разработки алгоритмов обнаружения КА и научно-технических предложений по их практической реализации и позволяют достигнуть цели исследований.

Таким образом, полученная в работе совокупность научных результатов позволяет утверждать, что, во-первых, научная задача в теоретическом аспекте решена и цель исследований достигнута; во-вторых, использование на практике разработанных научно-технических предложений не только возможно, но и целесообразно; в-третьих, реальное применение полученных результатов в виде программных решений повысит эффективность обнаружения КА в условиях роста объема и сложности информации, поступающей в ЛВС органов.

В итоге отметим, что автор не претендует на полное и окончательное решение проблемы обнаружения КА СОА ЛВС органов. Дальнейшими направлениями исследований в данной проблемной области могут являться: 1) разработка структуры словарей признаков, позволяющей осуществлять поиск на основе использования хэш-функции; 2) разработка более детальных моделей процессов обнаружения КА СОА ЛВС органов; 3) изучение признакового пространства предметной области с целью выделения более «тонких» характеристик и параметров, через которые она проявляется; 4) разработка способов анализа и оценки информации в структурно-статистической метрике; 5) разработка способов анализа и оценки информации по семантике и т. д.

Последующим развитием исследований вне рамок области обнаружения КА СОА ЛВС органов может бьггь разработка методов классификации (идентификации) состояний интенсивности входного трафика на основе применения математического

аппарата интеллектуального анализа данных, в частности, многомерного статистического анализа, метода группового учета аргументов, анализа и прогноза на основе нейронных сетей и т. д.

ПУБЛИКАЦИИ ПО ТЕМЕ ИССЛЕДОВАНИЯ

В рецензируемых научных журналах и изданиях:

1. Денисенко В. Д. Обоснование выбора ошибок первого и второго рода при обнаружении компьютерных атак // Естественные и технические науки. - Na 5. -М., -2010. (соиск,-100%)

2. Денисенко В. Д. Эффективность функционирования локальной вычислительной сети в условиях воздействия компьютерной атаки // Вестник ИКСИ серии «В». -Выпуск 7. - М, - 2010. С. 88-89. (соиск. - 100 %)

3. Денисенко В. Д., Забелинский А. А. Алгоритм поиска сигнатур компьютерных атак в словаре признаков // Сб. трудов XXIX Всероссийская НТК «Проблемы эффективности безопасности функционирования сложных технических и информационных систем». Часть 4 - Серпухов: СВИ РВ, 2010. С. 50-57. (соиск. - 70 %)

Статьи:

4. Денисенко В. Д., Буданов Д. Г. Защищенная операционная система МСВС // Вестник Института : сборник научных трудов. Выпуск 8. - М.: МИНИТ ФСБ России, 2008. (соиск.-60%)

5. Денисенко В. Д., Марков Д. В. Основы конфигурирования системы «Мини-ком DX-500»: учебно-методическое пособие. - М.: МИНИТ ФСБ России, 2008. С. 284 (соиск. - 50 %)

6. Денисенко В. Д., Тараскин М. М. Внешние и внутренние показатели эффективности функционирования вычислительных сетей. - Научная сессия МИФИ - 2009. Аннотации докладов. Том 3. «Информационно-телекоммуникационные системы. Проблемы информационной безопасности в системе высшей школы. Экономика, инновации и управление». - М.: МИФИ, 2009. С. 288 (соиск. - 40 %)

7. Денисенко В. Д., Буданов Д. Г. Технология виртуализации // Вестник Института : сборник научных трудов. Выпуск 9. - М.: МИНИТ ФСБ России, 2009.

8. Денисенко В. Д., Попов В. С. Вопросы безопасности информационных систем органов государственной власти. - Материалы VIII межведомственной научно-практической конференции «Актуальные проблемы правового обеспечения обороны страны и безопасности государства». Часть 1. - М.: МПИ ФСБ России, 2009. (соиск. -50 %)

9. Денисенко В. Д., Тараскин М. М. Обзор результатов ряда исследований по проблеме обнаружения компьютерных атак. VIII Межведомственная конференция «Научно-техническое и информационное обеспечение спецслужб». - М.: Академия ФСБ России, 2010. (соиск. - 30 %)

10. Денисенко В. Д. Основы противодействия техническим средствам разведки / Боридько С. И., Забелинский А. А., Тараскин М. М. Методы и средства защиты информации: учебное пособие. - М.: МИНИТ ФСБ России, 2009. С. 284 (соиск. - 20 %)

11. Денисенко В. Д. Общие принципы и способы противодействия техническим средствам разведки / Боридько С. И., Забелинский А. А., Тараскин М. М. Методы и средства защиты информации: учебное пособие. - М.: МИНИТ ФСБ России, 2009. -С. 284 (соиск.-20%)

12. Денисенко В. Д. Информационный процесс в автоматизированных информационных системах и его структура /Баранец В. И., Тараскин М. М. Теоретические проблемы поддержки выработки решений должностными лицами в автоматизированных информационных системах: монография. - М.: в/ч 61535, 2009. - С.163 (со-иск. - 20 %)

13. Денисенко В. Д. Оценка эффективности локальной вычислительной сети в условиях воздействия компьютерных атак. Научно практическая конференция «Вопросы обеспечения информационной безопасности в органах безопасности». -М.: МИНИТ ФСБ России, 2009. (соиск. - 100 %)

14. Денисенко В. Д., Буданов Д. Г. Internet 2 // Вестник Института : сборник научных трудов. Выпуск 10. - М.: МИНИТ ФСБ России, 2010. (соиск. - 70 %)

15. Денисенко В. Д., Заостровцев А. Э., Попов В. С., Марков Д. В. Основы построения цифровых телекоммуникационных систем: учебное пособие. - М.: МИНИТ ФСБ России, 2009. - С. 284. (соиск. - 30 %)

Автореферат диссертации на соискание ученой степени кандидата технических наук

ДЕНИСЕНКО Виталий Дмитриевич

МОДЕЛЬ И АЛГОРИТМЫ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК В ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ ОРГАНОВ ГОСУДАРСТВЕННОГО И МУНИЦИПАЛЬНОГО УПРАВЛЕНИЯ

Научный руководитель доктор технических наук, профессор БОРИДЬКО Сергей Иванович

Изготовление оригинал-макета ДЕНИСЕНКО Виталий Дмитриевич

Компьютерная верстка Попов B.C.

Подписано в печать 28.10.2010. Формат 60x90/16. Печать на ризографе. Объем 1 печ. л. Тираж 100 экз.

Отпечатано в типографии МИНИТ ФСБ России. 121552, г. Москва, ул. Ярцевская, д.ЗО. Тел.: (499) 141-20-96

ПЕРЕЧЕНЬ ОСНОВНЫХ СОКРАЩЕНИЙ.

ВВЕДЕНИЕ.

1. ИССЛЕДОВАНИЕ ФУНКЦИОНИРОВАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОРГАНОВ ГОСУДАРСТВЕННОГО И МУНИЦИПАЛЬНОГО УПРАВЛЕНИЯ.

1.1. Характеристика локальных вычислительных сетей органов государственного и муниципального управления.

1.2. Угрозы безопасности функционирования локальных вычислительных сетей органов государственного и муниципального управления как объекта компьютерных воздействий.

1.3. Возможности технической разведки как источника воздействий на локальные вычислительные сети органов государственного и муниципального управления.

1.4. Современные технологии и средства защиты ресурсов локальных вычислительных сетей органов государственного и муниципального управления от компьютерных воздействий.

1.5. Анализ существующих систем обнаружения атак.

1.6. Показатели эффективности обнаружения компьютерных атак системами обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

Выводы по 1 разделу.

2. МОДЕЛЬ ФУНКЦИОНИРОВАНИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОРГАНОВ ГОСУДАРСТВЕННОГО И МУНИЦИПАЛЬНОГО УПРАВЛЕНИЯ.:.

2.1. Описательная модель функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

2.2. Концептуальная модель функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

2.2.1. Теоретико-множественное описание функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

2.2.2. Алгоритм функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

2.3. Аналитическая модель функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

2.4. Оценивание адекватности аналитической модели функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления реальному объекту.

2.4.1. Оценивание адекватности аналитической модели функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления реальному объекту ранговым методом.

2.4.2. Оценка адекватности аналитической модели функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления реальному объекту методом единичных наблюдений процессов.

Выводы по 2 разделу.

3. АЛГОРИТМЫ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК СИСТЕМАМИ ОБНАРУЖЕНИЯ АТАК ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОРГАНОВ ГОСУДАРСТВЕННОГО И МУНИЦИПАЛЬНОГО УПРАВЛЕНИЯ.

3.1. Физические процессы обнаружение компьютерных атак, особенности их реализации в системе обнаружения атак.

3.2. Обоснование выбора способа поиска признаков компьютерных атак в словаре признаков.

3.3. Алгоритм обнаружения компьютерных атак во входном потоке пакетов по структурным признакам.

3.4. Алгоритм обнаружения компьютерных атак во входном потоке пакетов по статистическим признакам.

3.4.1. Обоснование выбора математического аппарата для исследования статистических свойств входного потока пакетов.

3.4.2. Основные характеристики процедуры последовательного обнаружения изменения интенсивности пакетов во входном потоке пакетов.

3.4.3. Обоснование выбора ошибок первого и второго рода при обнаружении изменений интенсивности входного потока пакетов.

3.5. Сравнительный аспект своевременности и достоверности обнаружения компьютерных атак системами обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

3.6. Исследование свойств разработанных алгоритмов обнаружения компьютерных атак системами обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

Выводы по 3 разделу.

4. НАУЧНО-ТЕХНИЧЕСКИЕ ПРЕДЛОЖЕНИЯ ПО ПРАКТИЧЕСКОЙ РЕАЛИЗАЦИИ АЛГОРИТМОВ ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК СИСТЕМАМИ ОБНАРУЖЕНИЯ АТАК ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ ОРГАНОВ ГОСУДАРСТВЕННОГО И МУНИЦИПАЛЬНОГО УПРАВЛЕНИЯ.

4.1. Блок-схема обобщенного алгоритма обнаружения компьютерных атак системами обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления по структурным и статистическим признакам.

4.2. Аппаратная реализация алгоритмов обнаружения компьютерных атак в локальных вычислительных сетях органов государственного и муниципального управления.

4.3. Программная реализация алгоритмов обнаружения компьютерных атак системами обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

4.4. Оценка разработанных решений на модели функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

4.5. Эффективность обнаружения компьютерных атак системами обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

Выводы по 4 разделу.

Постоянное развитие потребностей практики обуславливает на основе общего прогресса науки, техники и технологий непрерывное развитие различного рода систем, в том числе информационных.

Человечество на современном этапе развития немыслимо без информации, без процессов ее обслуживания. Потребность одних людей в тех или иных сведениях формирует желание других узнать эти сведения и тем самым получить для себя какие-либо преимущества. «Глаза и уши, охочие до чужих секретов всегда найдутся» (Леонардо да Винчи). Поэтому XXI век, называемый «веком информации», следует считать и веком защиты ее от различных угроз.

Проблеме защиты информационных ресурсов посвящено значительное количество публикаций, как в России, так и за рубежом, например [1-11]. Формальное осознание этого факта не означает автоматического решения всех возникающих вопросов. Сегодня заложены основы правовых отношений в области информационной безопасности [12-16]. В частности, [12] закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности, ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.

Федеральный закон [16] регулирует отношения, возникающие при: формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

Однако мировой опыт показывает, что при значительном различии в развитости юридических основ количество удачных попыток хищения информационных ресурсов неуклонно возрастает. Сложившуюся ситуацию частично характеризуют следующие данные: ежегодные потери только делового сектора Соединенных Штатов Америки (США) от несанкционированного проникновения в информационные базы данных составляет от 150 до 300 млрд. долларов; • ежегодный ущерб от хищения и мошенничества достигает 5 млрд. долларов; современные системы и средства защиты фиксируют менее 5 % фактов несанкционированного доступа к защищаемой информации [4].

На современном этапе в Российской Федерации в рамках проблемы защиты информационных ресурсов остается много нерешенных задач; проблема остается приоритетной как на международном, так и на национальном уровне.

Особенно важное значение проблема защиты информации приобретает в локальных вычислительных сетях органов государственного и муниципального управления (далее по тексту - ЛВС органов) [17, 18].

В настоящее время актуальность и важность проблемы защиты информации в ЛВС органов обусловлены следующими причинами: значительным увеличением объемов информации хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации в органах государственного и муниципального управления; сосредоточением в единых базах данных информации различной степени секретности или конфиденциальности; быстрым ростом парка персональных компьютеров, находящихся в эксплуатации в различных административно-территориальных уровнях управления и различных организациях государства; расширением круга пользователей, имеющих непосредственный доступ к данным и вычислительным ресурсам; объединением ЛВС органов в корпоративные сети с возможностью выхода в информационно-телекоммуникационные сети (ИТС); внедрением импортных аппаратных и программных средств, а также сетевых технологий, не удовлетворяющих требованиям по защите информации; нарушением принципов разработки и внедрения защищенных от несанкционированных воздействий (НСВ) информационно-расчетных систем и т. п. широким распространением общедоступных веб-узлов (Интернет - портала) органов государственного управления, на которых публикуется информация федерального значения.

Одним из важнейших направлений защиты от угроз информации в ЛВС органов, является своевременное и достоверное обнаружение попыток НСВ на ресурсы ЛВС, например, посредством компьютерных атак (КА), с помощью вирусов, программных и аппаратных закладок и т. п.

Компьютерные атаки на ЛВС органов могут осуществлять представители криминальных структур и террористических организаций, хакеры и т. п.

Компьютерные атаки на ЛВС органов приводят к возможности реализации угроз безопасности информации, в частности в аспекте ее доступности легальным пользователям.

Для защиты информации от КА в настоящее время используются системы их обнаружения, способные обеспечить предупреждение об их появлении на начальном этапе воздействия. При этом минимальный срок предупреждения должен быть меньше времени, необходимого для принятия адекватных мер, но не может быть больше, чем время, за которое проявится определенная репрезентативная выборка признаков, характеризующих К А.

В настоящее время в мире существует большое количество разновидностей КА. Наиболее часто реализуемыми являются компьютерные атаки типа «отказ в обслуживании» [1, 4, 5].

Использование данного типа КА для нанесения ущерба, в том числе функционированию ЛВС органов, обусловлено простотой их организации, малой стоимостью, отсутствием необходимости глубоких знаний компьютерных технологий и языков программирования для их реализации.

Перечисленные особенности КА типа «отказ в обслуживании» делают их достаточно широко применяемыми на практике, что объективно требует поиска путей защиты ЛВС органов.

В настоящее время по поиску путей решения данной задачи ведутся теоретические исследования, результаты которых приведены в ряде источников, в частности [19-29]. Наиболее близкими к текущим исследованиям, из вышеперечисленных, являются работы [26-29]. Однако, результаты, приведенные, например, в [27], проведены для нераспределенной КА 8УКГ-йоос1, относящейся к КА типа «отказ в обслуживании». При этом, другим К А того же типа не уделено внимания.

Предлагаемые в [29] основы адаптивной защиты информации от несанкционированного доступа (НСД) не затрагивают методы обнаружения КА.

В работе, которая близка к,текущим исследованиям в предметной области [26], рассматривается случай обнаружения КА только по сигнатуре, что не позволяет обнаруживать изменения в частости поступления пакетов как в потоке в целом, так и в парциальных потоках, его составляющих.

Над решением задачи обнаружения КА типа «отказ в обслуживании» с целью внедрения полученных результатов в современные и перспективные комплексы в настоящее время работает ряд научных, научно-производственных и других учреждений, например, ОАО «Синтерра», ОАО «РНТ», Военная академия связи им. С.М. Буденного, Московский институт новых информационных технологий ФСБ России и другие.

Среди рекомендаций по повышению эффективности систем обнаружения компьютерных атак (СОА) предлагается: методический аппарат для идентификации типа КА, а также аппарат распределения вычислительных ресурсов программно-аппаратных комплексов обнаружения компьютерных атак при организации противодействия удаленному НСД; зависимость показателя оценки эффективности функционирования локальной вычислительной сети в условиях реализации КА от параметров сети; методика определения коэффициента защищенности локальной вычислительной сети в условиях функционирования КР; основы адаптивной защиты информации от НСД в особых условиях функционирования локальных вычислительных сетей - в информационном конфликте.

Ценность данных результатов бесспорна. В них на соответствующем этапе нашли решение различные задачи, стоящие перед системой защиты ЛВС органов.

Однако, в них не исследован ряд вопросов, в частности, оценивания интенсивности приема пакетов как для потока в целом, так и для парциальных потоков его составляющих, адаптивный поиск признаков в словаре признаков COA и ряд других.

Достоверный и своевременный анализ интенсивности пакетов в ЛВС органов, их структуры, позволит повысить эффективность обнаружения КА.

Исходя из этого, объектом научных исследований является COA ЛВС органов, а предметом - обнаружение KA COA ЛВС органов.

Цель исследований: повысить эффективность обнаружения компьютерных атак системами обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

Для достижения поставленной цели в научных исследованиях сформулирована научная задача: на основе исследования условий функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления и возможностей ведения в них компьютерной разведки разработать алгоритмы обнаружения компьютерных атак и научно-технические предложения по их практической реализации.

Для решения сформулированной задачи необходимо: классифицировать КА и средства защиты от них локальных вычислительных сетей, в частности органов государственного и муниципального управления; рассмотреть структуру и условия функционирования COA; оценить эффективность существующих COA по внешним и внутренним критериям; разработать модель обнаружения KA COA ЛВС органов; разработать алгоритмы обнаружения KA COA ЛВС органов; сформулировать научно-технические предложения по реализации алгоритмов обнаружения KA COA ЛВС органов.

Необходимость решения данных задач определяет актуальность диссертационной работы.

В качестве научного метода исследования принят системный анализ.

Для решения научной задачи использовался математический аппарат теории вероятностей, теории распознавания образов, теории случайных процессов, теории графов, методы интегральных и дифференциальных исчислений.

Структура диссертационной работы: введение, четыре раздела, заключение, список используемой литературы (105 наименований), приложения.

В первом разделе проведено исследование условий функционирования ЛВС органов: рассмотрены угрозы безопасности функционирования ЛВС органов как объектов компьютерных воздействий; проведено исследование КА как основного источника угроз безопасности функционирования ЛВС органов; рассмотрены современные технологии и средства защиты ресурсов ЛВС органов от компьютерных воздействий; проведен анализ существующих подходов к обнаружению KA COA ЛВС органов; обоснованы показатели и критерии эффективности обнаружения KA COA ЛВС органов.

Во втором разделе на основе детального исследования физических процессов функционирования ЛВС органов разработана модель функционирования COA ЛВС органов, позволяющая рассчитать среднее относительное время пребывания ЛВС органов в состояниях, обусловленных особенностями их функционирования; доказана адекватность разработанной модели реальному объекту ранговым методом и методом единичных наблюдений.

В третьем разделе разработаны алгоритмы обнаружения КА по структурным и статистическим признакам, позволяющие обеспечивать их своевременное и достоверное обнаружение COA ЛВС органов, проанализированы их свойства.

В четвертом разделе на основе разработанных алгоритмов обнаружения КА разработаны научно-технические предложения по их реализации COA ЛВС органов.

В «заключении представлены итоговые результаты диссертационного исследования в рамках поставленной научной задачи, сформулированы основные выводы и определены направления дальнейших исследований.

В приложениях представлены основные расчетные материалы и справочные данные.

Объем диссертационной работы составляет 181 страницу, включая 4 таблицы и 45 рисунков.

При решении научной задачи в работе получены следующие результаты, предлагаемые к защите:

ЬМоделй функционирования систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

2. Алгоритмы обнаружения компьютерных атак систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

3. Научно-технические предложения по реализации алгоритмов обнаружения компьютерных атак систем обнаружения атак локальных вычислительных сетей органов государственного и муниципального управления.

Научная новизна полученных результатов исследования заключается в том, что впервые:

1. Разработана модель функционирования СОА ЛВС органов для наихудших условий обнаружения КА, отличающаяся от существующих тем, что: а) имеется возможность анализа и оценки времени процессов приема и обработки пакетов в условиях максимального входного трафика; б) полученные аналитические выражения позволяют рассчитать значения вероятностей состояний СОА в любой момент времени; в) имеется возможность сравнительного анализа времени пребывания СОА в различных состояниях.

2. Разработаны алгоритмы обнаружения КА по структурным и статистическим признакам СОА ЛВС органов, отличающиеся от существующих тем, что: а) осуществляется поиск признаков в словаре признаков по своевременности при заданной достоверности; б) разработан подход к анализу структуры пакета с целью определения наличия КА в нем; в) предложен подход к обнаружению КА по статистическим признакам; г) математически обоснован выбор величин ошибок первого и второго рода.

3. Разработаны научно-технические предложения по реализации алгоритмов обнаружения KA COA ЛВС органов, отличающиеся тем, что: а) разработана блок-схема обобщенного алгоритма обнаружения КА COA ЛВС органов по структурным и статистическим признакам; б) разработана аппаратно-программная реализации алгоритмов обнаружения KA COA ЛВС органов по структурным и статистическим признакам; в) предложены зависимости и расчеты показателя эффективности обнаружения KA COA ЛВС органов.

Достоверность полученных результатов обеспечивается: обоснованностью вводимых допущений и ограничений; корректным выбором математического аппарата; ясной физической трактовкой общих и частных показателей; отсутствием противоречий с результатами, полученными другими авторами.

Теоретическая ценность заключается в том, что проведенные исследования углубляют и расширяют содержание теорий обработки информации, распознавания образов в аспекте обнаружения КА.

Практическая значимость исследования заключается в возможности использования разработанных модели и алгоритмов, и полученных на их основе результатов и предложений при проектировании и эксплуатации COA ЛВС органов с учетом возможности воздействия КА типа «отказ в обслуживании».

Полученные в диссертации новые теоретические и практические результаты использованы при проведении занятий по курсам повышения квалификации «Основы защиты информации», «Противодействие компьютерному терроризму», «Программно-аппаратные средства обеспечения информационной безопасности ЛВС» Московского института новых информационных технологий (акт использования вх. № 25/75 от 27.05.2009 г.); реализованы в качестве модуля специального программного обеспечения при создании COA защищенной ЛВС ООО «Масса» (акт реализации вх. № 25/456 от 11.11.2009 г.); использованы в научных исследованиях ЗАО «Синтерра» г. Москва (акт использования результатов вх. № 25/272 от 06.09.2010 г.);

Апробации. Научная сессия МИФИ-2009 «Информационно-телекоммуникационные системы. Проблемы информационной безопасности в системе высшей школе. Экономика, инновации и управление», г. Москва, 2009 г.

VIII межведомственная научно-практическая конференция «Актуальные проблемы правового обеспечения обороны страны и безопасности государства», г. Москва, 2009 г.

Научно-практическая конференция «Вопросы обеспечения информационной безопасности в органах безопасности», г. Москва, 2009 г.

VIII Межведомственная конференция «Научно-техническое и информационное обеспечение деятельности спецслужб», г. Москва, 2010 г.

XXIX Всероссийская научно-техническая конференция «Проблемы эффективности и безопасности функционирования сложных технических и информационных систем», г. Серпухов, 2010 г.

Публикации: Основные научные результаты исследований опубликованы в 14 работах, в том числе 7 статей, (из них 3 в издании из списка ВАК), 2 учебных пособия, 1 монография и тезисы 3 докладов.

Выводы по 4 разделу

1. Программная реализации алгоритмов обнаружения КА обеспечивает условия для, во-первых, создания реальных изделий (устройств); во-вторых, их применения в качестве СОА ЛВС органов; в-третьих, повышения эффективности обнаружения КА СОА ЛВС органов.

2. Предложенные алгоритмы (см. раздел 3, рис. 3.3, 3.4, 3.11, 4.1) в СОА, обеспечивают обнаружение КА в реальном масштабе времени в структурно-статистической метрике. Однако, возникает необходимость оценки предлагаемых решений. Поэтому на следующем шаге проведено сравнение существующих и предлагаемых решений.

3. Проведенные на модели функционирования ЛВС органов исследования позволяют утверждать, что использование разработанных предложений позволит снизить временные затраты на обнаружение КА.

4. Проведенные расчеты эффективности обнаружения КА СОА ЛВС органов для существующих и предлагаемых алгоритмов обнаружения КА позволяют сделать вывод о том, что внедрение разработанных алгоритмов обнаружения КА в практику (см. раздел 3, рис. 3.3, 3.4, 3.11, 4.1) в виде программных средств позволит повысить значения внутренних и внешних показателей и тем самым обеспечит условие: ЭФпрсдл > ЭФсущ.

5. Предложенная программная реализации разработанных алгоритмов обнаружения КА представляют собой научно-технические предложения, которые обеспечивают выполнение условия ЭФпредл > ЭФсущ и позволяют говорить о том, что третий научный результат достигнут.

ЗАКЛЮЧЕНИЕ

Развитие основных тенденций в мире позволяет утверждать, что наряду со снижением угрозы возникновения всеобщей ядерной войны в мире усилились или вновь появились другие угрозы в диапазоне: от локальных войн до террористических актов. Мировая цивилизация за время существования не нашла от них панацеи, но накопленный опыт позволил выработать ряд подходов, существенно снижающих (исключающих) негативные последствия от вооруженных конфликтов. Одной из реальных угроз является информационный конфликт (применительно к ЛВС органов), объектами которого становятся как информация, хранимая, обрабатываемая и передаваемая в интересах решения прикладных задач пользователей, а также ЛВС органов, т. е. все доступные для воздействия ресурсы. Для снижения последствий информационного конфликта разработаны различные подходы. Одним из таких подходов является создание и совершенствование COA, позволяющих на ранних стадиях обнаруживать негативные воздействия.

В условиях роста сложности и объемов информации, циркулирующей в ЛВС органов, COA сталкиваются с рядом проблем при достижении стоящих перед ними задач, в частности, с проблемой своевременного и достоверного обнаружения воздействий. Иными словами, рост объема и сложности информации, циркулирующей в ЛВС органов, ведет к обострению одного из глобальных противоречий между своевременностью и достоверностью обнаружения воздействий COA.

Сложившееся положение дел с COA на современном отрезке времени в контексте сформулированного противоречия отрицательно сказывается на всем процессе обнаружения воздействий: либо обеспечивается требуемая достоверность, но затрачивается время больше допустимого; либо выполняются требования по своевременности, но уровень достоверности снижается ниже допустимого.

Для настоящего времени характерно следующее противоречие: либо обеспечивается требуемая достоверность, но затрачивается время больше допустимого; либо выполняются требования по своевременности, но уровень достоверности снижается ниже допустимого.

Решением данной задачи является разработка алгоритмов обнаружения КА СОА ЛВС органов, способных своевременно с требуемой достоверностью обнаруживать их.

В работе основной акцент сделан на разработке алгоритмов обнаружения КА СОА ЛВС органов и научно-технических предложений по их практической реализации.

Существенные научные результаты работы:

1) Модель функционирования СОА ЛВС органов, включающая модели процессов приема пакетов, предварительных решений, сборки файлов и поиска признаков в словаре признаков, отличающаяся возможностью расчета значений относительного времени пребывания пакетов в элементах СОА в условиях максимального входного трафика, позволяющая адекватно отображать процессы обнаружения КА.

2) Алгоритмы обнаружения компьютерных атак СОА ЛВС органов, включающие совокупность структурно-статистических способов обнаружения признаков КА, отличающиеся адаптивностью к поиску признаков в словаре признаков; обоснованностью и оперативностью выбора ошибок первого и второго рода в статистических решениях при обнаружении КА, позволяющие повысить своевременность обнаружения КА.

3) Научно-технические предложения по реализации алгоритмов обнаружения КА СОА ЛВС органов, позволяющие на практике повысить эффективность обнаружения КА.

В совокупности научные результаты представляют собой решение сформулированной выше научной задачи, обусловленной противоречием между своевременностью и достоверностью обнаружения КА СОА ЛВС органов, посредством разработки алгоритмов обнаружения КА и научно-технических предложений по их практической реализации и позволяют достигнуть цели исследований.

Таким образом, полученная в работе совокупность научных результатов позволяет утверждать, что, во-первых, научная задача в теоретическом аспекте решена и цель исследований достигнута, во-вторых, использование на практике разработанных научно-технических предложений не только возможно, но и целесообразно; в-третьих, реальное применение полученных результатов в виде технического и программного обеспечения повысит эффективность обнаружения КА в условиях роста объема и сложности информации, поступающей в ЛВС органов.

В итоге отметим, что автор не претендует на полное и окончательное решение проблемы обнаружения К А СО А ЛВС органов. Дальнейшими направлениями исследований в данной проблемной области могут являться: 1) разработка структуры словарей признаков, позволяющей осуществлять поиск на основе использования хэш-функции; 2) разработка более детальных моделей процессов обнаружения К А СО А ЛВС органов; 3) изучение признакового пространства предметной области с целью выделения более «тонких» характеристик и параметров, через которые она проявляется; 4) разработка способов анализа и оценки информации в структурно-статистической метрике; 5) разработка способов анализа и оценки информации по семантике и т.д.

Дальнейшим развитием исследований вне рамок области обнаружения КА СОА ЛВС органов может быть разработка методов классификации (идентификации) состояний интенсивности входного трафика на основе применения математического аппарата интеллектуального анализа данных, в частности, многомерного статистического анализа; метода группового учета аргументов; анализа и прогноза на основе нейронных сетей и т.д.

1. Сердюк В.А. Новое в защите от взлома корпоративных систем. М.: Техносфера, 2007. - 360 с.

2. Брэг Р., Родс-Оусли М., Страссберг К. Безопасность сетей. Полное руководство./ пер. с англ. М.: Издательство «ЭКОМ», 2006. - 912 с.

3. Девянин П.Н, Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности: Учебное пособие для вузов. М.: Радио и связь, 2000. - 192 с.

4. Запечников C.B., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность открытых систем: Учебник для вузов. В 2-х томах. Том 1 Угрозы, уязвимости, атаки и подходы к защите. - М.: Горячая линия - Телеком, 2006. - 536 с.

5. Запечников C.B., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность открытых систем: Учебник для вузов. В 2-х томах. Том 2 Средства защиты в сетях. - М.: Горячая линия - Телеком, 2008. - 558 с.

6. Зима В., Молдовян А., Молдовян Н. Безопасность глобальных сетевых технологий. СПб.: БХВ-Петербург, 2003. - 368 с.

7. Липатников В.А., Стародубцев Ю.И., Защита информации. СПб.: ВУС, 2001.-348 с.

8. Лукацкий А. В. Обнаружения атак. СПб.: БХВ-Петербург, 2001. -624 с.

9. Норткат С., Новак Дж. Обнаружение нарушений безопасности в сетях. 3-е издание: Пер. с англ. М.: Издательский дом "Вильяме", 2003.

10. Тараскин M. М., Денисенко В. Д. Обзор результатов ряда исследований по проблеме обнаружения компьютерных атак. VIII Межведомственная конференция «Научно-техническое и информационное обеспечение спецслужб» М.: 2010

11. Шиффман Майк. Защита от хакеров. Анализ 20 сценариев взлома. : Пер. с англ. М.: Издательский дом «Вильяме», 2002. - 304 с.

12. Закон РФ «О безопасности», № 15 ФЗ от 07.03.2005.

13. Закон РФ «О государственной тайне», № 122 ФЗ от 22.08.2004.

14. Закон РФ «О персональных данных», № 152 ФЗ от27.07.2006.

15. Доктрина информационной безопасности. От 9 сентября 2000 г. №ПР 1895

16. Закон РФ «Об информации, информационных технологиях и защите информации», № 149 ФЗ от 27.07.2006.

17. Послание Президента РФ Федеральному собранию. 2010.

18. Лось В. П., Белов Е. Б., Мещеряков Р. В., Шелупанов А. А. Основы информационной безопасности. Учебное пособие для вузов / -М.: Горячая линия Телеком, 2006. - 544 с.

19. Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных системах. М.: Горячая линия -Телеком, 2001.- 148 с.

20. Дорошенко И. Н. Повышение производительности систем выявлениявторжений. Диссертация - Пенза.: ПГУ, 2008.

21. Гамаюнов Д. Ю. Обнаружение компьютерных атак на основе анализа поведения сетевых объектов. Диссертация - М.: МГУ, 2007.

22. Жульков Е. В. Построение модульных нейронных сетей для обнаружения класса сетевых атак. Диссертация - СПб.: СПб ГПУ, 2007.

23. Сыпин А. А. Модель и методика обнаружения несанкционированных действий и атак в сетях TCP/IP. Диссертация - Тула.: ТГУ, 2006.

24. Дружинин Е. JL Разработка методов и программных средств выявления аномальных состояний компьютерной сети. — Диссертация М.: МИФИ, 2005.

25. Тарасюк М. В. Защищенные информационные технологии. Проектирование и применение. М.: Солон-Пресс, 2004. - 192 с.

26. Максимов Р. В. Защита абонентских пунктов воинских частей (учреждений) от компьютерной разведки. Диссертация. - СПб.: ВУС, 2002. -213 с.

27. Федяков Е. Г. Защита информации в локальных вычислительных сетях воинских частей и учреждений от несанкционированного воздействия. Диссертация. - СПБ.: ВУС, 2004. - 195 с.

28. Подлигалин С. Н. Защита локальных вычислительных сетей воинских частей (учреждений) от компьютерной разведки. Диссертация. -СПб.: ВАС, 2005.-с.

29. Бочков М. В. Теоретические основы адаптивной защиты информации в вычислительных сетях от несанкционированного доступа. Монография. Под редакцией С. П. Бушуева и В. Ф. Комаровича - Орел: Академия Спецсвязи России, 2004. - 224 с.

30. ГОСТ 34.003 90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения, 1990.

31. ГОСТ Р 17799 2005. Информационная технология. Практические правила управления информационной безопасностью, 2005.

32. Алгулиев Р. М. Угрозы корпоративным сетям и формализация их отношений с системами защиты. Баку: АзНИИ НТИ, 2000.

33. Гетманцев A.A., Липатников В.А., Плотников A.M., Сапаев Е.Г. Безопасность ведомственных информационно-телекоммуникационных систем. Под редакцией В.А. Липатникова. СПб.: ВАС, 1997. - 200 с.

34. Губарев В. А., Крутских П. П. Концептуальная модель конфликта в информационной борьбе // Радиотехника, 1998. № 6. - с. 29-31.

35. Шевцов В. А. Информационное противоборство как крайнее проявление конфликта в информационном пространстве // Радиотехника, 2001. № З.-с. 87-93.

36. Защита от несанкционированного доступа к информации. Термины и определения. М.: Материалы Гостехкомиссии, 1992. - 12 с.

37. Гриняев С. Н. Интеллектуальное противодействие информационному оружию. М.: СИНТЕГ, 1999. - 232 с.

38. Осипов В. Ю. Концептуальные положения программного подавления39