автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.15, диссертация на тему:Разработка и исследование средств взаимодействия приложений и методов защиты вычислительного комплекса транспортной системы

На правах рукописи

Корнев Дмитрий Александрович

РАЗРАБОТКА И ИССЛЕДОВАНИЕ СРЕДСТВ ВЗАИМОДЕЙСТВИЯ ПРИЛОЖЕНИЙ И МЕТОДОВ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНОГО КОМПЛЕКСА ТРАНСПОРТНОЙ СИСТЕМЫ

Специальность 05.13.15 — Вычислительные машины, комплексы и

компьютерные сети

1 АПР 2015

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Москва - 2015 г.

/

005566446

Работа выполнена в Федеральном государственном бюджетном образовательном уч-реяодении высшего профессионального образования "Московский государственный университет путей сообщения" на кафедре "Информационные технологии"

Научный руководитель: Соловьев Владимир Павлович, кандидат технических наук, доцент

Заведующий кафедрой "Информационные технологии" ФГБОУ ВПО "Московский государственный университет путей сообщения", ученый секретарь Ученого совета университета

Официальные оппоненты: Дивеев Асхат Ибрагимович, доктор технических

наук, профессор

Заведующий сектором Проблем кибернетики ФГБУН Вычислительного центра имени А.А. Дородницына РАН.

Пруцков Александр Викторович, кандидат технических наук, доцент

Доцент кафедры "Вычислительная и прикладная математика" ФГБОУ ВПО "Рязанский государственный радиотехнический университет"

Ведущая организация: ФГБОУ ВПО "Московский энергетический институт" (национальный исследовательский университет)

Защита диссертации состоится «28» апреля 2015 г. в 14-00 часов на заседании диссертационного совета Д 212.125.01 на базе Московского авиационного института (национального исследовательского университета) по адресу: Волоколамское шоссе, д. 4, г. Москва, А-80, ГСП-3,125993 С диссертацией можно ознакомиться в библиотеке университета

Автореферат разослан « /У » .¡АЯу/ЬШ^_2015 г.

Ученый секретарь диссертационного совета

Корнеенкова Анна У

Викторовна /

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы. Стратегией развития железнодорожного транспорта России до 2030 года предусмотрено создание технологической платформы «Высокоскоростной интеллектуальный железнодорожный транспорт» -единой системы управления движением, многоуровневой безопасности и интеллектуальной среды эксплуатации железнодорожного транспорта. Это обосновано необходимостью повышения пропускной способности ж.д. с учетом специфики их эксплуатации - организация движения высокоскоростного подвижного состава в графике движения поездов со средними эксплуатационными характеристиками. Реализация технологической платформы требует, в том числе, создание единого информационно-коммуникационного пространства с высоким уровнем информационной защиты.

Для организации и обеспечения безопасности движения поездов на ж.д. России используется цифровая система диспетчерской централизации (ДЦ) «Сетунь», которая включает в себя современную систему телемеханики с высокоскоростным обменом информацией между центральным распорядительным постом и линейными пунктами по сети рабочей связи. С другой стороны, развитие цифровых технологий позволило внедрить на локомотивах систему автоведения, которая осуществляет управление движением поездов по критерию минимизации энергозатрат в зависимости от характеристик участка пути. Однако на настоящий момент отсутствует комплексное взаимодействие между участниками перевозочного процесса, что делает невозможным определение оптимального закона управления локомотивом с учетом текущих характеристик его энергетического оборудования и меняющейся поездной ситуации. Мощности современных вычислительных систем позволяют успешно решить эту задачу, а технологии виртуализации — обеспечить распределение вычислительных ресурсов для решения частных задач организации движения поездов.

Большие вычислительные мощности современных серверов делают экономически целесообразным их использование для решения комплексных задач, требующих значительных ресурсов для взаимодействия сетей и приложений, в частности решения задачи управления движением на участке ж.д. большой протяженности.

Диссертация посвящена актуальной теме разработки защищенного вычислительного комплекса системы управления движением поездов как составляющей единого информационно-коммуникационного пространства, значимость которой для науки и практики заключается в развитии методов создания и защиты интеллектуальных логистических систем управления перевозочным процессом.

Научно-технической задачей диссертации является создание метода разработки защищенного вычислительного комплекса системы управления движением поездов с использованием средств виртуализации.

Объект исследования: вычислительный комплекс для решения задачи повышения эффективности и безопасности перевозочного процесса по сети ж.д.

Предмет исследования: методы взаимодействия компьютерных сетей и приложений.

Целью диссертационной работы является разработка и исследование функционирования вычислительного комплекса с эффективной системой защиты для решения задачи управления движением поездов на участке железной дороги, контролируемом диспетчерской централизацией.

Поставленная цель определяет основные задачи диссертационной работы:

1. Определение объемов и характеристик информации, обеспечивающей выполнение алгоритма взаимодействия участников перевозочного процесса (систем диспетчерской централизации, автоведения и комплексного устройства безопасности локомотива).

2. Разработка структуры и алгоритма функционирования вычислительного комплекса для логистического управления перевозочным процессом.

3. Разработка программно - ориентированного метода взаимодействия элементов вычислительного комплекса с возможностью расчета нагрузки на его ресурс от участников перевозочного процесса.

4. Обеспечение надежности функционирования вычислительного комплекса при внезапном отказе его элемента.

5. Определение уязвимостей вычислительного комплекса при информационной атаке на него.

6. Разработка метода определения средств эффективной защиты вычислительного комплекса с учетом его структуры и возможных маршрутов проведения атак.

Результаты, выносимые на защиту и их научная новизна:

1. Структура комплексной системы управления движением поездов как единого информационно-коммуникационного пространства на основе средств цифровой связи со стандартизованными технологиями идентификации, навигации и позиционирования, отличающаяся от существующих тем, что она позволяет повысить уровень взаимодействия участников перевозочного процесса за счет интеграции их полномочий на базе вычислительного комплекса.

2. Разработана математическая модель вычислительного комплекса на базе математического аппарата сетей Петри, отличающаяся от известных тем, что объединяя преимущества графового представления состояний и дискретной модели системы позволяет имитировать динамический процесс распределения ресурса между приложениями в виртуальной инфраструктуре с учетом парал-

лельных и асинхронных процессов их взаимодействия и рассчитывать количественные показатели работы системы, в том числе, при моделировании сценариев использования резервных элементов комплекса.

3. Разработана математическая модель М1ТМ-атаки на вычислительный комплекс на базе математического аппарата расширенных сетей Петри, которая в отличие от известных моделей позволяет имитировать динамический процесс изменения маршрутизации трафика нарушителем при любом возможном алгоритме проведения атаки.

4. Разработан вероятностный метод расчета эффективности защиты вычислительного комплекса, отличающийся от известных тем, что позволяет имитировать динамический процесс проведения МГГМ-атаки в интегральной модели маршрутов несанкционированного доступа с учетом характеристик защит элементов комплекса; основу метода составляют модель М1ТМ-атаки на вычислительный комплекс с криптографической защитой информации и метод Монте-Карло с разыгрыванием случайных параметров атак и уровней защиты его элементов.

Достоверность результатов диссертации обеспечивается корректным применением методов математического моделирования процессов взаимодействия вычислительного ресурса и его приложений на базе математического аппарата сетей Петри, методов математической статистики и векторной оптимизации, а также подтверждается совпадением результатов имитационного моделирования и экспериментального исследования вычислительных процессов.

Соответствие паспорту специальности. Содержание диссертации соответствует п. 5 паспорта специальности 05.13.15 «Вычислительные машины, комплексы и компьютерные сети», поскольку в ней разработан алгоритм создания структуры вычислительного комплекса с эффективной системой защиты для сети управления движением поездов.

Практическая значимость работы:

Разработан инженерный метод создания защищенного вычислительного комплекса логистической системы управления движением поездов, обеспечивающей эффективность и безопасность перевозочного процесса.

Практическое использование результатов работы. Полученные результаты были использованы при создании виртуального комплекса задания параметров движения автономного моторвагонного подвижного состава и тепловозов с гидравлической тяговой передачей с использованием сигналов ОРБ-навигатора, а также для организации каналов взаимодействия этих приложений.

Апробация работы. Основные положения диссертационной работы докладывались и обсуждались на заседаниях кафедры «Информационные технологии» МИИТа в 2012-2014 гг. а также на следующих конференциях:

Двенадцатая научно-практическая конференция «Безопасность движения поездов». Московский государственный университет путей сообщения (МИ-ИТ), 2011г.

Научно-практическая конференция «Неделя науки - 2012. НАУКА МИИТа - ТРАНСПОРТУ». Московский государственный университет путей сообщения (МИИТ), 2012г.

Тринадцатая научно-практическая конференция «Безопасность движения поездов». Московский государственный университет путей сообщения (МИИТ), 2012г.

Научно-практическая конференция «Неделя науки - 2013. НАУКА МИИТа - ТРАНСПОРТУ». Московский государственный университет путей сообщения (МИИТ), 201 Зг.

VII Международный транспортный форум, I Форум транспортного образования «Молодые ученые транспортной отрасли»; Московский государственный университет путей сообщения, 2013г.

Международная научно-практическая конференция «Современные проблемы развития интеллектуальных транспортных систем»; Днепропетровский Национальный Университет Железнодорожного Транспорта, 2014г.

IV международная научно-практическая конференция «ИнтеллектТранс-2014»; Санкт-Петербургский государственный университет путей сообщения, 2014г.

Публикации. По направлению исследований было опубликовано двенадцать работ, из них 5 статей - в изданиях, рекомендованных ВАК Минобрнауки России.

Личный вклад автора. Все выносимые на защиту научные результаты получены автором лично. В работах, опубликованных в соавторстве, личный вклад соискателя сводится к следующему: [2, 11] - разработка программы имитационного моделирования движения локомотива; [3] - разработка методики и программы расчета влияния характеристик информации на вероятность проведения атак на ресурс; [4] - обзор и анализ современного программного обеспечения в сфере виртуализации; [11] - обоснование структуры системы управления безопасностью работы железнодорожного транспорта.

Структура диссертации. Диссертация включает: введение, четыре главы, заключение, список использованных источников - 196 наименований. Общий объем диссертации — 145 е., из которых основного текста —133 е., 45 рисунков, 7 таблиц, 2 приложения.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность решаемой задачи, сформулированы цель, научная новизна, теоретическая и практическая значимость исследований.

В первой главе разработана архитектура вычислительного комплекса (ВК) с использованием средств виртуализации который позволяет осуществлять взаимодействие системы автоведения поезда УСАВП-Т, и ДЦ «Сетунь» участка железной дороги. При этом ВК формируется из 10 виртуальных машин (ВМ), которые принимают на себя функции:

ВМО: шлюз - для получения входной информации от локальной вычислительной сети ЯП; УСАВП-Т и комплекса локомотивных устройств безопасности (КЛУБ), а также передачи выходной информации соответствующим системам; ВМ1: формирование базы данных о характеристиках участка железной дороги, постоянных и временных ограничениях скорости, текущей координате поезда; ВМ2: формирование базы данных о параметрах поезда (тип поезда, вес поезда, ограничения режимов нагрузок, число локомотивов и вагонов поезда); ВМЗ: формирование базы данных кассеты регистрации КЛУБ; ВМ4: расчет мощности, которая может быть реализована локомотивом; ВМ5: решение задачи оптимального управления локомотивом; ВМ6: формирование базы данных о срабатывании систем защиты локомотива, получаемых от системы автоматики локомотива УСТА;

ВМ7: формирование базы данных о значениях текущих параметров режимов работы локомотива, получаемых от системы автоматики локомотива УСТА; расчет прогнозируемой надежности систем и агрегатов локомотива; ВМ8: мониторинг ВК; ВМ9: резерв.

Для обоснования принципа реализации ВК рассмотрены характеристики систем виртуализации и их уязвимости, выполнен анализ существующих средств защиты, а также обзор законодательной базы в области информационной безопасности, в том числе, особенности требований к информационным и вычислительных систем, используемым в структуре «РЖД».

Вторая глава посвящена разработке математической модели ВК для определения требуемых характеристик при работе в комплексной системе управления движением.

Теоретическим основам построения и исследования систем виртуализации посвящены работы отечественных и зарубежных авторов: Дубинина В.Н., Заикина С.А., Рослякова A.B., Тормасова А.Г., Barrett D., Boomer J.; Carbone J., Crawford L. S., von Hagen W., Haletky E., Halter E. M., Keefer IL M.; Kipper G„ Larson R., Lowe S., Olzak T., Sabovik J., Takemura C.,, Vacca J. R., Chris Wolf С. и др. Проведенный анализ выполненных исследований показал, что в них решается задача оптимального распределения ресурса в виртуальной компьютерной системе с фиксированной структурой или задача построения виртуальной системы, где основным критерием эффективности является интегральный показатель стоимости и суммарной нагрузки приложений, определяемой по

производительности сервера. Для создания математических моделей управления ресурсами используются преимущественно методы дискретной математики и алгебры, вычислительной математики, методы математической статистики, методы теории операционных систем и системного программирования, математический аппарат логико-алгебраических описаний, формализма сетей абстрактных машин и иерархических алгебраических систем.

Основным недостатком этих моделей является абстрагирование расчета распределения ресурса от алгоритма функционирования вычислительной системы для решения конкретной задачи. Это снижает точность расчета нагрузки на ресурс и прогнозирования эффективности его использования.

Для решения поставленной задачи разработана динамическая модель ВК, описывающая процессы взаимодействия ресурса и приложений, обеспечивающих заданный алгоритм взаимодействия участников перевозочного процесса. В модели использован математический аппарат расширенных сетей Петри, объединяющий преимущества графовой и дискретной динамической модели и позволяющий рассчитывать количественные показатели работы вычислительной системы, характеризующейся параллельными и асинхронными процессами.

Математическая модель ВК в терминах сетей Петри определяется совокупностью объектов (рисунок 1):

П = (1)

где Р = {р!, р2, —,Р1> — . Рп) - непустое конечное множество позиций; Т = Ь2,..., .... - непустое конечное множество переходов;

I - входная функция переходов, определяющая кратность входных дуг переходов Щ);

О - выходная функция переходов, определяющая кратность выходных дуг переходов О(^);

II - вектор маркировки.

Разрешение на выполнение перехода ^ € Т определяется условием Ь'- ¡х(рд > #&>/,%)), Р( е Р, (2)

где (р;, /(*)■)) - кратность входной позиции Р( для перехода

Результатом выполнения разрешенного перехода ^ е Г является новая маркировка /1':

Ард = КРд - #(Р(./(£/)) + #(Р1.0(№ (3)

Динамическая модель ВК определяется системой, состоящей из 71 логических уравнений типа (2) и (3).

Для моделирования процессов в ВК разработана программа, базирующаяся на объектно-ориентированном подходе, для чего были созданы специализированные классы, описывающие состояния, переходы, дуги и функционирование сети Петри в целом. В программной реализации модели для задания случайных величин использовался стандартный генератор псевдослучайных чисел.

Рисунок 1. Модель ВК в терминах сетей Петри: ро - ресурс хоста; рогРпз, ...р9гР9Гсостояние ВМО-9: poi, ...^»/-предоставление ресурсов; рю,— ,Р92~ освобождение ресурсов; р0з,—,Р9з-ожидание ресурсов; рос, ....^-счетчики операций; toi — (оз, •■■ h г hr распределения ресурсов ВМО-9: toi,,.--, hi~ выделение ресурсов; - работа с ресурсами; %,... ,t<)3 - возвращение ресурсов хосту

Исходными данными для расчета требуемых характеристик ВК являлись алгоритм работы системы УСАВП-Т, объем и характер информации, необходимой для взаимодействия участников перевозочного процесса: 100 мс - время выполнения циклической программы системы УСАВП-Т; объем информации 2530 КБ - на обслуживание заявки УСАВП-Т одного локомотива (принималась на основании ТУ на функционирование систем ДЦ «Сетунь», КЛУБ, УСАВП-Т, УСТА). Максимальная нагрузка на ресурс ВК для полигона ж.д. протяженностью 200 км (минимальная рекомендуемая длина участка, обслуживаемого ДЦ «Сетунь») определялась с учетом допустимых интервалов следования поездов при двухпутном движении, требований ресурса системами виртуализации и мониторинга состояния самого ВК; ее значение составило 6,23 ГБ. В соответствии с Инструкцией по определению станционных и межпоездных интервалов № ЦД-361 на участке ж.д. с указанными характеристиками одновременно могут находиться до 68 поездов.

Верификация модели выполнялось для двух режимов работы ВК;

- расчете нагрузки на ресурс от системы УСАВП-Т одного локомотива (минимальная нагрузка) с контролем обеспечения алгоритма взаимодействия участников перевозочного процесса (распределения ресурса между ВМ при получении заявки на обслуживание от системы автоведения локомотива);

- расчете нагрузки на ресурс ВК при допустимых интервалах следования поездов и синхронных запросах на обслуживание систем УСАВП-Т локомотивов всех поездов (максимальная нагрузка).

Тестирование разработанной модели ВК показало, что она адекватно отражает процессы распределения ресурса в соответствии с алгоритмом взаимодействия участников перевозочного процесса и верно определяет требования к ресурсу на режимах максимальной и минимальной нагрузки.

Разработанная модель позволила установить требования к алгоритму взаимодействия приложений вычислительного ресурса ВК с учетом параметров работы циклической программы управления системы УСАВП-Т и скорости передачи информации по канала связи между участниками перевозочного процесса 1 Гбит/с. Получено, что максимально допустимое время работы циклической программы ВМ5 не должно превышать тцМ5=99,5 мс.

В реальных условиях эксплуатации заявки на обслуживание участников перевозочного процесса будут поступать на ВК в разные моменты времени. На рисунке 2 представлен процесс моделирования использования ресурса ВК при обслуживании заявок участников перевозочного процесса с использованием математического аппарата сетей Петри.

р" Foi

рЮ

..............J 1 1 .......... „1

.. ....... ......1 ,,

_«_ J_ --1_ Л___ - _1___

ра°>

1 ж 1Ш ж ЧШ1 я шии * "■" ' « »'■" «

Н-

-+-

4-

Р13

D»

Р01

Ро\

яь

0,1 0,2 0,3 0,4 0,5 0,6 т, С

Poi " Poi -обращение к ВМО по заявкам 0-14 локомотивов; SRC - использование ресурсов хоста при обслуживании заявок УСАВП-Т 68 поездов

Рисунок 2. Процесс моделирования использования ресурса ВК с использованием математического аппарата сетей Петри при равномерном распределении заявок на обслуживание, поступающих на ВМО от УСАВП-Т 68 поездов

Для определения эффективности использования ресурса ВК в реальных условиях выполнялся расчет его нагрузки при случайных распределениях потока заявок на обслуживание и математического ожидания времени обслуживания заявок. Получено, что при обслуживании заявок 68 поездов, имеющих равномерное распределение с математическим ожиданием времени обслуживания 15 мс максимальная нагрузка на ресурс ВК не превысит 30% от номинального значения ресурса, предусмотренного на обслуживание в системе управления движением. В том случае, если математическое ожидание времени обслуживания одной заявки системы УСАВП-Т возрастает до 50 мс пиковое значение нагрузки на ресурс достигает 320 МБ - 62% от того же ресурса (рисунок 3).

Проведенные исследования показали, что для участка ж.д. протяженностью 200 км средние затраты ресурса ВК на обслуживание заявок УСАВП-Т поездов не превышают 10% в общем расходе ресурса на поддержание всей структуры с учетом мониторинга. Поэтому важно было определить при какой длине участка ж.д., обслуживаемого комплексной системой управления движением, ресурс ВК будет использоваться наиболее эффективно.

SRC, МБ

250

200

150

100

50

О ■

0 0,1 0,2 0,3 Т, С

Рисунок 3. Нагрузка на ресурс ВК при равномерных распределениях заявок на обслуживание, поступающих от УСАВП-Т 68 поездов, и математическом ожидании времени обслуживания одной заявки 50 с

Для реализации разрабатываемого ВК предлагается использовать сервер IBM Flex System х240 с встроенной фабрикой IBM® Virtual Fabric. Этот тип сервера применяется для обслуживания больших вычислительных мощностей. Его особенностями являются:

-оптимизация с точки зрения виртуализации, производительности и высокой масш табируемости сетевых подключений;

- упрощенное развертывание и управление.

Hj\ i А.^ Ал

^jaZ V"v

f ■

С целью удовлетворения современных сложных и постоянно изменяющихся бизнес-требований вычислительный узел IBM Flex System х240 (элемент IBM PureFlex System) оптимизирован с точки зрения виртуализации, производительности и высокой масштабируемости ввода-вывода для поддержания широкого спектра рабочих нагрузок. Вычислительные узлы Flex System х240 доступны для решений PureFlex System или IBM Flex System.

Для определения рациональной длины участка ж.д., обслуживаемой ВК, была решена задача оптимизации с векторной целевой функцией:

Ц(и) = {*,(4^(4..., *t(B)}-». min ,

где Kt(u\ К2(и\..., К,(и),...,КL(u) - частные критерии оптимизации, и - параметр управления, принадлежащий множеству возможных управлений U , и е U.

Для ВК в качестве основных критериев эффективности работы выступают ресурс, необходимый для обслуживания систем УСАВП-Т поездов, находящихся на контролируемом участке, и его цена, а в качестве параметра управления - возможное число локомотивов G на этом же участке.

r*,{G)->min

(ЛТ2 (<?)-> max ' W

где К/- цена сервера; К2 - ресурс сервера, необходимый для обслуживания заявок УСАВП-Т.

Поиск оптимального распределения ресурсов такой системы сводится к определению множества неулучшаемых решений (оптимизации по Парето), т.е. приближению параметров управления к значению, при котором обеспечивается приближение Ц{и) к утопической точке К^ . При равнозначимости критериев К¡(G) и K2(g) с учетом (4) оптимальное решение находилось минимизацией расстояния до К>т на плоскости критериев (,ЙГ|,0,АГ2). fi((G)->min;

[Zf2 (О) = [К, (G) - КШа]2+ [к2 (о)-*2ти]2.

Значения критериевK^G) и K2(g) могут отличаться на несколько порядков (в зависимости от масштабов измерения величии), поэтому целевая функция для определения эффективности работы ВК определялась через их относительные значения

flW-,

K>(g)-K;) {кг-к:

2+(к2(с)~К'Г2

_2

v к:-к;

•nun

(5)

где уК" - соответственно минимальные и максимальные значения

частных критериев, найденных при решении задачи оптимизации по заданному

критерию;К1(С), Кг (<7)- текущие значения частных критериев, полученные при параметрах управления, расположенных в множестве Парето.

В соответствии с (5) были рассчитаны значения Ц(р) для Ярославского направления ж.д. при допустимом интервале следования поездов (рисунок 4).

Рисунок 4. Значения целевой функции эффективности использования ресурса ВК в зависимости от числа локомотивов на обслуживаемом участке ж.д. при допустимом интервале следования поездов

Таким образом, при равной значимости частных критериев оптимизации Ли (О) и Я г (б) для Ярославского направления ж.д. ресурс ВК будет использоваться наиболее эффективно, если комплексная система управления движением будет обслуживать 320 поездов, т.е. участок протяженностью 950 км.

В третьей главе рассмотрены уязвимости ВК и предложен способ его резервирования в соответствии с требованиями к вычислительным ресурсам стандарта СТО РЖД 1.18.002-2009.

С помощью разработанной модели ВК выполнено моделирование динамического процесса отказа снапшота ВМ и разворачивания аналогичного резервного приложения. При этом предполагалось, что исправные ВМ работают в штатном режиме, создавая соответствующую нагрузку на ресурс. По условиям моделирования время получения запросов на обслуживание систем автоведения и время загрузки ресурса ВМ5 имели равномерное распределение в соответствии с ограничениями Т2=100мс и тВМ5=99,5 мс.

Результаты моделирования показали, что время загрузки снапшота составляет 15,0 с. Эксперименты по разворачиванию снапшота на физическом хосте дали аналогичный результат: в зависимости от степени загрузки ресурса хоста это время может составлять от 11 до 17 с. При загрузке на хостовую систему ВМ только с базовой ОС время ее разворачивания составляет от 7 до 12 с. (при расчетном времени — 7,9 е.), что еще раз подтвердило адекватность модели ВК его физической реализации. Аналогичные исследования были проведены для режимов разворачивания на хостовой системе ВМ для формирования баз данных и ПО системы автоведения.

Таким образом, при отказе одной из ВМ использование резерва ресурса не позволит развернуть на хосте дополнительную ВМ и передать ей функции управления за 100 мс в соответствии с требованиями алгоритма функционирования системы автоведения. Это потребовало разработки системы резервирования ВК. На основании анализа характеристик систем резервирования для ВК принято мажоритарное резервирование с голосованием «2 из 3», что позволит защититься не только от отказов, но и от воздействия помех, обеспечивая более высокую точность управления.

Для определения надежности ВК с мажоритарным резервированием были использованы данные производителя сервера IBM Flex System х240, в соответствии с которыми время наработки до первого отказа этого сервера составляет 1,0 • 10s — 1,25 • 10s часов. При среднем времени наработки до первого отказа 1,125 • 105 часов было получено, что время работоспособного состояния ВК с мажоритарным резервированием составит 0,937 • 10s часов. При этом для времени эксплуатации менее 0,78104'105 часов (менее 8,9 лет), ВК с мажоритарным резервированием будет иметь большие значения вероятности безотказной работы, чем ВК без резервирования (рисунок 5).

РПч\Т-1-!-1-1-

Рисунок 5. Вероятность безотказной работы ВК без резервирования (Р0) и ВК с мажоритарным резервированием с голосованием "2 из 3" (Рг)

2х104 4х104

бхЮ4 8x104 1x103 т,ч

Второй уязвимостью ВК является проведение информационной атаки. Вследствие закрытости структуры комплексной системы управления движением поездов проведение DoS-атаки маловероятно, а MITM-атака является вероятным методом воздействия на систему. При этом наиболее уязвимой точкой для несанкционированного подключения является радиоканал между системой автоведения поезда и ВК, образуя канал взаимодействия «система автоведения поезда — атакующий - ВК».

При проведении MITM-атаки нарушитель осуществляет вмешательство в протокол передачи информации, считывая или искажая ее. Основными типами MITM-атак являются: атака в пределах одного LAN (LocalAddressNetwork),

осуществляемая на канальном уровне модели OSI; DNS Spoofing, используемый для предоставления ложной DNS-информации; кража cookie при НТТР-сеансах; MITM-атака с использованием Wi-Fi-маршрутизатора.

Для анализа действий нарушителя и выбора эффективной системы защиты была разработана математическая модель MITM-атаки на информационный ресурс с использованием математического аппарата расширенных сетей Петри. Модель представляет собой направленный маркированный граф, состояние которого описывается системой из 31 логических уравнений типа (2) и (3), где кроме состояний ресурса, легитимного пользователя, атакующего и каналов связи между ними представлена конфигурация средств маршрутизации, модифицируемая атакующим.

На рисунке 6 представлена сокращенная диаграмма, отражающая функционирование сети между ВМ и ресурсом при передаче информации пакетами в штатном режиме и в режиме перехвата трафика.

Р» Рао Ргг Ръ « Ри Рч Р3 Pi j 1—1 1—1 1—1 -1 1—1

I—1 1— |—1 1—

К IV к Лп к К. V IV 14 г

/1 /1 у 1 и /1 /

d —1 1—1 1—1 4- Ас - -1 1—1 1—1 г

—| Г"1 1—1......г

— /1/1/1 и /1/1/1 Л /1

\ к к h N ^ к К rv N. fv rv

4 а « т

0,1 0,2 0,3

Дтс - интервал времени передачи информации; т0 а- момент начала атаки; тка -момент завершения атаки

Рисунок 6. Моделирование работы каналов передачи информации при MITM-атаке на ВК

В начальный момент времени запрос от ВМ передается ресурсу по легитимному каналу prPirPio, при этом объем информации в буфере pi уменьшается, в буфере р2о - увеличивается. После получения всего запроса ресурс генерирует ответ объемом в 150 пакетов в буфере рц и передает его ВМ по каналу рц-PirPi (объем информации в буфере ресурса P21 уменьшается, а в буфере ВМ р: - увеличивается). В момент времени т0а в сеть включается атакующий, считывая информацию через состояния р4о, и рл, а штатные каналы передачи информации (состояния рц, pi 1) не используются. Для перехвата информации ата-

кующий модифицирует базовую конфигурацию средства маршрутизации, перенаправляя трафик через себя. При этом характер передачи информации не меняется ни для ВМ, ни для ресурса. В произвольный момент времени тка нарушитель покидает сессию, восстанавливая базовую конфигурацию средств маршрутизации.

Маршруты попыток несанкционированного доступа к ресурсу ВК определялась с использованием методики формализованных моделей информационных атак, разработанной Б. Шнайером, в основе которой лежит иерархическое дерево атак. Особенностью дерева атак виртуальной инфраструктуры является наличие ветви, которая показывает, что за счет трансляции трафика через сетевой интерфейс хоста возможно провести атаку на ВМ, существенно снизив при этом риск обнаружения атаки. Данная модель может быть легко расширена, детализована или модифицирована под другие условия, что позволяет ее адаптировать для вычислительной сети другой структуры.

Возможные маршруты атак были использованы при расчете характеристик систем защиты ВК.

Четвертая глава посвящена разработке метода определения эффективности системы защиты ВК. Параметры распределения характеристик его уязви-мостей и проводимых атак принимались на основании результатов тестирования на проникновение в информационные системы крупных предприятий в 2011—2012 г., проведенного компанией Positive Technologies, в том числе, и для определения масштаба времени при моделировании процессов компрометации.

Вопросам информационной безопасности посвящены работы российских и зарубежных специалистов: Безрукова H.H., Водолазкого В.В., Герасименко В.А., Грушо A.A., Девянина П.Н., Домарева В.В., Зегжды Д.П., Касперски К., Корниенко A.A., Лукацкого А.Г., Молдовяна A.A., Щербакова А.Ю., Bell D.E., Bishop M., Bragg R., Jensen Ch.D., LaPadula L.J.,McNab C.,Vitek J., и других.

В настоящее время для анализа работы информационных систем в условиях проведения атак разработаны модели и методики: сценарная логико-вероятностная модель сети как системы массового обслуживания - для решения задачи защиты от распределенных атак; графо-вероятностная модель обнаружения нелегитимного программного обеспечения; поведенческая и формальная модели анализа состояния компьютерных систем, основанные на математических аппаратах теории графов и теории конечных автоматов - для выявления атак на Web-серверы и анализа условий предотвращения несанкционированных доступов к информации; модель нечеткого логического вывода, позволяющая выявлять вероятность атаки по совокупности аномальных событий в системе; методика покрытия тестами программного обеспечения - для исследования его на наличие уязвимостей по исполняемым файлам.

Для расчета вероятности доступа к ВК разработана математическая модель с использованием математического аппарата расширенных цветных сетей

Петри, описывающая динамические процессы в системе с шифрованной информацией при проведении М1ТМ-атаки (рисунок 7). Результатом моделирования является отображение текущих состояний основных элементов структуры ВК (хоста, гипервизора, объектов сетевой структуры) на основании маршрутов дерева атак, разработанного в третьей главе.

Рисунок 7 . Модель атаки на ВК с криптографической защитой информации в терминах расширенных сетей Петри

При моделировании маршрутов в маркированном графе цветных сетей Петри разрешение на выполнение перехода tt 6 Т определяется условием:

Ь- V- (Pi) ^ #(РГ-color, I: color(tj)), pi eP (6)

где (pi: color,¡:color(tj)) - кратность входной позиции р£, соответствующего цвета, для дуги перехода tj этого же цвета.

Результатом выполнения разрешенного перехода t( £ Г является новая маркировка ц':

p'(pi) = КРд - color fa, + #: color (p¡, 0(t;)) . (7)

Динамические процессы в защищенном ВК при совершении атаки на него описываются системой из 57 логических уравнений типа (6) и (7) и определяются позициями и переходами:

Pi, Р2- передача и получение информации клиентом; рш Рн - получение и передача информации ресурсом; рзо, Рзг легитимные и скомпрометированные настройки систем маршрутизации; рю, ..., рц - легитимные каналы передачи данных между ресурсом и клиентом; р70о, р7ц- передача запроса клиента и ответа ресурса; рио,Рт - получение атакующим зашифрованного пакета от клиента и от ресурса; p¡¡o ,рт, РшРт - пакеты клиента и ресурса расшифрованы и зашифрованы атакующим; tl90¡ t¡4a- формирование ответов клиентом и ресурсом; two, U JO, t/20, t¡30, tiso, ti 60, tiro, tino- шифрование, передача и дешифрование информации в легитимных каналах; t9¡, tm, t,„, tm, t725. tl3}, t¡45, t,¡¡, t¡65, t¡7¡ t,S}, t775- формирование и передача подтверждения получения пакета информации клиентом и ресурсом; t7no, t7¡¡ - передача запроса клиента и ответа ресурса ги-первизором на хост; ¡¡о, ho - воздействие на средства маршрутизации атакующим; t¡o, ¡40 - перенаправление трафика через атакующего и легитимные каналы связи; t¡os - передача подтверждений получения пакета от ресурса и клиента к атакующему; t¡¡0, t¡w передача информации от ресурса к атакующему и от атакующего к клиенту; t5ls, t53r передача подтверждения получения пакетов клиентом и ресурсом, сфальсифицированное атакущим; t¡30, t¡2o - передача информации от клиента к атакующему и от атакующего к ресурсу; ts¡a, t^, t6¡(,- шифрование и расшифровка пакета клиента и ресурса атакующим; t62o, Í67<r фальсификация получения пакета ресурсом и клиентом.

В штатном режиме работы системы, маркеры, отображающие функционирование средств маршрутизации, находятся в состоянии рзо, а передача информации осуществляется через легитимные каналы (ри и p¡4). В случайный момент времени атакующий воздействует на средства маршрутизации (í¿0) и при успехе перенаправляет информацию через себя (tia p¡¡). Трафик между клиентом и ресурсом проходит через атакующего (tso¡, t¡ia,, рно и tS2S, tJ3a p¡70). Он дешифрует пакеты (tm& ígso). получая доступ к информации (рцо и piso), фальсифицирует подтверждения о получении пакетов (f«a t670) и передает их клиенту (tus) или ресурсу (tsl5). «Прочитав» каждый пакет, он снова шифрует его (t610, teso), и передает ресурсу или клиенту (tS40, tS20). Время прослушивания информации определяется функционированием перехода f50. Собрав информацию, нарушитель уходит из сети и легитимные каналы передачи информации восстанавливаются, что соответствует срабатыванию перехода t«j.

Для определения эффективной системы защиты ВК была разработана методика, в основу которой положен алгоритм MITM-атаки на ВК с криптографической защитой трафика. Новизной методики является использование метода

Монте-Карло для статистического анализа текущего состояния защищенной структуры ВК, представленной в терминах расширенных сетей Петри, при случайных характеристиках проводимых атак.

В алгоритме моделирования процесса «МГГМ-атака»-«защита» учитывалась разветвленная конфигурация системы защиты и случайный характер параметров проведения атаки и параметров системы защиты.

Начало атаки определялось воздействием на одну из листовых вершин дерева атак, причем вершина маршрута атаки задавалась случайным числом с равномерным распределением ЙО = {1,2, ...,9}. Параметр квалификации атакующего для каждой моделируемой атаки задавался количеством маркеров в исходной вершине маршрута Цо,т:Мо,т — Я1т» где Я1т- случайная величина с диапазоном изменения 1< Я1т < 100 и шагом ДЯ1т = 1, т - номер ветви атаки.

Результирующее время срабатывания каждого перехода ту_т определялось в модели значениями трех случайных параметров: сложностью проводимой атаки Д2;- т , квалификацией атакующего для преодоления текущего перехода Д3; т (1 < ЯЗ ¡ т < Н1т) и собственно временем проведения атаки Й4ут:

г],т = к2],т • + Щ.т • Щ.т + ' Щ.т .

где k2J¡m, кЗ}т, масштабные коэффициенты соответствующих парамет-

ров атаки.

Процедура отыскания и эксплуатации уязвимости на переходе £у_т дерева атак была представлена в математической модели срабатыванием соответствующего перехода

Кратность входной дуги перехода /(¿/,т) задавалась параметром сложности проводимой атаки на соответствующем переходе

кратность выходной дуги перехода 0((ут) задавалась параметром квалификации атакующего для соответствующего перехода

=

В соответствии с алгоритмом модели срабатывание перехода могло быть реализовано только при выполнении условия:

и(Р!,т) > #(Р],т.%т)), (8)

где |^(pJ|m) - случайное числом маркеров в состоянии, предшествующем переходу оно зависит от числа выходных дуг предыдущего перехода 0({у_1т) и от числа циклов Мп, определяющих срабатывание предыдущего перехода £у_1дп. Поэтому процедура эксплуатации уязвимости определялась числом циклов программы, при которых < #(ру>т,

Количество необходимых процедур для выполнения условия (8)

Ни = Щт-

Таким образом, при моделировании процесса «атака-защита» в ВК с использованием математического аппарата расширенных цветных сетей Петри выполнялось разыгрывание пяти случайных величин ДО, #1т, /?2ут, Д3ут, /?4у имеющих различные законы распределения.

В соответствии с разработанным алгоритмом выполнено моделирование динамического процесса атаки на ВК с различными типами защит. При моделировании был принят «уровень доверия» е = 0,03, что обеспечивалось числом розыгрышей в каждом варианте защиты Ь = 65250.

В качестве базовой системы защиты, успешная атака на которую может быть реализована за контрольное время 168 ч., принят стандартный комплекс мер на основе мониторинга сетевых процессов и разграничения прав доступа к ресурсам без использования специализированного анализирующего или защитного ПО.

С использованием разработанной модели были определены расчетные значения вероятностей несанкционированного доступа к информации ресурса при использовании четырех типов защит:

- защита виртуальной машины;

- защита «диска» виртуальной машины;

- защита хостовой системы;

- средств обеспечения безопасности сетевой инфраструктуры.

Результаты моделирования процессов в ВК с защитой ВМ при проведении М1ТМ-атаки показали, что на момент контрольного времени (168 ч.) вероятность защиты от несанкционированного доступа к информации составила 0,14 (рисунок 8). Поскольку хост и гипервизор ВК не получили дополнительной защиты время доступа к ним не меняется по сравнению с базовой системой защиты.

В том случае, если в ВК используются комплекс защитных средств и ПО для обеспечения конфиденциальности «диска» ВМ, на момент контрольного времени вероятность защиты от несанкционированного доступа к информации составила 0,12, а время доступа к гипервизору увеличилось на 2 часа (3%) по сравнению с базовой системой.

Наиболее эффективной системой для защиты информации ВК оказывается комплекс защитного ПО для хоста. Его использование увеличивает вероятность защиты за контрольное время до 0,2, при этом хост оказывается доступен атакующему через 90 ч, а гипервизор - через 120 ч. Ориентировочное время доступа к информации составит 240 ч.

Использование средств обеспечения безопасности сетевой инфраструктуры ВК оказалось наименее эффективным средством защиты. К контрольному

времени информация будет защищена с вероятностью 0,1; время доступа к хосту составит 67 ч., а к гипервизору - 90 ч.

Поскольку надежное функционирование ВК связано с безопасностью движения поездов он требует высокого уровня защиты. В связи с этим были выполнены расчеты вероятности обеспечения конфиденциальности информации ВК при комплексной защите, т.е. использования всех четырех типов рассмотренных защит (рисунок 8). Результаты показали, что в этом случае за контрольное время информация будет защищена с вероятностью 65%.

Для возможности оценки эффективности применяемых средств защиты виртуального вычислительного комплекса системы, управления, движением поездов разработана программа, использующая С1Л - интерфейс.

Время доступа к гипервизору ВК Время доступа к хосту ВК

г, ч 250 200 150 100 50 f

Время доступа к информации

Hill

р,*-90 ' 8070.

«о!

501 40 ' 30. 20*

ы>» 1 а ш IV

Вероятность обеспечения конфиденциальности информации за контрольное время

Рисунок 8. Вероятностные характеристики защиты ВК при проведении MITM-атаки и различных системах используемой защиты: base - стандартный комплекс мер на основе мониторинга сетевых процессов и разграничения прав доступа к ресурсам без использования специализированного анализирующего или защитного ПО; I- защита ВМ; II - защита "диска" ВМ; III- защита хостовой системы; IV - средства обеспечения безопасности сетевой инфраструктуры; V - комплексная защита, включающая I, II, III и IV типы защит

ЗАКЛЮЧЕНИЕ

В диссертационной работе были выполнены исследования и разработан

метод создания вычислительного комплекса с эффективной системой защиты и использованием средств виртуализации для решения задачи управления движением поездов на участке железной дороги, контролируемом диспетчерской централизацией.

При выполнении работы были получены теоретические и практические результаты:

1. Определены объемы и характеристики информации, использующейся для выполнения алгоритма взаимодействия систем диспетчерской централизации, автоведения поездов и локомотивных устройств безопасности как единого информационно-коммуникационного пространства.

2. Разработана структура комплексной системы управления движением поездов на основе средств цифровой связи со стандартизованными технологиями идентификации, навигации и позиционирования, отличающаяся от существующих тем, что она позволяет повысить уровень взаимодействия участников перевозочного процесса за счет интеграции их полномочий на базе вычислительного комплекса.

3. Разработан программно ориентированный метод взаимодействия элементов вычислительного комплекса на базе математического аппарата сетей Петри. Показано, что данный метод позволяет рассчитывать нагрузки на ресурс от элементов вычислительного комплекса при различных характеристиках потока заявок от участников перевозочного процесса с учетом параллельных и асинхронных процессов их взаимодействия.

4. Разработана методика расчета оптимальной длинны участка ж.д., контролируемого вычислительным комплексом системы управления движением. Показано, что для полигона ж.д. Ярославского направления при допустимом интервале следования поездов и использовании в вычислительном комплексе сервера IBM Flex System х240 длинна такого участка составляет 950км.

5. Разработана система резервирования вычислительного комплекса в соответствии с требованием стандарта СТО РЖД 1.18.002-2009 «Управление информационной безопасностью. Общие положения».

6. Определены возможные маршруты атак на вычислительный комплекс; наибольшую уязвимость вычислительный комплекс имеет при проведении MITM-атаки, а точкой для несанкционированного подключения будет являться радиоканал между системой автоведения поезда и вычислительным комплексом.

7. Разработан вероятностный метод расчета эффективности защиты вычислительного комплекса, который позволил определить значения вероятностей и времени несанкционированного доступа к информации ресурса при случайных параметрах атак и уровней защиты его элементов.

8. Поучено, что за контрольное время защита сетевой инфраструктуры вычислительного комплекса обеспечивает вероятность получения доступа к информации 0,95 по сравнению со стандартным комплексом мер защиты, защита "диска" ВМ - 0,88, защита ВМ - 0,86, защита хостовой системы - 0,8 и увеличивает время доступа в полтора раза.

9. Для вычислительного комплекса системы управления движением поездов рекомендовано использование интегральной системы защиты, обеспечивающей вероятность сохранения конфиденциальности информации 0,65 за контрольное время доступа.

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ РАБОТЫ

Публикации в изданиях, рекомендованных ВАК Минобрнауки России:

1. Корнев, Д.А. Критерии логической сети обслуживания./ Д.А. Корнев // Мир транспорта - 2012.-№2.-С. 134-139.

2. Корнев, Д.А. Симулятор системы управления и обеспечения безопасности железнодорожного транспорта на базе сетевых технологий./ Д.А. Корнев Шамров М.И. Гринфельд И.Н, // Информационные технологии в проектировании и производстве - 2013. - № 2.- С.36 -40.

3. Корнев, Д.А. Влияние характеристик источника информации на вероятность проведения атак. / В.П. Соловьев, Д.А. Корнев // Вопросы защиты информации - 2014. - №2 (105). - С. 37 - 42.

4. Корнев, Д.А. Сетевое взаимодействие в системах виртуализации VirtualBox и VMWare./ В.П. Соловьев, Д.А. Корнев // Программная инженерия -2013. -№9.-С.42-47.

5. Корнев, Д.А. Моделирование динамического состояния виртуальной инфраструктуры с использованием сетей Петри./ Д.А. Корнев // Программная инженерия - 2014. - №5. - С. 14 - 19.

Публикации, не входящие в перечень изданий, рекомендованный ВАК Минобрнауки России:

6. Корнев, Д.А. Уязвимости луковичной маршрутизации в обеспечении безопасности функционирования информационной сети: тез. докл. науч.-практ. конф. / Д.А. Корнев // Труды тринадцатой научно-практической конференции «Безопасность движения поездов». - М.: Московский государственный университет путей сообщения (МИИТ), 2012. - С. VIII-2.

7. Корнев, Д.А. Реализация сетевой МТТМ-атаки в виртуальных компьютерных сетях : тез. докл. науч.-практ. конф. / Д.А. Корнев // Труды научно-практической конференции «Неделя науки - 2012. НАУКА МИИТа - ТРАНСПОРТУ»,- М.: Московский государственный университет путей сообщения (МИИТ), 2012.-С. VII-9.

8. Корнев, Д.А. Повышение конфиденциальности информации виртуальных систем путем использования средств анонимизации: тез. докл. науч.-практ.

конф. / Д.А. Корнев // Труды научно-практической конференции «Неделя науки - 2013. НАУКА МИИТа - ТРАНСПОРТУ».- М.: Московский государственный университет путей сообщения (МИИТ), 2013. - С. VII-5 - VII-6.

9. Корнев, Д.А. Дерево атак на виртуальную инфраструктуру: тез. докл. науч.-практ. конф. / Д.А. Корнев// VII Международный транспортный форум, I Форум транспортного образования «Молодые ученые транспортной отрасли» -М.: Московский государственный университет путей сообщения (МИИТ),

2013.-С.17.

10. Корнев, ДА. Моделирование атак на информационную систему в терминах сетей Петри/ Д.А. Корнев// Труды IV международная научно-практическая конференция «ИнтеллектТранс-2014» / Под ред. A.A. Корниенко.-СПб.: Санкт-Петербургский государственный университет путей сообщения (ПГУПС).- С. 243-249.

11.Корнев, Д.А. Виртуальная система контроля и управления безопасностью работы железнодорожного транспорта/ В.П.Соловьев, Д.А. Корнев // Труды двенадцатой научно-практической конференции «Безопасность движения поездов»,- М.: Московский государственный университет путей сообщения (МИИТ), 2011.- С. 1-6.

12. Корнев, ДА. Методика построения вероятностной модели оценки угроз на информационный ресурс: тез. докл. науч.-практ. конф. / Д.А. Корнев// Международная научно-практическая конференция «Современные проблемы развития интеллектуальных систем транспорта» - Днепропетровск: Днепропетровский национальный университет железнодорожного транспорта (ДНУЖТ),

2014,- С.68-69.

Корнев Д.А. " Разработка и исследование средств взаимодействия приложений и методов защиты вычислительного комплекса транспортной системы" Москва 2015