автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Методика защиты информации в беспроводных сетях на основе динамической маршрутизации трафика

На правах рукописи

Никонов Вячеслав Игоревич

МЕТОДИКА ЗАЩИТЫ ИНФОРМАЦИИ В БЕСПРОВОДНЫХ СЕТЯХ НА ОСНОВЕ ДИНАМИЧЕСКОЙ МАРШРУТИЗАЦИИ ТРАФИКА

05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

1 6 ЛЕН 2010

Томск 2010

004617793

Работа выполнена в ГОУ ВПО «Омский государственный технический

университет»

Научный руководитель:

доктор технических наук профессор Файзуллин Рашит Тагирович

Официальные оппоненты:

доктор физико-математических наук Тимченко Сергей Викторович (Томский государственный университет систем управления и радиоэлектроники)

кандидат технических наук доцент Новиков Сергей Николаевич (Сибирский государственный университет телекоммуникаций и информатики, г. Новосибирск)

Ведущая организация:

Омский государственный университет путей сообщения

Защита состоится « 29 » декабря 2010 г. в 12:30 часов на заседании диссертационного совета Д212.268.03 при Томском государственном университете систем управления и радиоэлектроники по адресу: 634050, г. Томск, пр. Ленина, 40.

С диссертацией можно ознакомиться в библиотеке Томского государственного университета систем управления и радиоэлектроники по адресу: г. Томск, пр. Ленина, 40.

Автореферат разослан « 23 » ноября 2010 г.

Ученый секретарь ,,

диссертационного совета __ /{¿и^^'" Р.В. Мещеряков

¿У

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы. Развитие информационных технологий ставит актуальные задачи повышения надежности функционирования компьютерных сетей. Для решения таких задач необходимы исследования существующих сетевых протоколов, сетевых архитектур, разработка способов повышения безопасности при передаче информационных ресурсов по сети.

Выбор в пользу беспроводных технологий позволяет получить преимущества в скорости, мобильности. Появление нового класса широкополосных беспроводных сетей с ячеистой структурой (меш-сети) позволило достичь значительного увеличения зоны информационного покрытия. Основным достоинством данного класса сетей является наличие особых устройств - меш-порталов, позволяющих интегрировать в меш-сеть другие беспроводные сети (WiMAX, Wi-Fi, GSM) и Интернет, а значит, и предоставить пользователю всевозможные сервисы этих сетей.

К недостаткам меш-технологии можно отнести тот факт, что протоколы маршрутизации меш-сети весьма специфичны, а их разработка - сложная задача с множеством критериев и параметров. При этом существующие протоколы требуют значительных доработок в вопросах повышения безопасности и надежности передачи информации.

Сетевые атаки, сбои и отказы сетевого оборудования - основные факторы, влияющие на безопасность передачи информации в распределенных беспроводных сетях. Проблемой обеспечения безопасности передачи информации в распределенных беспроводных сетях занимались I. Akyildiz, W.Wang, X.Wang, Т. Dorges, N. Ben Salem. Под обеспечением безопасности передачи информации в компьютерной сети понимается защита ее конфиденциальности, целостности и доступности.

Среди методов обеспечения доступности информации в беспроводных сетях исследователями выделяется комбинирование различных методов контроля, дублирования, резервирования. Целостность и конфиденциальность информации в беспроводных сетях обеспечивается методами построения виртуальных каналов, основанных на применении криптографических инструментов.

Общий недостаток данных методов - снижение производительности сети, связанное с требованиями к дополнительной обработке передаваемой информации. Указанный недостаток особенно критичен для передачи цифровой видеоинформации. Кроме того, совершенствование методов криптоанализа все более снижает надежность существующих криптоалгоритмов.

Из вышесказанного следует вывод о необходимости разработки новых способов защиты информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак. В связи с этим тема работы является актуальной и практически важной.

Целью диссертационной работы является разработка методики защиты информации при передаче в распределенных беспроводных сетях, основанной

на применении алгоритма динамической маршрутизации трафика в условиях воздействия преднамеренных атак. Задачи работы

1. Анализ рекомендаций стандартов IEEE 802.11 по защите информации в распределенных беспроводных сетях.

2. Исследование алгоритмов динамической маршрутизации трафика в распределенных сетях.

3. Исследование методов защиты информации в распределенных беспроводных сетях.

4. Исследование видов атак в распределенных компьютерных сетях, анализ специфики атак в беспроводных сетях.

5. Разработка алгоритма динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.

6. Разработка на базе алгоритма приложения «маршрутизируемый сервис», реализующего методику защиты информации при передаче в распределенных беспроводных сетях.

7. Реализация программных модулей «маршрутизируемого сервиса» передачи информации.

8. Исследование вариантов воздействия сетевых атак на «маршрутизируемый сервис». Вычисление оценок успешных реализаций сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса».

9. Разработка алгоритма генерации потока сетевых атак.

10.Разработка прототипа «маршрутизируемого сервиса» для экспериментальной проверки предложенной методики защиты.

Объектами исследования являются компьютерные сети, распределенные беспроводные сети с ячеистой структурой (меш-сети), процессы передачи информации и процессы реализации различных видов атак на передаваемую информацию и сетевые устройства в распределенных беспроводных сетях.

Предметы исследования: стандарты группы IEEE 802.11, сетевые атаки, методы защиты информации в беспроводных сетях, алгоритмы динамической маршрутизации трафика в беспроводных сетях.

Методы исследований. В диссертационной работе используются методы математического моделирования, теории графов, теории множеств, теории вероятности и математической статистики. Для подтверждения полученных теоретических результатов проведены экспериментальные исследования и моделирование, с использованием сред программирования Visual Basic Script, Windows Management Instrumentarium, Shell, Awk.

Достоверность научных положений, выводов и рекомендаций подтверждается корректной постановкой задач, строгостью применяемого математического аппарата, результатами численного моделирования, положительными ре-

зультатами апробации программы, реализующей предложенную методику защиты информации при передаче в беспроводных сетях.

Научная новизна. В диссертационной работе получены следующие научные результаты.

1. Предложена методика защиты информации в распределенных беспроводных сетях, основанная на применении приложения «маршрутизируемый сервис».

2. Разработан алгоритм динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.

3. Описаны варианты реализации воздействия на разработанную систему. Даны оценки успешным реализациям сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса». Разработан алгоритм генерации потока сетевых атак.

4. Реализованы программные модули прототипа «маршрутизируемого сервиса» Произведена апробация прототипа в распределенной сети.

Практическая значимость подтверждена апробацией прототипа разработанной системы в распределенной сети. Результаты диссертационного исследования отмечены дипломом Н-степени на IX Всероссийском конкурсе студентов и аспирантов по информационной безопасности «SIBINFO-2009».

Разработанная методика прошла внедрение в системы передачи информации ОАО «Омскводоканал и ГОУ ВПО «Омский государственный технический университет». Результаты диссертационной работы используются в учебном процессе ГОУ ВПО «Омский государственный технический университет».

Предлагаемая в диссертации методика может использоваться в качестве базы для дальнейших исследований.

Апробация работы. Результаты работы представлялись на научных конференциях и семинарах.

1. IX Всероссийский конкурс студентов и аспирантов по информационной безопасности «SIBINFO-2009», диплом Н-степени. (2009, г. Томск).

2. VIII Сибирская научная школа-семинар с международным участием «Компьютерная безопасность и криптография - SYBECRYPT-09» (2009, г. Омск).

3. VII Международная научно-техническая конференция «Динамика систем, механизмов и машин» (2009, г. Омск).

4. IV Научно-практическая конференция молодых специалистов западносибирского банка Сбербанка России «Современный опыт использования информационных технологий в банковском бизнесе» (2008, г. Тюмень).

5. Всероссийская научно-техническая конференция «Россия молодая: передовые технологии в промышленность» (2008, г. Омск).

6. Конференция-конкурс «Технологии Microsoft в теории и практике программирования» (2008, г. Новосибирск).

Публикации. Результаты диссертации отражены в 15 публикациях, в том числе в двух публикациях в изданиях, рекомендованных ВАК.

Структура и объём работы. Диссертационная работа состоит из введения, трех глав, заключения, списка литературы и трех приложений. Общий объем работы составляет 116 страниц, в том числе 26 рисунков и 3 таблицы. Список литературы насчитывает 82 наименования.

Личный вклад

Все исследования, изложенные в диссертационной работе, проведены автором в процессе научной деятельности. Все результаты, выносимые на защиту, получены автором лично, заимствованный материал обозначен в работе ссылками.

Основные положения, выносимые на защиту

1. Методика защиты информации в распределенных беспроводных сетях, основанная на использовании приложения «маршрутизируемый сервис».

2. Алгоритм динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.

3. Оценки успешных реализации сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса». Алгоритм генерации потока сетевых атак.

4. Программная реализация модулей «маршрутизируемого сервиса» передачи информации и экспериментальная проверка разработанной методики.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность исследуемой в диссертации проблемы, формулируются основные цели и задачи исследования. Обосновывается научная новизна и значимость работы.

В первой главе анализируются рекомендации стандартов IEEE 802.11 по обеспечению безопасности передачи информации в беспроводных сетях. Исследуются основные виды уязвимости компьютерных сетей, раскрывается специфика уязвимостей беспроводных сетей. Рассматриваются существующие технологии защиты информации в распределенных беспроводных сетях, анализируются их достоинства и недостатки. В результате проведенного обзора делается вывод, что существующие методы защиты является узкоспециализированными при противодействии угрозам информации. Также большинство методов не применимы в силу различных ограничений для обеспечения безопасности передачи ресурсоемких видов информации, в том числе потокового видео. Данный факт предопределяет необходимость разработки и реализации специализированных методов защиты информации при передаче в распределенных беспроводных сетях, направленных на решение поставленных задач.

В заключение главы формулируются цели и задачи диссертационной работы.

Во второй главе приводится описание разработанной методики защиты информации при передаче в распределенных беспроводных сетях и её главных параметров: доверенных серверов, алгоритма динамической маршрутизации, приложения «маршрутизируемый сервис», оценок успешной реализации преднамеренных атак, алгоритма генерации потока сетевых атак.

Вводятся следующие обозначения.

SM- «маршрутизируемый сервис» - клиент-серверное приложение, позволяющее пользователю передавать информацию специфичным маршрутом.

SM~ {Sus > Syc\.

Suc- клиентская часть SM, которая устанавливается на компьютерах пользователей и предоставляет диалог для инициализации процесса передачи информации с помощью «маршрутизируемого сервиса».

Sus - серверная часть SM, которая устанавливается на доверенном сервере и выполняет динамическую маршрутизацию информации, поступающего на этот сервер.

SMs={Fs,FsdtKm,M,f}.

Fs = {Fsi, FS2, ..., Fs, ..., FSf} - множество доверенных серверов сети. Под доверенным сервером понимается многофункциональный сервер распределенной беспроводной сети, к которому нарушитель не имеет доступа.

F- N - количество доверенных серверов сети.

F/осш = {Fso<™ Fsôoc^ _ Fsàocmi ( Fsrôoan} — множество,описывающее количество доступных доверенных серверов в начальный момент времени to, а затем через интервалы времени, равные т. F& жт - количество доступных доверенных серверов для Fs„ '6 [U^J.

М = {Mi, М2, ..., Mj, ..., Mf} - множество матриц маршрутизации. Матрица маршрутизации М, формируется на сервере Fsï в начальный момент времени tg, а затем переформировывается через интервалы т, 'е l^-H. Каждая матрица Mi6 Кч содержит элементы mkj, характеризующие доступность доверенных серверов относительно друг друга из F$„ к е ['> J е П. .

/ - параметр, определяющий количество используемых доверенных серверов на всем маршруте от отправителя до получателя в течение одного сеанса (размер «кластера сеанса передачи»).

Предлагаемая методика представлена на рис. 1 в виде IDEF диаграммы.

Методика включает последовательность следующих действий.

1. Анализ топологии распределенной сети. Выбор устройств сети для роли «доверенный сервер».

2. Установка и настройка SMS на доверенных серверах, Smc на рабочих станциях.

3. Выбор параметров передачи Здс-

4. Передача данных через доверенные сервера на основе алгоритма динамической маршрутизации.

5. Прием данных получателем, сбор статистики по построенным маршрутам, оценки реализаций возможных атак.

author:

PROJECT:

DATE REV:

RECOMMENDED

L Топология сети Методика I"

Данные

Графы

Морда» ,ние Приложение каналы св он 'Маршрутизируемый Администраторы сервис"

Рис. 1. Методика защиты информации в распределенных беспроводных сетях.

Главной особенностью предложенного подхода является применение динамической маршрутизации для цели защиты информации.

Разработанный алгоритм динамической маршрутизации информации в распределенных беспроводных сетях, описывается следующими этапами. Шаг 1. Вычисление элементов множеств М и /г/0"" в начальный момент времени Ьх

Шаг 2. Инициализация передачи. При поступлении запроса на инициализацию сеанса передачи данных выполнить следующие действия:

2.1. запросить значение параметра/;

2.2. создать пакет инструкций, содержащий ¡р-адрес отправителя, ¡р-адрес получателя, значение/и раздел «доверенные сервера»;

2.3. используя операцию рандомизации, получить псевдослучайное число к;

2.4. проверить доступность ^ , если сервер недоступен - вернуться к п.2.3;

2.5. сформировать пакет данных и промаркировать его как пакет 5'м;

2.6. отправить пакет данных и пакет инструкций на доверенный сервер Если требуется дальнейшая передача данных - вернуться к п.2.5;

2.7. завершить работу Suc Шаг 3. Динамическая маршрутизация на доверенном сервере FSl:

3.1. переформировать матрицу маршрутизации в случае, если разность текущего времени и времени последнего изменения M, больше /. При получении пакетов SM-перейти к п.3.2;

3.2. открыть полученный пакет инструкций, в раздел «доверенные сервера» добавить ¡р-адрес FSl;

3.3. если количество записей в разделе «доверенные сервера» равно/, отправить пакеты данных, относящиеся к данному пакету инструкций, на ip-адрес получателя и вернуться на п.3.1;

3.4. используя операцию рандомизации, получить псевдослучайное число К

3.5. проверить доступность Fsk , если сервер недоступен - вернуться к п.3.4;

3.6. проверить наличие информации о FSi в разделе «доверенные сервера»; если Fsk присутствует в данном разделе - вернуться к п.3.4;

3.7. отправить пакет инструкций и относящиеся к нему пакеты данных на доверенный сервер FSk; вернуться на п.3.1.

Шаг 4. Получение пакета данных и пакета инструкций Smc, определяемым ip-адресом получателя.

Согласно ГОСТ 19.701-90 Единой системы программной документации схему алгоритма можно представить в следующем виде (рис. 2).

Повышение защищенности информации в распределенных беспроводных сетях при использовании Sm достигается за счет повышения защиты ее конфиденциальности, целостности и доступности. Далее проводится анализ представленной методики.

Для достижения поставленной цели исследуется множество преднамеренных сетевых атак. Предлагается разбить все типичные сетевые атаки, которым может подвергнуться «маршрутизируемый сервис» на два класса: атаки на трафик между «смежными» серверами и атаки непосредственно на доверенные сервера Fs. Понятие «смежности» определяется динамически для каждого сеанса передачи.

В работе получена оценка реализации атаки первого класса Rai, когда контролируется участок между доверенными серверами FSJ и FSj^. (рис. 3) При неизвестном пространственном расположении Fs, считаем атаку успешной, если при работе сервиса SM передатчики Fsj и FSpi были выбраны на i и ¡+1 этапе передачи.

Рис. 3. Возможное представление беспроводной распределенной сети с контролируемым нарушителем участком FsjFSj, ¡.

При некоторых значениях параметров оценка (1) представляется в виде:

Второй, более широкий, класс атак представляется в виде ординарного потока событий, т.е. последовательности событий, наступающих одно за другим в случайные промежутки времени.

Обозначим, q - количество успешно атакованных серверов в единицу времени (интенсивность). Тогда оценка реализации атак на т-доверенных серверов за время t описывается распределением Пуассона.

к

г (a.tY CLiPrkVty

т\ ml nr.

Параметр к в формуле (3) определяет число различных видов сетевых атак. Значение q возможно оценить с помощью специальных Систем Обнаружения Вторжений (СОВ-сенсоров). СОВ-сенсоры рассматривались в первой главе. Они занимаются анализом использования вверенных им ресурсов и, в случае обнаружения каких-либо подозрительных или просто нетипичных событий, способны предпринимать некоторые самостоятельные действия по обнаружению, идентификации и устранению их причин. Сенсоры регистрируют различные виды сетевых атак на наблюдаемые сервера. Но, как показали ре-

зультаты использования СОВ-сенсоров, практически невозможно дать точную оценку д, так как ее величина зависит от многих факторов: времени наблюдения, расположения сервера, функционального назначения сервера и др. Для исследования этой проблемы был разработан алгоритм генерации потока атак, не зависящего от вышеперечисленных факторов (рис. 4). Дм данной модели задаются параметры.

= /42.....Р^, ..., - множество доверенных серверов сети.

/?= ^ - количество доверенных серверов сети.

/„- время действия одного вида атаки на доверенный сервер.

и: - период повтора атаки.

и2- период блокирования доверенного сервера.

к — число видов атак.

г,}, 1 — вспомогательные переменные.

Вводятся следующие функции и процедуры. ТекВремя() - функция, возвращающая текущее время в формате «dd.mm.yyyy Ы124:гш:зз».

ГенСлуч(х) - функция, генерирующая псевдослучайное целое число с помощью операции рандомизации, принад лежащее интервалу [1;х], х >- 1; РазБлок(^)-процедура, переводящая сервер ¥] в режим «доступен».

- функция распределения дискретной случайной величины «результат атаки на сервер /'}» с вероятностью принять значение 1 (атака успешна) равной р, и вероятностью принять значение 0 (атака неудача) равной 1- р,.

Пауза(г) - процедура, реализующая ожиние на время г,

СостСерв^) - функция, возвращающая статус сервера /<} (доступен - 0; блокирован -1);

Блок(/-}, л:)—функция,- переводящая сервер ,/уврежим «блокирован» и возвращающая текущее время в формате «dd.mm.yyyy Ы124:пп:55» переменную х.

Блок-схема моделирует воздействие потока атак на доверенные сервера (рис. 4).

Описание схемы.

С помощью операции рандомизации выбираются один из доверенных серверов сети и сетевая атака одного из видов. Производится эксперимент

- «атака на сервер Fsj»! определяемый дискретной случайной величиной с распределением «вероятность принять значение 1 (успех) равна р„ вероятность принять значение 0 (неудача) равна 1-/>,», <6С1.Ч. В случае успеха, сервер блокируется и становится недоступным на время иг. В процессе исследований с помощью предложенного алгоритма произведены попытки экспериментальных оценок значений р, и дальнейшая оценка данных параметров представляет интерес как независимое исследование.

Рис. 4. Блок-схема модели потока атак на доверенные сервера

Полученные оценки реализации сетевых атак показывают, что применение приложения «маршрутизируемый сервис» позволяет повысить безопасность передачи информации в распределенных беспроводных сетях. Повышение защищенности информации в распределенных беспроводных сетях при использовании достигается за счет повышения защиты ее конфиденциальности, целостности и доступности. Целостность и конфиденциальность передаваемой информации обеспечивается уменьшением вероятности реализации сетевых атак на контролируемых участках следования трафика в случае применения «маршрутизируемого сервиса». Доступность обосновывается стойкостью системы к блокированию нарушителем одного или нескольких доверенных серверов. В случае сбоя в работе одного или нескольких доверенных серверов, «маршрутизируемый сервис» моментально перестраивает маршрут следования трафика до того времени, пока работоспособность доверенных серверов не вос-

становится. Следует также еще одно важное качество разработанного приложения - каждый из доверенных серверов может динамически вносить изменения в маршрут следования трафика.

В третьей главе представлена структура программного комплекса «маршрутизируемый сервис» и содержится описание эксперимента. В соответствии с задачами исследований была предложена следующая структурная схема программного комплекса.

Рис 5. Структура программного комплекса.

Предлагаемая в работе схема программного комплекса «маршрутизируемый сервис» содержит четыре основных блока. Каждый блок выполняет определенное функциональное назначение.

1. Блок Ю - из потока 1Р-пакетов выделяет пакеты с маркером Бм. Передает эти пакеты блоку £0;

2. Блок БИ - база данных, содержит сведения о пакетах обработанных доверенным сервером 'е[1;Л. В случае необходимости буфе-ризирует пакеты данных.

3. Блок AD - анализирует пакеты данных и инструкций, принятые от блока SD, добавляет информацию о текущем доверенном сервере Fs¡, '<=

в пакет инструкций. Передает блоку MD команды на передачу данных и трассировку доверенных серверов, формирует таблицу маршрутизации M¡е F,, 'е [1;Л. Получает от SD информацию о новых доверенных серверах, появившихся в сети.

4. Блок MD - отправляет очередной пакет на один из выбранных доверенных серверов или в пункт назначения.

Эксперимент заключался в создании приложения «маршрутизируемого сервиса» с использованием сред программирования Visual Basic Script и Windows Management Instrumentarium. Работа приложения «маршрутизируемый сервис» опробована на беспроводной сети крупного предприятия, проведено 282 сеанса испытаний на семи доверенных серверах. Описание процесса тестирования «маршрутизируемого сервиса» приведено в диссертационной работе.

В связи с потребностью проведения большого числа испытаний и автоматической обработки результатов также реализован прототип «маршрутизируемого сервиса». Прототип представляет собой приложение, созданное в среде Borland С++, позволяющее генерировать топологии сетей, задавать контролируемые участки и осуществлять сеансы передачи (рис. 6а, б).

Струмтурасети

Т енерация/" —......— - -- --

Кал-во серверов (1 - 50) До ля доверенных серверов

Контролируемые участг

ц.——...... ---------—— —:—. —--------------—-—

-"Передача" ~~~-г . ..........,...............~ ' •................ --------------------; Результаты.........

i 1ч0Д-в0 сеансов К.ол-во доб. серверов в сеансе Скорость передачи • . ' !'; ■ ' :' "

; j10000 ¡i— Л ОК | i ОК . |

Г'.' • ■. : • •. , ."____ ■tr~~r"........™Т - ¿SC-á.______

Рис.ба. Прототип «маршрутизируемого сервиса». Топология А.

На рис. 6а показана одна из возможных топологий сети, построенная прототипом приложения на основе 10-серверов (белый цвет), 10-доверенных серверов (черный цвет), отправителя и получателя (серый цвет). Ребро между доверенными серверами показывает наличие канала передачи данных ними. Процесс тестирования состоял из следующих положений.

1. Топология сети содержит:

а) 10 доверенных серверов (топология А) (рис. 6а);

б) 26 доверенных серверов (топология Б) (рис. 66).

2. В текущей топологии задается один контролируемый участок.

3. Для каждой топологии для вычисления оценки ЯАср проводится пробная серия экспериментов, включающая 30 экспериментов по 10000 испытаний (сеансов передачи).

В течение одного сеанса передачи использует:

а) 5 доверенньк серверов (топология А).

б) 5 доверенных серверов (топология Б).

Передача.......

Коп-вс сеансов

Ыою~

-Результаты-

Кол-во аое, серверов в сеансе ¡5

Скорость передачи

| Контролируемые участки -............—

1 ; Ребро

И рГ~ - ¡¡Г ок

Г ,

7 Г енерация ---------------—г—

Кол-во серверов (1 - 50} Доля доверенных серверов

г~ Г

сж /¡як

Рис.66. Прототип «маршрутизируемого сервиса». Топология Б.

4. По результатам оценки ЯАср вычисляется Мкр(Р^,г) - критическое значение необходимого количества испытаний в эксперименте. Доверительная вероятность принимается равной Рд= 0,95, доверительный интервал е = 0,001.

5. Проводится эксперимент, состоящий из сеансов передачи. По результатам эксперимента вычисляется Ял„Р.

6. Если колебание значения оценки ИАпр относительно теоретической оценки КЛт меньше заданной точности, то экспериментальная оценка принимается достоверной.

В результате пробной серии экспериментов получена оценка реализации атак на контролируемом участке Данная оценка рассчитана по формуле

К«=Т> (4>

где Ик - количество исходов (сеансов), содержащих контролируемый участок, Л^- общее количество исходов (сеансов) в эксперименте, i - номер эксперимента. Результаты 30 экспериментов представлены в сводной таблице (табл.1).

Средняя оценка реализации атаки на контролируемом участке будет равна для топологии А:

•А!

^=^- = 0,0888, (5)

для топологии Б:

30

2Л

^=-^- = 0,0125. (6)

Критическое значение необходимого количества испытаний в эксперименте вычислено согласно следствию из центральной предельной теоремы.

(7)

ъ

где /<*' - обратная функция Лапласа.

Из формулы (7), учитывая оценки (5) и (6), а также е = 0,001 и табличное

значение ^"'(О^б))2 =3,84, вычислены значения Л^ и ^ = 310712,^=47400.

КА„Р А к КАпр /,• вычислены по формуле (4) по результатам экспериментов с количеством испытаний Л^ ^ и Л^ ^

*** N . 310712

крА

""■Р6 ЛГ ЛП Л АП

Сводная таблица по результатам эксперимента

1 К Топология А Топология Б

АЪ К А! NKi К-м

1 10000 869 0,0869 119 0,0119

2 10000 865 0,0865 145 0,0145

3 10000 884 0,0884 120 0,0120

4 юооо 828 0,0828 118 0,0118

5 10000 876 0,0876 142 0,0142

6 10000 910 0,0910 129 0,0129

7 10000 857 0,0857 148 0,0148

8 10000 946 0,0946 124 0,0124

9 10000 880 0,0880 138 0,0138

10 10000 871 0,0871 122 0,0122

11 10000 895 0,0895 119 0,0119

12 10000 901 0,0901 148 0,0148

13 10000 921 0,0921 111 0,0111

14 10000 867 0,0867 137 0,0137

15 10000 960 0,0960 127 0,0127

16 10000 858 0,0858 127 0,0127

17 10000 872 0,0872 109 0,0109

18 10000 891 0,0891 118 0,0118

19 10000 881 0,0881 117 0,0117

20 10000 909 0,0909 122 0,0122

21 10000 854 0,0854 129 0,0129

22 10000 923 0,0923 125 0,0125

23 10000 911 0,0911 116 0,0116

24 10000 882 0,0882 113 0,0113

25 10000 926 0,0926 117 0,0117

26 10000 874 0,0874 131 0,0131

27 10000 870 0,0870 103 0,0103

28 10000 877 0,0877 133 0,0133

29 10000 924 0,0924 129 0,0129

30 10000 871 0,0871 113 0,0113

Для вычисления теоретической оценки реализации атаки на контролируемом участке воспользуемся формулой (1), приняв допущение, что все сервера рабо-

тоспособны во время испытаний (параметры '

10-9 2

26-25

ы +1

1

10-/ 10-1-1 2 1

П

.10-; + 1.

F). = 0,0889

п

м

26-y-l

26-y+lJ

= 0,0123

(8)

(9)

ч26~/ 26 -¡-\;

Колебание значения оценок Raup а и Rahp б относительно теоретических оценок RAm а и RAm б меньше заданной точности е = 0,001 поэтому можно сделать вывод о соответствии практических результатов теоретическим представлениям работы сервиса Sm с доверительной вероятностью 0,95.

Результаты экспериментальных исследований подтвердили применимость разработанной методики. Данная методика прошла внедрение в системы передачи информации ОАО «Омскводоканал» и ГОУ ВПО «Омский государственный технический университет».

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

В процессе исследований, выполненных в диссертационной работе, получены следующие результаты.

1. Проанализированы рекомендации стандартов IEEE 802.11 по защите информации в распределенных беспроводных сетях.

2. Исследованы алгоритмы динамической маршрутизации трафика в распределенных сетях.

3. Исследованы методы защиты информации в распределенных беспроводных сетях.

4. Построен алгоритм динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.

5. На базе алгоритма разработано приложение «маршрутизируемый сервис», реализующее методику защиты информации при передаче в распределенных беспроводных сетях.

6. Реализованы программные модули «маршрутизируемого сервиса».

7. Исследованы варианты воздействия сетевых атак на «маршрутизируемый сервис». Вычислены оценки успешных реализаций сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса».

8. Разработан алгоритм генерации потока сетевых атак.

9. Произведена экспериментальная проверка разработанной методики.

ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Никонов В.И. Маршрутизация в беспроводных сетях нового поколения // Системы управления и информационные технологии. Научно-технический журнал, - Воронеж: издательство «Научная книга», 2010. -№1.1(39).-С. 170-173.

2. Никонов В.И. Методы защиты информации в распределенных компьютерных сетях с помощью алгоритмов маршрутизации // Доклады Томского государственного университета систем управления и радиоэлектроники. Научный журнал. - Томск: издательство ТГУСУР, 2010. - № 1 (21), часть 2.-С. 219-224.

3. Никонов В.И. Вероятностная оценка трафика и информационной безопасности системы связи / В.И. Никонов, И.В. Никонов // Техника радиосвязи. -

2008.-№13.-С. 91-96.

4. Никонов В.И. Маршрутизируемый сервис передачи данных через распределенные сети И Материалы конференции - конкурса работ студентов, аспирантов и молодых ученых «Технологии Microsoft в теории и практике программирования» 1-2 марта 2008г. - Новосибирск: Академгородок, 2008. - С. 83-84.

5. Никонов В.И. Маршрутизируемый сервис передачи данных // Материалы Всероссийской научно-технической конференции «Россия молодая: передовые технологии в промышленность» 12-13 ноября 2008. - Омск: Омский государственный технический университет, 2008. - С. 80-84.

6. Никонов В.И. Организация видеоконференций между отделениями банка // Материалы IV научно-практической конференции «Современный опыт использования информационных технологий в банковском бизнесе» 13 декабря 2008 г. - Тюмень, 2008. - С. 46-49.

7. Никонов В.И. Вероятностный анализ информационной безопасности систем связи// Техника радиосвязи. Научно-технический сборник.- Омск: издательство Омского научно-исследовательского института приборостроения,

2009.- Выпуск 13. - С.112-115.

8. Никонов В.И. Передача данных через распределенные сети связи // Материалы региональной научно-практической конференции «Наука, образование, бизнес». - Омск: институт радиоэлектроники, сервиса и диагностики, 2009.-С. 206-208.

9. Никонов В.И. Маршрутизируемый сервис передачи данных через распределенные сети// Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых «Научная сессия ТУ СУР - 2009» 12-15 мая 2009г. - Томск: Томский государственный университет систем управления и радиоэлектроники, 2009. - Часть 1. - С. 92-95.

Ю. Никонов В.И. Повышение информационной безопасности при передаче данных // Материалы VII международной научно технической конференции «Динамика систем, механизмов и машин» 10-12 ноября 2009. - Омск: издательство ОмГТУ, 2009. - С.321-325

11. Никонов В.И. Применение корреляционных кодов для систем синхронизации и связи / В.И. Никонов, Г.С. Никонова // Техника радиосвязи. Научно-технический сборник. - Омск: издательство Омского научно-исследовательского института приборостроения.- Выпуск 13. - С.87-90.

12. Никонов В.И. Маршрутизируемый сервис передачи// Приложение к научному журналу «Прикладная дискретная математика»: тезисы докладов VIII Сибирской школы-семинара с международным участием «Компьютерная безопасность и криптография» - SIBECRYT09 (Омск, ОмГТУ, 8-11 сентября 2009г.). - Томск: Томский государственный университет-№1. - С. 76-78.

13. Никонов В.И. Маршрутизируемый сервис передачи данных повышенной информационной безопасности // Материалы региональной научно-практической конференции «Наука, образование, бизнес». - Омск: институт радиоэлектроники, сервиса и диагностики, 2009. - С. 136-137.

14. Никонов В.И. Атаки на маршрутизируемый трафик // Информационные технологии моделирования и управления. Научно-технический журнал. -Воронеж: издательство «Научная книга», 2009. - №7(59). - С. 962-968.

15. Никонов В.И. Передача данных через распределенные сети // Тезисы докладов региональной молодежной научно-технической конференции «Омское время - взгляд в будущее» 14-15 апреля 2010 г.- Омск: издательство ОмГТУ, 2010. - Книга 1. - С.157-158.

Подписано в печать 26.11.2010 г. Формат 60x84/16 Уч.-изд.л. - 2,0

Тираж 100 экз. Бумага офсетная

Печ. Л. 1,0 Ризография

Отпечатано в типографии ИП Макшеевой Е.А

ВВЕДЕНИЕ

ГЛАВА I. АНАЛИЗ УЯЗВИМОСТЕЙ И МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПЕРЕДАЧЕ В РАСПРЕДЕЛЕННЫХ БЕСПРОВОДНЫХ СЕТЯХ.

1.1 Беспроводные сети нового поколения.

1.2Угрозы информации в распределенных компьютерных сетях.

1.2.1 Активные сетевые атаки.

1.2.2 Специфика атак в беспроводных сетях.

1.3 Методы защиты информации в беспроводных сетях.

1.3.1 Рекомендации стандартов информационной безопасности.

1.3.2 Технологии защиты данных.

1.4 Задачи диссертационного исследования.

1.5 Выводы.

ГЛАВА II. РАЗРАБОТКА МЕТОДИКИ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПЕРЕДАЧЕ В РАСПРЕДЕЛЕННЫХ БЕСПРОВОДНЫХ СЕТЯХ НА ОСНОВЕ ДИНАМИЧЕСКОЙ МАРШРУТИЗАЦИИ ТРАФИКА.

2.1 Система мультиплексирования трафика.

2.2 Маршрутизируемый сервис.

2.2.1 Общие принципы работы.

2.2.2 Методика защиты информации при передаче в беспроводной распределенной сети.

2.2.3 Алгоритм динамической маршрутизации трафика.

2.2.4 Применение разработанной методики.

2.3 Анализ эффективности разработанной методики защиты.

2.3.1 Возможности нарушителя.

2.3.2 Оценка вероятности реализации угрозы первого класса.

2.3.3 Оценка вероятности реализации угрозы второго класса.

2.3.4 Алгоритм генерации потока атак.

2.4 Выводы.

ГЛАВА Ш. РЕАЛИЗАЦИЯ ПРОГРАММНЫХ СРЕДСТВ ЗАЩИТЫ ПЕРЕДАВАЕМОЙ ИНФОРМАЦИИ.

3.1 Реализация программного комплекса.

3.2 Опытное внедрение и сравнение с протоколами маршрутизации.

3.3 Экспериментальные исследования методов.

3.4 Выводы

Актуальность работы

Развитие информационных технологий ставит актуальные задачи повышения надежности функционирования компьютерных сетей. Для решения таких задач необходимы исследования существующих сетевых протоколов, сетевых архитектур, разработка способов повышения безопасности при передаче информационных ресурсов по сети.

Выбор в пользу беспроводных технологий позволяет получить преимущества в скорости, мобильности. Появление нового класса широкополосных беспроводных сетей с ячеистой структурой (меш-сети) позволило достичь значительного увеличения зоны информационного покрытия. Основным достоинством данного класса сетей является наличие особых устройств — меш-порталов, позволяющих интегрировать в меш-сеть другие беспроводные сети (WiMAX, Wi-Fi, GSM) и Интернет, а значит, и предоставить пользователю всевозможные сервисы этих сетей.

К недостаткам меш-технологии можно отнести тот факт, что протоколы маршрутизации меш-сети весьма специфичны, а их разработка — сложная задача с множеством критериев и параметров. При этом существующие протоколы требуют значительных доработок в вопросах повышения безопасности и надежности передачи информации.

Сетевые атаки, сбои и отказы сетевого оборудования — основные факторы, влияющие на безопасность передачи информации в распределенных беспроводных сетях. Проблемой обеспечения безопасности передачи информации в распределенных беспроводных сетях занимались I. Akyildiz, W.Wang, X.Wang, T. Dorges, N. Ben Salem. Под обеспечением безопасности передачи информации в компьютерной сети понимается защита ее конфиденциальности, целостности и доступности.

Среди методов обеспечения доступности информации в беспроводных сетях исследователями выделяется комбинирование различных методов контроля, дублирования, резервирования. Целостность и конфиденциальность информации в беспроводных сетях обеспечивается методами построения виртуальных каналов, основанных на применении криптографических инструментов.

Общий недостаток данных методов - снижение производительности сети, связанное с требованиями к дополнительной обработке передаваемой информации. Указанный недостаток особенно критичен для передачи цифровой видеоинформации. Кроме того, совершенствование методов криптоанализа все более снижает надежность существующих криптоалгоритмов/

Из вышесказанного следует вывод о необходимости разработки новых способов защиты информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак. В связи с этим тема работы является актуальной и практически важной.

Цель работы

Целью диссертационной работы является разработка методики защиты информации при передаче в распределенных беспроводных сетях, основанной на применении алгоритма динамической маршрутизации трафика в условиях воздействия преднамеренных атак.

Задачи работы

1. Анализ рекомендаций стандартов IEEE 802.11 по защите информации в распределенных беспроводных сетях.

2. Исследование алгоритмов динамической маршрутизации трафика в распределенных сетях.

3. Исследование методов защиты информации в распределенных беспроводных сетях.

4. Исследование видов атак в распределенных компьютерных сетях, анализ специфики атак в беспроводных сетях.

5. Разработка алгоритма динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.

6. Разработка на базе алгоритма приложения «маршрутизируемый сервис», реализующего методику защиты информации при передаче в распределенных беспроводных сетях.

7. Реализация программных модулей «маршрутизируемого сервиса» передачи информации.

8. Исследование вариантов воздействия сетевых атак на «маршрутизируемый сервис». Вычисление оценок успешных реализаций сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса».

9. Разработка алгоритма генерации потока сетевых атак.

10. Разработка прототипа маршрутизируемого сервиса для экспериментальной проверки предложенной методики защиты.

Объектами исследования являются компьютерные сети, распределенные беспроводные сети с ячеистой структурой (меш-сети), процессы передачи информации и процессы реализации различных видов атак на передаваемую информацию и сетевые устройства в распределенных беспроводных сетях.

Предметы исследования: стандарты группы IEEE 802.11, сетевые атаки, методы защиты информации в беспроводных сетях, алгоритмы динамической маршрутизации трафика в беспроводных сетях.

Методы исследований

В диссертационной работе используются методы математического моделирования, теории графов, теории множеств, теории вероятности и математической статистики. Для подтверждения полученных теоретических результатов проведены экспериментальные исследования и моделирование, с использованием сред программирования Visual Basic Script, Windows Management Instrumentarium, Shell, Awk.

Достоверность

Достоверность научных положений, выводов и рекомендаций подтверждается корректной постановкой задач, строгостью применяемого математического аппарата, результатами численного моделирования, положительными результатами апробации программы, реализующей предложенную методику защиты информации, и сравнением с маршрутизируемыми протоколами сети.

Научная новизна

В диссертационной работе получены следующие научные результаты:

1. Предложена методика защиты информации в распределенных беспроводных сетях, основанная на применении приложения «маршрутизируемый сервис».

2. Разработан алгоритм динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.

3. Описаны варианты реализации воздействия на разработанную систему. Даны оценки успешным реализациям сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса». Разработан алгоритм генерации потока сетевых атак.

4. Реализованы программные модули прототипа «маршрутизируемого сервиса» Произведена апробация прототипа в распределенной сети.

Практическая значимость

Практическая значимость подтверждена апробацией прототипа разработанной системы в распределенной сети. Результаты диссертационного исследования отмечены дипломом Н-степени на IX Всероссийском конкурсе студентов и аспирантов по информационной безопасности «SIBINFO-2009». Разработанная методика прошла внедрение в системы передачи информации ОАО «Омскводоканал» и ГОУ ВПО «Омский государственный технический университет». Результаты диссертационной работы используются в учебном процессе ГОУ ВПО «Омский государственный технический университет».

Предлагаемая в диссертации методика может использоваться в качестве базы для дальнейших исследований.

Апробация работы

Результаты работы прошли апробацию в виде выступлений на научных конференциях и семинарах:

1. IX Всероссийский конкурс студентов и аспирантов по информационной безопасности «SIBINFO-2009», диплом И-степени. (2009, г. Томск).

2. VIII Сибирская научная школа-семинар с международным участием «Компьютерная безопасность и криптография — SYBECRYPT-09» (2009, г. Омск).

3. VII Международная научно-техническая конференция «Динамика систем, механизмов и машин» (2009, г. Омск).

4. IV Научно-практическая конференция молодых специалистов западносибирского банка Сбербанка России «Современный опыт использования информационных технологий в банковском бизнесе» (2008, г. Тюмень).

5. Всероссийская научно-техническая конференция «Россия молодая: передовые технологии в промышленность» (2008, г. Омск).

6. Конференция-конкурс «Технологии Microsoft в теории и практике программирования» (2008, г. Новосибирск).

Публикации

Результаты диссертации отражены в 15 публикациях, в том числе 2 публикации в изданиях, рекомендованных ВАК.

Структура и объём работы

Диссертационная работа состоит из введения, трех глав, заключения, списка литературы и трех приложений. Общий объем работы составляет 118 страниц, в том числе 26 рисунков и 3 таблицы. Список литературы насчитывает 82 наименования.

3.4 Выводы

В результате программной реализации разработанных методов защиты информации, передаваемой в распределенных беспроводных сетях, был создан прототип системы «маршрутизируемый сервис», а также реализованы модули тосМлБШег и тос!.8епёег(8) приложения «маршрутизируемы сервис».

Работа прототипа «маршрутизируемый сервис» была опробована на глобальной сети крупного предприятия, в полной мере моделирующей некоторую распределенную сеть. Приведено описание процесса тестирования, представлен граф маршрутов следования трафика и вычислена вероятность успешной атаки при использовании в сети данного приложения. Исходя из полученных результатов, сделан вывод о соответствии практических результатов теоретическим представлениям работы сервиса 5а/. Реализованные модули ^ прошли успешную апробацию на распределенной беспроводной сети ОАО «Омскводоканал». Данный факт подтверждается справкой об использовании результатов работы (прил. 2).

ЗАКЛЮЧЕНИЕ

Диссертационная работа является законченным на данном этапе научным исследованием. В процессе исследований, выполненных в диссертационной работе, получены следующие результаты:

1. Проанализированы рекомендации стандартов IEEE 802.11 по защите информации в распределенных беспроводных сетях.

2. Исследованы алгоритмы динамической маршрутизации трафика в распределенных сетях.

3. Исследованы методы защиты информации в распределенных беспроводных сетях.

4. Построен алгоритм динамической маршрутизации информации при передаче в распределенных беспроводных сетях в условиях воздействия преднамеренных атак.

5. На базе алгоритма разработано приложение «маршрутизируемый . сервис», реализующее методику защиты информации при передаче в распределенных беспроводных сетях.

6. Реализованы программные модули «маршрутизируемого сервиса».

7. Исследованы варианты воздействия сетевых атак на «маршрутизируемый сервис». Вычислены оценки успешных реализаций сетевых атак на передаваемую информацию в случае применения «маршрутизируемого сервиса».

8. Разработан алгоритм генерации потока сетевых атак.

9. Произведена экспериментальная проверка разработанной методики.

1. Анин Б.Ю. Защита компьютерной информации / Б.Ю. Анин. — СПб.: БХВ— Петербург, 2000. 384 с.

2. Барнс К. Защита от хакеров беспроводных сетей / К. Барнс, Т. Боутс, Д. Лойд М.: ДМК-Пресс, 2005. - 480с.

3. Белоусов С.А. Троянские кони: принципы работы и методы защиты / С.А. Белоусов, А.К. Гуц, М.С. Планков — Омск, 2003. 83 с.

4. Бочкарев В. Сценарии для администрирования / В. Бочкарев // System Engineering. — Режим доступа: http://www.sysengineering.ru/Administration/ScriptsForAdministration02.aspx, свободный.

5. Бочкарев В. Администрирование с помощью WMI / В. Бочкарев // System Engineering. — Режим доступа: http://www.sysengineering.ru/Administration/AdministrationUsingWMI.aspx, свободный.

6. Взлом беспроводных сетей: электронный журнал Hack Zone Электронный ресурс. — Режим доступа: http://www.fssr.ru/hz.php?name=News&file=article&sid=7273, свободный.

7. Вишневский В.М. Беспроводная радиоэлектронная система «Рапира» / В.М. Вишневский, H.H. Гузаков, Д.В. Лаконцев // ЭЛЕКТРОНИКА: НТБ, 2005, №1.

8. Вишневский В.М. Широкополосные беспроводные сети передачи информации / В.М. Вишневский, А.И. Ляхов, СЛ. Портной, И.Л. Шахович. М.: Техносфера, 2005. - 592 с.

9. Ю.Вишневский В. Mesh-cera стандарта IEEE 802.11s — технологии иреализация / В. Вишневский, Д. Лаконцев, А. Сафонов, С. Шпилев // Первая миля.-2008.-№2.

10. Владимиров A.A. Wi-фу: «боевые» приемы взлома и защиты беспроводных сетей / A.A. Владимиров, К.В. Гавриленко, A.A. Михайловский — М: НТ Пресс, 2005.-464 с.

11. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.

12. ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.

13. ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма.

14. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации.

15. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.

16. ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

17. Джамса К. Программирование для INTERNET в среде Windows / К.Джамса, К. Коуп СПб.: ПИТЕР, 1996. - 688 с.

18. Елманова Н.З. Введение в Borland С++ Builder / Н.З. Елманова, С.П. Кошель. -М.: Диалог-МИФИ, 1998. 675 с.

19. Ефимов В.И. Атака на систему разнесенного TCP/IP трафика на основе анализа корреляции потоков / В.И. Ефимов, Е.В. Щерба // Информационные технологии моделирования и управления. — 2005. — №6(24). — С. 859 — 863.

20. Ефимов В.И. Система мультиплексирования разнесенного ТСРЯР трафика / В.И. Ефимов, Р.Т. Файзуллин // Вестник Томского университета. Приложение. 2005.- №14. - С. 115-118.

21. Зегжда Д.П. Основы безопасности информационных систем / Д.П. Зегжда, A.M. Ивашко. М.: Горячая линия - Телеком, 2000. - 452 с.

22. Зегжда Д.П. Общая архитектура систем обнаружения вторжений / Д.П. Зегжда, А.И. Бовт // Тезисы докладов конференции «Методы и технические средства обеспечения безопасности информации». СпбГТУ, 2001.

23. Зима В.М. Безопасность глобальных сетевых технологий. / В.М. Зима, А.А. Молдовян, Н.А. Молдовян. СПб.: БХВ-Петербург, 2000. - 300 с.

24. Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях. / М.А. Иванов. — М.: КУДИЦ-ОБРАЗ, 2001.-368 с.

25. Касперский К. Техника сетевых атак /К. Касперский М.: COJIOH-P, 2001. - 396 с.

26. Кадер М. Разновидности сетевых атак Электронный ресурс. / М. Кадер. — Режим доступа: http://www.cnews.m/reviews/free/security/part7/netattack.shtml, свободный.

27. Кадер М. Типы сетевых атак, их описания и средства борьбы Электронный L ресурс. / М. Кадер. — Режим доступа: http://vmw.cnews.info/reviews/free/oldcom/security/ciscoattacks.shtml, свободный.

28. Лопухов И. Резервирование промышленных сетей Ethernet на втором уровне OSI: стандарты и технологии / И. Лопухов // Современные технологии автоматизации. 2009 - №3 - С. 16-32.

29. Мамаев Н.С., Мамаев Ю.Н., Теряев Б.Г. Цифровое телевидение. — М.: Горячая линия Телеком, 2001. - 180 с.

30. Мамаев Н.С., Мамаев Ю.Н., Теряев Б.Г. Системы цифрового телевидения и радиовещания. М.: Горячая линия - Телеком, 2007. - 254 с.

31. Максим М. Безопасность беспроводных сетей / М. Максим, Д. Поллино — М.: ДМК-Пресс, 2004. 288с.

32. Медведовский И.Д. Атака из Internet / И.Д. Медведовский, Б.В. Семьянов,

33. Д.Г. Леонов, A.B. Лукацкий. М.: Солон-Р, 2002. - 356 с.

34. Медведовский И.Д. Атака на Internet / И.Д. Медведовский, Б.В. Семьянов, Д.Г. Леонов. М.: ДМК, 1999.-336 с.

35. Медведовский И.Д. Атака через Internet / И.Д. Медведовский, П.В. Семьянов, В.В. Платонов. М.: Мир и семья-95, 1997. - 296 с.

36. Милославская Н.Г. Интрасети: обнаружение вторжений / Н.Г. Милославская, А.И. Толстой — М: Юнити-Дана, 2001. 592 с.

37. Никонов В.И. Маршрутизируемый сервис передачи данных через распределенные сети / В.И. Никонов // Материалы конференции- конкурса «Технологии Microsoft в информатике и программировании» — Новосибирск, 2008. С. 83-84.

38. Никонов В.И. Маршрутизируемый сервис передачи. / В.И. Никонов // Материалы Всероссийской научно-технической конференции «Россия молодая: передовые технологии в промышленность», 12-13 ноября 2008.— Омск, 2008.-С. 80-84.

39. Никонов В.И. Маршрутизируемый сервис передачи / В.И. Никонов // Тезисы докладов VIII сибирской школы-семинара с международным участием «компьютерная безопасность и криптография» SIBECRYT '09. Омск, ОмГТУ, 8-11 сентября 2009.- С. 76-78.

40. Никонов В.И. Маршрутизация в беспроводных сетях нового поколения /

41. В.И. Никонов // Системы управления и информационные технологии. — 2010 — №1.1(39) — С. 170- 173.

42. Никонов В.И. Методы защиты информации в распределенных компьютерных сетях с помощью алгоритмов маршрутизации / В.И. Никонов // Доклады ТУСУР. 2010. - № 1 (21) , ч.2 - с. 219-224.

43. Новаковский С.В., Котельников A.B. Новые системы телевидения. Цифровые методы обработки видеосигналов. М.: Радио и связь, 1992. — 88с.

44. Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы: учебник для Вузов. 3-изд. / В.Г. Олифер, H.A. Олифер СПБ.: Питер, 2006. -958 с.

45. Орлов А.И. Математика случая: Вероятность и статистика — основные факты / А.И. Орлов М.: МЗ-Пресс, 2004. - 110 с.

46. Панасенко С.П. Алгоритмы шифрования. Специальный справочник / С.П. Панасенко СПб.: БХВ-Петербург, 2009. - 576 с.

47. Пескин А. Е., Смирнов А. В. Цифровое телевидение. От теории к практике. — М.: Горячая линия-Телеком, 2005. 349 с.

48. Пролетарский А. В. Беспроводные сети Wi-Fi / A.B. Пролетарский, И.В. Баскаков, Д. Н. Чирков М.: БИНОМ, 2007. - 178 с.

49. Романец Ю.В. Защита информации в компьютерных системах и сетях / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин — М.: Радио и связь, 2001. — 376с.

50. Снейдер И. Эффективное программирование ТСРЯР. Библиотека программиста / И. Снейдер. — СПб: Питер, 2002. 320 с.

51. Тихонов А. Системы обнаружения вторжений / А. Тихонов // Режим доступа: URL: www.Isoft.com.ru, свободный.

52. Тюрин М. Особенности российских стандартов защиты информации / М. Тюрин // Byte. 2005. - №12(88).

53. Феллер В. Введение в теорию вероятностей и ее приложения / В. Феллер —1. М.: Мир, 1964-752 с.

54. Хансен Д. Атаки на беспроводные сети Электронный ресурс. / Д. Хансен. -Режим доступа: http://www.securitylab.ru/analytics/216360.php, свободный.

55. Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства / В.Ф. Шаньгин М.: ДМК-Пресс, 2008. - 544с.

56. Шахлевич A. VPN: плюсы и минусы / А. Шахлевич // Информационная безопасность. 2009. — №6.

57. Шелупанов А.А. Основы информационной безопасности: Учебное пособие / А.А. Шелупанов, В.П. Лось, Р.В. Мещеряков, Е.Б. Белов. М.: Горячая линия - Телеком, 2006. — 544 с.

58. Щерба Е.В. Метод защиты цифровой видеоинформации при её передаче в распределенных компьютерных сетях / Е.В. Щерба // Прикладная дискретная математика. — 2009. — Приложение № 1. — С. 60-62.

59. Шнайер Б. Прикладная криптография, 2-е издание: протоколы, алгоритмы, исходные тексты на языке Си / Б. Шнайер М: Триумф, 2002. — 610 с.

60. Ященко В.В. Введение в криптографию. / В.В. Ященко. М: МЦНМО, 1998.-272 с.

61. Adelman L. An Abstract Theory of Computer Viruses / L. Adelman // Advances in Cryptology, 1990.- P. 354-374.

62. Akyildiz I. Wireless Mesh Networks: A Survey / I. Akyildiz, X. Wang, W. Wang // Computer Networks and ISDN Systems. 2005. - Vol. 47/4. P. 445 - 487.

63. Amoroso, Edward, "Intrusion Detection: An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response, " Intrusion.Net Books, Sparta, New Jersey, 1999.

64. Ben Salem N. Securing Wireless Mesh Networks / N. Ben Salem, J.-P. Hubaux // IEEE Wireless Communications. 2006. - №13/2.

65. Chereddi C. Net-X: A Multichannel Multi-Interface Wireless Mesh Implementation / C. Chereddi, P. Kyasanur, N. Vaidya // ACM Sigmobile. — 2007.-№11(3).-P. 84-95.

66. Dorges Т. A Network of IDS Sensors for Attack Statistics / T. Dorges, O. Gellert, K. Kossakowski // Praxis der Informationsverarbeitung und Kommunikation. — 2004. №27. - P. 202-208.

67. Giannoulis A. Congestion Control and Channel Assignment in Multi-Radio Wireless Mesh Networks, Congestion Control and Channel Assignment in MultiRadio Wireless Mesh Networks / A. Giannoulis, T. Salonidis, E. Knightly // IEEE SECON, 2008.

68. ISO 15408 Общие критерии оценки безопасности информационныхтехнологий

69. Как A. Port Scanning, Vulnerability Scanning, and Packet Sniffing /А. Как // Computer and Network Security. 2008. - Vol. 23. - P. 29-38.

70. Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Foster, James C., Jonkman Marty, Raffael, and Poor, Mike, "Snort IDS and IPS Toolkit, Syngress, 2007.

71. Knightly E. Multi-Tier Multi-Hop Wireless: The Road Ahead / E. Knightly // 2007.

72. Microsoft Corporation. Microsoft TCP/IP. Учебный курс: Официальное пособие Microsoft для самостоятельной подготовки. М.: Русская редакция, 1999.-344 с.

73. Naor М. Visual Cryptography / М. Naor, A. Shamir // Lecture Notes in Computer Science. Berlin: Springer-Verlag, 1995. - Vol. 1294. - P. 322.

74. Paulauskas N. Computer System Attack Classification / N. Paulauskas, E. Garshva // Electronics and Electrical Engineering. — 2006. №2(66). — P. 84-87.

75. Paxson, Vern, "Bro: A System for Detecting Network Intruders in Real-Time, " Proceedings of The 7th USENIX Security Symposium, San Antonio, TX, 1998.

76. Pejman R. 802.11 Wireless LAN Fundamentals / R. Pejman, J. Leary // Cisco Press, 2004.-312 p.

77. Postel, J. Internet Protocol, RFC-791, USC/Information Sciences Institute, — 1981.

78. Press W.H. Numerical Recipes: The Art of Scientific Computing. Third Edition. / W.H. Press, S.A. Teukolsky, W.T. Vetterling, B.P. Flannery — Cambridge, Cambridge University Press, 2007. 1256 p.

79. Raniwala A. Architecture and Algorithms for an IEEE 802.11-Based MultiChannel Wireless Mesh Network / A. Raniwala, T. Chiueh // Infocom, 2005.

80. Shamir A. How to share a secret / A. Shamir // Communications of the ACM— 1979. -N.Y.: ACM Press. 1979. - Vol. 22. - P. 612-613.

81. Wiggins R. Myths and Realities of Wi-Fi Mesh Networking / R. Wiggins // Mobile Technologies Research Fellow, 2006.

82. Сокращения, принятые в диссертационной работе

83. Сокращение Полное значение1. Интернет протокол

84. OSI Модель взаимодействия открытых систем

85. TCP Протокол транспортного уровня

86. ЛВС Локальная вычислительная сетьнсд Несанкционированный доступ1. ОС Операционная системаско Средняя квадратичная ошибкасмт Система мультиплексирования трафика

87. EE Институт инженеров по электротехнике и электронике1. АР Точка доступа

88. SS Независимые базовые зоны обслуживания

89. BSS Базовые зоны обслуживания

90. ESS Расширенные зоны обслуживания1. MP Узел теБЬ-сети1. МРР Портал теБИ-сети

91. MAP Точка доступа теБЬ-сети1. ВС Вычислительная система

92. S Система обнаружения вторжений

93. DoS Атака типа «отказ в обслуживании»

94. DDoS Распределенная атака типа «отказ в обслуживании»

95. TCP Протокол управления передачей

96. TFN Распределенная атака типа «отказ в обслуживании», использующая ТБИ сеть

97. TCP SYN Flood Атака типа «отказ в обслуживании» с использованием SYN-пакетов протокола TCP

98. PSW Вид троянских коней, предназначенных для похищения паролей

99. ARP Протокол определения адреса

100. WEP Протокол для обеспечения безопасности сетей Wi-Fi

101. Вектор инициализации протокола WEP

102. TIM Карта индикации трафика

103. RTS Фрейм «запрос на передачу»

104. CTS Фрейм «готов к передаче»

105. RC4 Потоковый шифр, разработанный Роном Риверстом и используемый в оригинальном стандарте IEEE 802.111. X.800 Стандарт МСЭ-Т

106. OVA Оценочный уровень доверия

107. MC3 Международный союз электросвязи

108. VPN Виртуальная частная сеть1.N Локальная сеть

109. PPTP Сетевой протокол туннелирования канального уровня

110. TP Сетевой протокол туннелирования канального уровня

111. SSL Сетевой протокол туннелирования канального уровня

112. TLS Сетевой протокол туннелирования канального уровня

113. WPA Протокол для обеспечения безопасности сетей Wi-Fi

114. TKIP Протокол целостности временного ключа

115. EAP Расширяемая инфраструктура аутентифкации

116. KSA Алгоритм планирования ключей протокола WEP

117. XOR Алгоритм сложения по модулю 2

118. SSID Идентификатор беспроводной локальной сети

119. WPA Протокол для обеспечения безопасности сетей Wi-Fi

120. RADIUS Протокол контроля доступа1. VBS Язык программирования

121. WMI Инструментарий управления Windows

122. Ver Поле IP-заголовка: Версия

123. L Поле IP-заголовка: Длина заголовка

124. TOS Поле IP-заголовка: Тип службы

125. Поле IP-заголовка: Идентификатор

126. TTL Поле IP-заголовка: Время существования

127. АЦП Аналого-цифровой преобразователь

128. ЦАП Цифро-аналоговый преобразователь

129. DVB Стандарт цифрового телевещания1. Утверждаю»

130. Директор Департамента Иш^ц^мащирп^Гх. Технологий1. Д.А. Болотюк2010 г,• ь — 1. АКТвнедрения результатов диссертационной работы Нпконова В,И. Комиссия в составе:председатель Цветков Д.А., начальник отдела системного администрированиячлены комиссии:

131. Глушаков АВ„ системный администратор,

132. Синегубов Д.А., программист-разработчиксоставили акт о нижеследующем.

133. Данная топология подвергалась воздействию двух типов атак, независимо друг от друга: 1) прослушивание трафика на участке FSiFSa с помощью программы «Wireshark»; 2) периодическая реализация атаки отказ в обслуживании на сервер FSj.

134. После проведения сеансов передачи получен следующий эффект:1. процент потерь пакетов в момент, когда сервер недоступен Л/,- — 15%, FSi~Q%2. процент перехваченных пакетов МрМб— 71%, FsiFso- 16%.

135. Разработанная Никоновым В.И. оригинальная методика позволяет увеличить защищенность системы передачи информации без применения алгоритмов шифрования.1. Г» ¡г 20Юг.гЗ/» /г 2010г.201 Ог.1. Председатель1. Члены комиссии:

136. В. А. Майстренко Е. В. Щерба Т. Н. Виноградова

137. УТВЕРЖДАЮ» .- * РеI!ерал ьпый директор1. ЗАО1. Д»1. ТЫ.Ш. Рыбалов 2010 г.у1. АКТвнедрения результатов диссертационной работы Никоиова В.РГ.

138. Данные оценки согласуются с теоретическими оценками, вычисленными по формулам, представленным в работе Никонова В.И. для выбранных'параметров передачи.

139. Председатель комиссии: Члены комиссии:

140. С.Н. Балабай А.В. Бездитко М.В. Щерба

141. Программная реализация разработанных алгоритмов

142. Листинг 1. Реализация прототипа. Описание режима -а.1. StrArgs = "-a" Then

143. Выбираем ip-адрес из файла настроекI

144. FSO.FileExists(WorkDir&FileConQ = True Then

145. Set IdFile = FSO.OpenTextFile(WorkDir&FileConf, 1, False)1. MyIp = IdFile.ReadLine1.File.Close1. End if

146. WScript.Echo "Waiting for files."r

147. Ожидаем файлы от других передатчиков FlagSend = О LastIp = "1" Do While 1

148. Set colFiles = FF. ExecQuery("Select * from CIMDataFile where Path = 'WwebservWsendW' and Extension!-ip' and Drive—c:'") For Each objFile in colFiles

149. FSO.FileExists(CurrentDir&objFile.FileName&".ip") = True Then

150. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip", 1, False)1. OpenIp = 0 i

151. Do While Openjp = 0 On Error Resume Next1. Test = IdFile.ReadLine i

152. Err.Number > 0 Then Openlp = 0 WScript. Sleep 10000 Else1. Openlp = 1 End If Loop1. CountServ = test1. DestIp = IdFile.ReadLine1.File.Close i1. MyIp = DestIp Then

153. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&,,.ip", 8, False)1.File.WriteLine MyIp1.File.Close

154. Если не надо передавать файл дальше, копируем в рабочий каталог If FSO.FolderExists(CurrentDir&"ok\\") = False Then Set objFolder = FSO.CreateFolder(CurrentDir&"ok\\")1. End Ifi

155. FSO.FileExists(CurrentDir&"ok\\"&objFile.FileName&"."&objFile.Extension) = True Then

156. FSO.DeleteFile(CurrentDir&nok\\"&objFile.FileName&"."&objFile.Extension) End If

157. FSO.CopyFile objFile.Name, CurrentDir&"ok\\"

158. Р80.Р11еЕх1818(Сигге^В1г&пок\\"&о^Р11е.Р11еКаше&илр") = True Then FSO.DeleteFile(CurrentDir&"ok\\"&objFile.FileName&".ip")1. End If

159. FSO.CopyFile CurrentDir&objFile.FileName&''.ip", CurrentDir&"ok\\" WScript.Echo objFile.FileName&" ."&objFile.Extension&" arrived" WScript. Sleep 10000

160. FSO.DeleteFile(CurrentDir&objFile.FileName&".ip")

161. FSO.DeleteFile(CurrentDir&objFile.FileName&"."&objFile.Extension)1. Else

162. Если нужно отправить дальше If FlagSend = 0 Then

163. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip", 8, False) IdFile.WriteLine Mylp IdFile.Close End If

164. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip", 1, False)1. Filelp = IdFile.ReadAll1.File.Close i

165. Вычисление кол-во пройденных передатчиков CountPer=0

166. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip",l, False)

167. Do While IdFile.AtEndOfLine о Truetest = IdFile.ReadLine1. CountPer = CountPer + 11.op1.File.Close1. CountPer = CountJPer-2

168. Int(CountPer) <= Int(CountServ) Then i

169. Выбираем следующий передатчик1. Currlp =1.st — Instr(FileIp, Currlp) Do While inst > 0 CountHst = 0

170. Set IdFile = FSO.OpenTextFile(WorkDir&FileHome,l, False)

171. Do While IdFile.AtEndOfLine o Truetest = IdFile.ReadLine1. CountHst = CountHst + 11.op1.File.Close Randomize()1 = Round(Int(CountHst)*Rnd + 1) 1 = 01. WScript.Echo 1

172. Set IdFile = FSO.OpenTextFile(WorkDir&FileHome, 1, False)1. Do While i < 11. Currlp = IdFile.ReadLinei=I+l

173. CurrIp LastIp Then Currlp = End Ifinst=Tnstr(FileIp, Curr lp)

174. Curr lp = DestIp Or CurrIp=MyIp Then Flaglp=0 Else FlagIp=l End Ifinst=inst*FlagIpobjTcp.Sleep 30001.op1.File.Close1.opI1. Else1. CurrIp=DestIp1. End If i

175. Инициируем соединение по данному ip-адресу1. WScript.Echo Currlp1.stIp=CurrIpobjTcp.Protocol = objConstants.asSOCKETPROTOCOLRAW objTcp.Connect CurrIp, 1500 If objTcp.LastError о 0 Then

176. WScript.Echo "Error " & objTcp.LastError & ": " & objTcp.GetErrorDescription( objTcp.LastError ) FlagSend = 1 Else1. FlagSend = 0

177. WScript.Echo "Connection established" & vbCrLfstr = " " Mess = " "

178. Do while objTcp.ConnectionState =obj Constants. asSOCKETCONNSTATECONNECTED i1. Отправляем файл

179. Set IdFile = FSO.OpenTextFile(objFile.Name,l, False) objTcp.SendString objFile.FileName&"."&objFile.Extension objTcp.Sleep 3000

180. Do While IdFile.AtEndOfLine о Truestr = IdFile.ReadLine objTcp.SendString str objTcp.Sleep 3000 Loop1.File.Close

181. FSO.FolderExists(CurrentDir&"arc\V') = False Then Set obj Folder = FSO.CreateFolder(CurrentDir&"arc\\n) End If

182. FSO.FileExists(CurrentDir&"arc\\"&objFile.FileName&"."&objFile.Extension) = True Then

183. FSO.DeleteFile(CurrentDir&"arc\\"&objFile.FileName&"."&objFile.Extension) End If

184. FSO.MoveFile objFile.Name, CurrentDir&"arc\\"objTcp.SendString "FileEnd" iвместе с основным файлом отправляем файл инструкций

185. Set IdFile = FSO.OpenTextFile(CurrentDir&objFile.FileName&".ip",l, False)objTcp.SendString objFile.FileName&" .ip"objTcp.Sleep 3000 i

186. Do While IdFile.AtEndOfLine о True str = IdFile.ReadLine objTcp.SendString str objTcp.Sleep 30001.op1.File.Close

187. FSO.FileExists(CurrentDir&"arc\\"&objFile.FileName&".ip") = True Then FSO.DeleteFile(CurrentDir&"arc\\"&objFile.FileName&".ip")1. End If

188. FSO.MoveFile CurrentDir&objFile.FileName&".ip", CurrentDir&"arc\\"obj Tcp. SendString "ConfEnd" i1. objTcp.HasData Then

189. Mess = objTcp.ReceiveString

190. WScript.Echo "ReceiveString: " & Mess1. End If iobjTcp.Sleep 3000objTcp.Disconnect

191. WScript.Echo "Successfully send"1.op1. End If i1. End If i1. Else

192. WScript.Echo "Bad File: "&objFile.Name i1. End If Next1. WScript. Sleep 100001.op i1. End If '-a

193. Листинг 2. Процедура равномерной сегментации изображения.

194. HRESULT SNT: :Transform(IMediaSample *pMediaSample) {

195. BYTE *pData; long IDataLen; int iPixel;1. RGBTRIPLE *prgb;

196. Указатель на буфер изображения // Размер каждого входящего кадра // Переменная для использования внутри циклов // Указатель на текущий пиксель

197. AMMEDIATYPE* рТуре = &mpInput->CurrentMediaType(); VIDEOINFOHEADER *pvi = (VIDEOINFOHEADER *) pType->pbFormat; ASSERT(pvi);

198. CheckPointer(pMediaSample,EPOINTER); pMediaSample->GetPointer(&pData); IDataLen = pMediaSample->GetSize();