Вы находитесь на странице: 1из 26

На правах рукописи

Дородников Николай Александрович

РАЗРАБОТКА МЕТОДИКИ ПОВЫШЕНИЯ УРОВНЯ ЗАЩИЩЁН-


НОСТИ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ НА ОСНОВЕ ВЕРОЯТНОСТНОЙ
ПОВЕДЕНЧЕСКОЙ МОДЕЛИ, ИСПОЛЬЗУЮЩЕЙ ДЕРЕВЬЯ АТАК

Специальность 05.13.19 – Методы и системы защиты информации, инфор-


мационная безопасность (технические науки)

АВТОРЕФЕРАТ

диссертации на соискание ученой степени


кандидата технических наук

Санкт-Петербург – 2017
2

Работа выполнена в Санкт-Петербургском национальном


исследовательском университете информационных технологий, механики и
оптики

Научный руководитель: Доктор технических наук, профессор


Арустамов Сергей Аркадьевич

Официальные оппоненты: Буйневич Михаил Викторович


Доктор технических наук, профессор Санкт-
Петербургский государственный университет
телекоммуникаций им.
профессора М.А. Бонч-Бруевича,
профессор кафедры безопасности
информационных систем

Соколов Сергей Сергеевич


Кандидат технических наук, доцент
Государственный университет
морского и речного флота имени
адмирала С.О. Макарова,
начальник управления информатизации

Ведущая организация: АО «Научно-производственное предприятие


«Радар ммс»

Защита состоится «7» июня 2017 г. в «17» часов на заседании


диссертационного совета Д 212.227.05 при Санкт-Петербургском национальном
исследовательском университете информационных технологий, механики и
оптики по адресу: 197101, Санкт-Петербург, Кронверкский пр., д.49., ауд. 285.

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургского


национального исследовательского университета информационных технологий,
механики и оптики по адресу: 197101, Санкт-Петербург,
Кронверкский пр., д.49 и на сайте
http://fppo.ifmo.ru/?page1=16&page2=52&page_d=1&page_d2=145670

Автореферат разослан « ____ » ___________ 2017 года.

Ученый секретарь диссертационного совета


к.ф.-м.н., доцент И.И. Комаров
3

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

В высокой степени эффективность бизнес-процессов, поддерживающих


деятельность предприятия, зависит от качества организации его
информационного пространства, а именно - от наличия современных, правильно
настроенных, безопасных и надежных инструментов сбора, обработки и
передачи информации. Такими инструментами, как правило, являются
локальные сети предприятия с развёрнутыми в них сервисами.
Чаще всего сети строятся специалистами на основе их собственного опыта.
Этот процесс, включающий в себя и выбор структуры, и подбор оборудования и
используемых технологий, субъективен, зачастую не соответствует стандартам
и не учитывает требования по информационной безопасности. К тому же, в связи
с корпоративными потребностями и особенностями, такие сети со временем
начинают модернизировать и расширять набор предоставляемых сервисов, что
при отсутствии должной подготовки на этапе начального проектирования может
привести к серьёзным проблемам со стабильностью и безопасностью работы.
Из-за возможного роста сложности инфраструктуры и стремительного
развития информационных технологий к вопросам планирования сетей следует
уделять особое внимание. Для решения данной задачи возможно привлечение
компаний, осуществляющих не только проектирование, но и монтаж
вычислительных сетей и их техническое сопровождение, включающее в себя
анализ защищённости сети. К сожалению, методы работы таких компаний
обычно являются их «ноу-хау» и составляют коммерческую тайну. Доступ
специалистов, которые могли бы оценить их качество, исправлять недостатки и
улучшать эти методики к таким технология обычно ограничен.
Именно поэтому можно сделать вывод о необходимости появления
отсутствующих на рынке общедоступных методик проектирования сетей,
позволяющих подбирать оптимальные структуры и наборы параметров,
обеспечивающие требуемый уровень информационной безопасности.
Современные научные исследования в данной области имеют существенные
пробелы, к которым можно отнести отсутствие анализа потребностей компаний
4

в внутреннем и внешнем информационном обмене, отсутствие эффективных и


актуальных алгоритмов проектирования вычислительных сетей, позволяющих за
приемлемое время получить результаты, удовлетворяющие требованиям
современных стандартов
В связи с этим разработка эффективной методики, позволяющей
формализовать и автоматизировать задачу оценки защищённости и уровня
рисков информационной безопасности и проектировать на ее основе
надежные и безопасные вычислительные сети является крайне актуальной
научной и практической задачей.
Степень изученности вопросов управления рисками информационной
безопасности сложных систем достаточно высока. Однако существующие
методики управления рисками безопасности, как правило, направлены на оценку
рисков финансовых параметров организаций. Они не подходят для локальных
вычислительных сетей, так как не учитывают их структурно-технологических
особенности. Имеющиеся же исследования и разработки, посвящённые
непосредственно локальным сетям, обладают рядом существенных недостатков,
основными из которых являются: синтез структуры ЛВС без тщательного
анализа потребностей организации в информационном обмене, без учёта
структуры и параметров информационного взаимодействия внутри организации;
использование при расчёте и оптимизации сетевой инфраструктуры
малоэффективных с точки зрения вычислительной сложности алгоритмов,
делающих практически невозможным получение решений с удовлетворительной
точностью за приемлемое время даже на современных вычислительных
машинах.
Что же касается непосредственно оценки уровня защищённости, то она
отличается от простой оценки риска, так как учитывает не только состояние
системы в какой-то момент времени, но и динамику изменения её состояния,
поведение этой системы при ее эволюции и во время противодействия угрозам
информационной безопасности.
5

Необходимо отметить, что большой вклад в разработку основ теории


оценки рисков внесли следующие отечественные исследователи: О. Г. Крюкова,
В.Ф. Бадюков, А. Н. Елохин, В.А. Владимиров и другие.
За рубежом исследованиям рисков информационных систем посвятили
свои работы следующие авторы: Ming-Chang Lee, Hank Marquis, Armaghan
Behnia, Rafhana Abd Rashid, Junaid Ahsenali Chaudhry, Ketil Stolen и другие.
Объектом исследования данной работы является информационная
безопасность локальных вычислительных сетей в условиях атак на
информационные ресурсы и процессы.
Следует учесть, что под рассматриваемыми сетями подразумеваются
локальные вычислительные сети (ЛВС), называемые так согласно исторически
сложившемуся переводу термина Local Area Network (LAN) и представляющие
собой систему, обеспечивающую обмен данными между узлами сети и
реализующий все этапы жизненного цикла информации: обмен, хранение и
обработку.
Предметом исследования являются методы, алгоритмы и процедуры
управления защищённостью в локальных вычислительных сетях.
На практике, под повышением уровня защищённости подразумевается
достижение уровня защищённости, соответствующего заданному пороговому
значению.
Целью диссертационного исследования является достижение
требуемого уровня защищённости локальных вычислительных сетей путём
разработки и применения механизмов оценки и управления их информационной
безопасностью.
Научными задачами диссертационного исследования являются:
1) Разработка метода универсального описания локальной вычислитель-
ной сети, математической модели её поведения во время атаки;
2) анализ существующих и разработка нового метода количественной
оценки уровня рисков информационной безопасности, использующего понятие
6

критичности узлов сети, параметры оборудования и вероятности реализации


угрозы корневых целей в деревьях атак;
3) разработка метода оценки уровня защищённости локальной вычисли-
тельной сети, учитывающей состояние сети во время проведения атак;
4) разработка метода управления защищённостью локальной вычисли-
тельной сети на основе алгоритма подбора адекватных требованиям параметров
рассматриваемой сети на основе генетического подхода.
Методы исследования, использованные для решения поставленных
задач: методы теории графов, математической логики, деревьев атак, оценки
рисков, теории множеств, теории вероятностей и математической статистики,
имитационного моделирования, эвристические методы, современные
методологии программирования.
Научная новизна полученных в работе результатов состоит в
разработке методики оценки и управления информационной безопасностью в
локальных вычислительных сетях, в том числе:
1) Разработке и исследования метода описания сети и математической мо-
дели её поведения во время атаки, использующих понятие квазиподсети и ори-
гинальный метод вероятностных деревьев атак, позволяющих, в отличие от су-
ществующих, формализовать описание и рассчитать вероятность реализации как
известных атакующих действий, так и новых угроз информационной безопасно-
сти при их декомпозиции;
2) разработке метода количественной оценки рисков информационной без-
опасности локальной вычислительной сети, впервые рассматривающего разви-
тие атаки во времени и введение понятия критичности, позволяющего рассмат-
ривать понятие ущерба как безразмерную величину;
3) разработке метода оценки уровня защищённости вычислительной сети
на основе имитационного моделирования, учитывающего временную динамику
поведения сети, и использующего новое понятие робастности сети, характеризу-
ющее изменение её состояния при развивающихся во времени атаках;
7

4) разработке нового метода управления защищённостью, включающего


алгоритм подбора соответствующих заданным требованиям уровня защищённо-
сти параметров оборудования на основе генетического подхода.
Теоретическая значимость результатов работы заключается в следую-
щем:
1) На основе понятия квазиподсети создана формализованная модель для
описания сложных гетерогенных вычислительных сетей и возможности прове-
дения анализа их уязвимости;
2) с помощью предложенного термина критичности была создана возмож-
ность рассматривать понятие ущерба как безразмерную величину;
3) введено новое понятие робастности сети к атакам, характеризующее из-
менение её состояния при развивающихся во времени атаках.
Практическая значимость результатов работы заключается в
следующем:
1) Предложенный набор методов доведён до практической методики, ко-
торая может быть применена для оценки уровней рисков информационной без-
опасности и защищённости в существующих локальных вычислительных сетях
и для выявления в них уязвимых мест;
2) предложенный метод управления защищённостью позволяет за прием-
лемое время выбирать параметры оборудования для обеспечения заданного
уровня защищённости в существующих сетях и при проектировании новых сетей
с заданной топологией;
3) разработанная методика даёт возможность исследовать поведение сети
непосредственно во время атаки и комбинироваться с уже известными для обес-
печения более комплексного анализа противодействия взломам.
Основные научные результаты, полученные в процессе
диссертационного исследования:
1) Исследованы существующие и разработаны оригинальные методы и ма-
тематические модели описания структуры и поведения локальной вычислитель-
ной сети на основе понятия квазиподсети и вероятностных деревьев атак;
8

2) разработан метод количественной оценки рисков информационной без-


опасности локальной вычислительной с использованием понятия критичности,
параметров оборудования и вероятностей реализации угрозы корневых целей в
деревьях атак.
3) разработан метод оценки уровня защищённости локальной вычисли-
тельной сети на основе производимого имитационного моделирования и введе-
нии понятия робастности сети, позволяющего оценить защищённость сети при
атаках, развивающихся во времени.
4) разработан метод управления защищённостью локальной вычислитель-
ной сети, включающего алгоритм подбора соответствующих заданным требова-
ниям уровня защищённости параметров оборудования, на основе генетического
подхода.
Реализация и внедрение результатов работы. Эффективность
полученных результатов подтверждается результатами проведенных
экспериментов, а также результатами внедрения в производственный процесс в
ОАО «Информационно-издательский центр Правительства Санкт-Петербурга
«Петроцентр» и в образовательный процесс на кафедре проектирования и
безопасности компьютерных систем (ПБКС) Университета ИТМО.
Апробация результатов работы.
Основные и промежуточные результаты диссертационного исследования
докладывались и обсуждались на 6 международных и Российских научно-
практических конференциях, и круглых столах:
1) IV Международная научно-практическая конференция «Информаци-
онно-управляющие системы и технологии» (Одесса, 2015)
2) IV Всероссийский конгресс молодых ученых (Санкт-Петербург, 2015)
3) Международная научно-практическая конференция «Развитие науки и
образования в современном мире» (Москва, 2015)
4) II международная научно-техническая конференция «Наука, техника,
инновации 2015» (Брянск, 2015)
9

5) Всероссийская научно-практическая конференция «Информационные


технологии в профессиональной деятельности и научной работе» (Йошкар-Ола,
2014)
6) III Всероссийский конгресс молодых ученых (Санкт-Петербург, 2014)
Основные и промежуточные результаты диссертационного исследования
были представлены на конкурсах грантов для студентов, аспирантов вузов и
академических институтов, расположенных на территории Санкт-Петербурга
(Санкт-Петербург 2014, 2015, 2016), диссертационная работа была поддержана
грантами Правительства Санкт-Петербурга в 2015 и 2016 годах.
Публикации. По теме работы опубликовано 20 научных статей, из них 5
статей — в изданиях, рекомендуемых ВАК. Остальные работы опубликованы в
материалах научно-практических конференций, конгрессов и иных научных
изданиях.
Личный вклад автора. Все основные результаты получены соискателем
лично либо при его прямом участии.
Структура диссертации. Диссертация состоит из введения, четырёх глав
с выводами, заключения, списка литературы из 150 источников и 7 приложений.
Объём диссертации — 185 страницы, приложений — 40 страниц.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы исследования,


сформулированы цели диссертационного исследования, приведены базовые
понятия угроз, рисков и защищённости, определена научная новизна и
практическая значимость достигнутых результатов, перечислены основные
научные положения, выносимые на защиту, обоснована степень достоверности
результатов исследования и определена структура диссертационной работы.
В первой главе характеризуется современное состояние исследуемой
предметной области и рассматриваются сами понятия защищённости и рисков
информационной безопасности применительно к вычислительным сетям.
10

Производится анализ имеющихся на сегодняшний день литературных


источников для поиска существующих методик оценки рисков информационной
безопасности, уровня защищённости локальных сетей, а также — по
моделированию и описанию поведения вычислительных сетей в процессе их
использования и под атаками. Произведённый анализ выявил основные пробелы
и недостатки в данной предметной области, такие, как сугубо теоретическая,
непригодная для использования на практике, ориентация имеющихся
исследований, а также - плохая связность между областями проектирования,
моделирования сетей и областью информационной безопасности.
В первой главе приведены отличительные особенности предлагаемого
метода, главная из которых — его практическая ориентация. Это означает, что в
отличие от множества иных решений, позволяющих оценивать риски или
безопасность, здесь нельзя встретить понятия «реакция СУБД» или «реакция
ОС», в данной работе рассматриваются лишь реальные, измеряемые метрики,
имеющие прямое отношение к работе сети в режиме реального времени. Вторая,
и очень важная особенность этой работы — то, что сеть рассматривается не в
стационарном состоянии, а в состоянии атаки. Это также позволяет уйти от
различных вероятностей наступления той или иной угрозы, которые фактически
невозможно рассчитать и использовать на практике.
В разрабатываемой системе была произведена попытка обобщить
физические параметры с использованием их математических аналогов. За
математическую основу были взяты известные методы оценки рисков, теории
деревьев атак, методы теории надёжности, методы многокритериальной
оптимизации.
Глава заканчивается описанием требований, условий и ограничений
работы предлагаемого метода, выводом списка актуальных задач, позволяющих
достичь цели диссертационного исследования.
Во второй главе предлагается способ моделирования динамики
реализации угроз на основе вероятностных деревьев атак.
11

Вначале указывается, что для достижения цели (вычисление уровней риска


и защищённости сети) потребуется учесть её топологию, параметры
оборудования, пожелания пользователя, разработать математические модели
атакующих действий, их зависимостей и комбинаций.
Для описания структуры вычислительной сети вводится понятие
квазиподсети как структуры хранения описания подсети. Корнем квазиподсети
является маршрутизирующий элемент (поэтому квазиподсети являются
вложенными). Составными элементами квазиподсети являются:
маршрутизирующие и коммутирующие элементы, оборудование провайдера,
группы пользователей с указанием VLAN (виртуальных групп устройств),
серверы, конечные узлы, виртуальные серверы, вложенные квазиподсети.
Каждому типу узла соответствует свой набор определённых параметров
оборудования.
Квазиподсеть представляется в виде:
 топология сети: граф связей между вершинами (каждая вершина имеет
уникальный id);
 таблица сопоставления id и следующих свойств: тип узла, заданные и
искомые параметры оборудования, уровни критичности;
 сопутствующие параметры: потребности в скорости обмена между
подсетями, количестве пользователей, ограничения на подбор параметров,
разграничения доступа между группами пользователей, перспективы
расширения и другое.
Далее приводится обоснование использования вероятностного подхода
при описании динамики реализации угроз, а также приводятся математические
модели описания некоторых типов угроз. Для этого вводится понятие изменения
вероятности реализации угрозы с течением времени 𝑃(𝑡):
𝑃(𝑡) ∈ [0; 1],  𝑡 = [0; +∞).
Моделирование состояния системы производится непосредственно с
момента атаки, т.е. момент при 𝑡 = 0 является моментом начала атаки. Время 𝑡
12

здесь выступает в роли бесконечного счётчика, т.е. представляет собой


дискретную бесконечную временную модель.
В работе на основе теории вероятностей и мат. статистики описан набор из
различных типов математических моделей процессов, с помощью которых в
дальнейшем описываются угрозы. Ниже приводятся некоторые из
рассмотренных моделей:
 процесс с постоянной интенсивностью;
 процесс с промежуточным элементом;
 процесс с использованием резервирования при постоянной
интенсивности;
 процесс с накапливаемым действием;
 процесс с замедленным действием;
 процесс со ступенчатыми потери работоспособности;
 процесс без восстановления состояния;
 процесс с восстановлением состояния.
Каждый из процессов в работе подробно описан с помощью рисунков,
графиков и формул и используется при описании атакующих действий в
деревьях атак. Различные коэффициенты в моделях процессов зависят от
параметров оборудования элементов квазиподсети.
Основным содержательным результатом второй главы является
формальное описание предложенной модификации теории деревьев атак —
вероятностных деревьев атак, описывающих пути достижения целей
злоумышленниками и включающих в себя введение композиции «УИ»
(Упорядоченное И), функции вероятности 𝑃(𝑡) (Рисунок 1), возможность
указания временного интервала атакующего действия для каждого из
поддеревьев и возможность указания уровня сложности атакующего действия
для злоумышленника.
Для заданной квазиподсети получаются несколько деревьев атак, которые
генерируются автоматически:
1) Выбираются все варианты целей атаки (все узлы).
13

2) Для каждой цели строятся два деревья атак (дерево атак на доступность
и дерево атак на конфиденциальность).
3) Учитываются узлы, с которых возможно атаковать конкретную цель.
4) Получаются по 2 дерева для каждой цели, и каждый узел снабжён функ-
цией вероятности 𝑃(𝑡) реализации конкретной угрозы.
5) Для внутренних атак листья дерева находятся внутри сети, а для внеш-
них атак листья указывают на корневой маршрутизатор (сеть подвергается атаке
снаружи периметра).

Рисунок 1 — Модели дерева атак с 𝑃(𝑡) (слева) и пример (справа)


Каждый листовой узел (элементарная угроза) каждого дерева атак
описывается функцией 𝑃(𝑡), вид которой зависит от математической модели
реализации конкретной угрозы. Для вычисления 𝑃(𝑡) для подцелей и
непосредственно целей деревьев атак приводятся соответствующие формулы (в
зависимости от композиции: «И», «ИЛИ», «УИ», их комбинации, вложенность и
прочее), с учётом временных интервалов и уровней сложности атакующих
действий. Таким образом, для каждой цели строится по 2 дерева атак —
доступности и конфиденциальности — и приведён способ расчёта вероятностей
достижения корневых целей конфиденциальности 𝑃𝑖𝐶 (𝑡) и доступности 𝑃𝑖𝐴 (𝑡) в
каждом дереве.
14

Схема основных частей представленного метода отражена на рисунке


(Рисунок 2).

Рисунок 2 — Схема генерации вероятностных деревьев атак


В третьей главе предлагается метод оценки риска и уровня защищённости
вычислительных сетей.
Вначале описываются разнообразные параметры оборудования в
гетерогенных сетях и их влияние на функции вероятности в расширенном дереве
атак. Внимание уделено только параметрам, определяющих доступность и
конфиденциальность. Описываются параметры коммутирующего элемента,
маршрутизирующего элемента, сервера и узла, а также описан комплекс мер
безопасности, влияющих на защищенность сети на программно-техническом
уровне. Все описываемые параметры и защитные меры так или иначе влияют на
вероятности реализации конкретных угроз, от которых в конечном счёте зависит
вводимый чуть ниже риск и защищённость. Приведены примеры такого влияния
и полная классификация описываемых параметров оборудования.
Особое внимание уделено прикладным экспертным оценкам. Экспертное
оценивание требуется для выяснения степени влияния различных признаков,
которые в конечном счёте влияют на коэффициенты функций вероятности 𝑃(𝑡)
реализации угроз. Проводятся 2 вида экспертного оценивания:
15

 непосредственная оценка — для всех мер безопасности; каждой мере


безопасности эксперт приписывает 2 числа в диапазоне [− 10; + 10]: степень
влияния на конфиденциальность и на доступность;
 ранжирование — для указания приоритетов общих мер безопасности
(наравне с их оцениванием): в каком порядке, по мнению эксперта, важно
включать эти меры безопасности для увеличения защищённости.
Приведены формулы агрегации, интерпретации и нормировки оценок,
полученных от нескольких экспертов.
После обозначенных разделов производится анализ существующих
методов оценки риска, выявляется их неприменимость для оценки риска в
вычислительных сетях. В связи с этим, предлагается новый метод оценки риска
с использованием деревьев атак и параметров оборудования. Поскольку
рассматривается динамика атаки, то риск также зависит от времени. В качестве
вероятностей реализации угрозы рассматриваются 𝑃(𝑡) корневых целей в
деревьях атак, а вместо ущерба предлагается ввести понятие критичности —
задаваемая пользователем безразмерная величина, показывающая
относительное влияние факта компрометации конкретного элемента
вычислительной сети на работоспособность сети и на происходящие с её
участием бизнес-процессы. Введение этого понятия позволяет уйти от
размерности единиц ущерба, что даёт возможность рассматривать риск как
скалярную величину.
Для квазиподсети существует несколько целей атак, для каждой из
которых строятся деревья атак по доступности и конфиденциальности. С учётом
этого, риски считаются по следующим формулам:
∑𝑖 𝐷𝑖 𝑃𝑖𝐴 (𝑡)
𝑅𝐴 (𝑡) = ; (𝟏)
∑𝑖 𝐷𝑖
∑𝑖 𝐷𝑖 𝑃𝑖𝐶 (𝑡)
𝑅𝐶 (𝑡) = , (𝟐)
∑𝑖 𝐷𝑖
где 𝑅𝐴 (𝑡) есть уровень риска по доступности, 𝑅𝐶 (𝑡) уровень риска по
конфиденциальности, 𝑖 принадлежит множеству всех целей для данной
квазиподсети, 𝐷𝑖 — критичность, 𝑃𝑖𝐶 (𝑡) — вероятность достижения цели в
16

дереве конфиденциальности, 𝑃𝑖𝐴 (𝑡) — вероятность достижения цели в дереве


доступности.
Оба значения риска нормированы, то есть принадлежат диапазону [0;1].
Причём 𝑅𝐴 (0) = 𝑅𝐶 (0) = 0, а с течением времени значения возрастают.
Также можно определить уровень полного нормированного риска как
𝑅𝐴 (𝑡)   +   𝑅𝐶 (𝑡)
𝑅(𝑡)   =   . (𝟑)
2
Предлагается метод определения уровни защищённости сети.
Защищённость сети это значение в диапазоне [0;1], учитывающее топологию
сети и зависящее от всех деревьев атак, но не зависящее от времени (в отличие
от риска). Обосновывается, что вместо аналитических вычислений будет
использоваться имитационное моделирование течения времени: с интервалом 𝛥𝑡
(𝑡 = 0, 𝛥𝑡, 2𝛥𝑡, …) рассчитываются все вероятности 𝑃(𝑡) с учётом всей необходимой
логики, реализованной программно. Для каждого t оцениваются все
сгенерированные деревья атак и вычисляется функция робастности сети 𝑈(𝑡),
показывающая степень устойчивости сети к угрозам, вида
∑𝑖 𝐷𝑖 (𝑃𝑃𝐶 (𝑡)   +   𝑃𝑖𝐴 (𝑡))
𝑈(𝑡)   =  1  −  𝑅(𝑡)   =  1  −   , (𝟒)
2 ⋅ ∑𝑖 𝐷𝑖
где 𝑖 пробегает набор всех целей, 𝐷𝑖 — критичность, 𝑃𝑖𝐶 (𝑡) — вероятность
достижения цели в дереве конфиденциальности, 𝑃𝑖𝐴 (𝑡) — вероятность
достижения цели в дереве доступности.
Функция робастности 𝑈(𝑡) является убывающей, со значениями в
интервале [0;1] (Рисунок 3). Чем медленнее она убывает, тем меньше
взвешенные вероятности успешной атаки 𝑃𝑖𝐶 (𝑡) и 𝑃𝑖𝐴 (𝑡).
Обозначив за 𝑇ℎ момент, когда значение 𝑈(𝑡) достигнет 0.5, рассмотрим
динамику снижения при 𝑡 < 𝑇ℎ (Рисунок 3). На рисунке на правом графике 𝑈(𝑡)
есть скачок, то есть резкое изменение значений на коротком интервале. Такие
резкие изменения — неважно, в начале графика или в конце — должны быть
учтены. Так, отсутствие скачков является положительным фактором, ведь 𝑈(𝑡)
есть вероятностный процесс, и скачки в этом вероятностном графике
17

свидетельствуют о нестабильности и в реальности могут быть причиной того,


что атака успешно завершится раньше предполагаемого срока.

Рисунок 3 — Снижение 𝑈(𝑡) практически идеальное и со скачком


Учёт скачков происходит следующим образом. Известны значения 𝑈(𝑡):
𝑢0 = 𝑈(0), 𝑢1 = 𝑈(𝛥𝑡), 𝑢2 = 𝑈(2𝛥𝑡), … , 𝑢𝑛 = 𝑈(𝑇ℎ ), число точек 𝑛 = 𝑇ℎ /𝛥𝑡.

Предлагаемый метод базируется на методе конечных разностей, где в


дискретном случае производная заменяется выражением
𝑈(𝑡1   +  Δ𝑡)   −  𝑈(𝑡1 )
𝑈’(𝑡1 )   =   . (𝟓)
Δ𝑡
В работе требуется учесть падение функции не между соседними точками,
а на более обширном интервале времени для учёта крупного скачка (Рисунок 4).
Для этого в (5) вместо 𝛥𝑡 будем использовать 𝑚 ⋅ 𝛥𝑡, где m — на сколько точек
«вперёд» делается прогноз. Назовём m шириной окна, а саму модифицированную
формулу — оконной конечной разностью:
𝑈(𝑡1   +  𝑚 ⋅ Δ𝑡)   −  𝑈(𝑡1 )
, (𝟔)
𝑚 ⋅ Δ𝑡
На практике значение m зависит от количества точек n: 𝑚 = 𝑤 ⋅ 𝑛, где w —
относительная ширина окна (Рисунок 4).

Рисунок 4 — К расчёту 𝑘𝑖 с шириной окна w


18

Перебирая все возможные точки 𝑡1 (𝑢0 , 𝑢1 , … , 𝑢𝑛⋅(1−𝑤) — т.е. 𝑢𝑖 , где 𝑖 ∈


[0; 𝑛 ⋅ (1 − 𝑤)]), вычисляем для каждой значение и запоминаем минимальное (т.к.

значения 𝑢 убывают). Таким образом был введён коэффициент нестабильности:


min 𝑈((𝑖  +  𝑤 ⋅ 𝑛)Δ𝑡)   −  𝑈(𝑖Δ𝑡)
𝑘𝑖   =    − 1 ⋅ , (𝟕)
𝑖  ∈   [0; 𝑛 ⋅ (1  −  𝑤)] 𝑤 ⋅ 𝑛 ⋅ Δ𝑡
где 𝑛 = 𝑇ℎ /𝛥𝑡 есть количество точек, 𝑇ℎ есть момент достижения 𝑈(𝑡)
значения 0.5, 𝑤 есть относительная ширина окна (на практике было взято 0.2).
Чем 𝑘𝑖 меньше — тем поведение функции 𝑈(𝑡) стабильнее.
Описывается формула значения убывания с учётом нестабильности:
0.5 ⋅ (1  +  𝑒𝑘𝑖 )
𝑑(𝑇ℎ , 𝑘𝑖 )   =  arctg( ), (𝟖)
𝑇ℎ
где 𝑇ℎ есть момент достижения 𝑈(𝑡) значения 0.5, 𝑘𝑖 — коэффициент
нестабильности (7).
Показано, что если взять два набора значений параметров оборудования
{𝑧11 , 𝑧21 , … , 𝑧𝑛1 } и {𝑧12 , 𝑧22 , … , 𝑧𝑛2 }, и вычислить 𝑑1 = 𝑑(𝑇ℎ1 , 𝑘𝑖1 ) и 𝑑2 = 𝑑(𝑇ℎ2 , 𝑘𝑖2 ), то для

сравнения этих наборов можно сравнивать значения 𝑑1 и 𝑑2 . При выполнении


условия 𝑑1  < 𝑑2 первый набор в среднем обеспечивает лучшую динамику
противостояния атаке — с учётом топологии и критичностей.
Вычисление уровня защищённости производится следующим образом:
 выбирается набор параметров оборудования {𝑧1𝑏 , 𝑧2𝑏 , … , 𝑧𝑛𝑏 } (максимально
возможная конфигурация), дающий наиболее медленное снижение U(t),
вычисляются 𝑇ℎ𝑏 , 𝑘𝑖𝑏 , и оттуда 𝑑(𝑇ℎ𝑏 , 𝑘𝑖𝑏 );
 выбирается противоположный набор {𝑧1𝑤 , 𝑧2𝑤 , … , 𝑧𝑛𝑤 } (минимальная
конфигурация параметров), вычисляются 𝑇ℎ𝑤 , 𝑘𝑖𝑤 , и оттуда 𝑑(𝑇ℎ𝑤 , 𝑘𝑖𝑤 );
 для каждого анализируемого набора заданных параметров оборудования
{𝑧1 , 𝑧2 , … , 𝑧𝑛 } вычисляются 𝑇ℎ , 𝑘𝑖 и 𝑑(𝑇ℎ , 𝑘𝑖 ) (Рисунок 5) и сравниваются с b-набором

и w-набором:
𝑑(𝑇ℎ , 𝑘𝑖 )   −  𝑑(𝑇ℎ𝑤 , 𝑘𝑖𝑤 )
𝑍  =   . (𝟗)
𝑑(𝑇ℎ𝑏 , 𝑘𝑖𝑏 )   −   𝑑(𝑇ℎ𝑤 , 𝑘𝑖𝑤 )
19

Выражение (9) предлагается использовать как формулу расчета уровня


защищённости сети. Значение 𝑍 находится в диапазоне [0;1], и чем больше —
тем сеть более защищена.

Рисунок 5 — К расчёту углов для неидеального снижения 𝑈(𝑡)


Значение 𝑍 по мере приближения к максимуму 𝑇ℎ𝑏 замедляет свой рост.
(Рисунок 6), что полностью соответствует практическому опыту
конфигурирования сетей. Так, включив самые базовые меры безопасности и
ликвидировав основные уязвимости, можно добиться допустимого уровня
защищённости.

Рисунок 6 — Значения уровня защищённости замедляют рост по мере приближения к


максимуму
Дальнейшее увеличение возможного времени противостояния атаке
требует больших финансовых вложений, что может оказаться нецелесообразным
с практической точки зрения.
Чаще всего требуется обеспечить золотую середину: найти такие
параметры оборудования, чтобы обеспечить 𝑍 > 𝑍0 , где 𝑍0 задаётся пользователем
из его соображений, чтобы соблюсти баланс между динамикой сопротивления
атаке и вложениями в оборудование. С практической точки зрения, учитывая
20

принцип разумной достаточности, для большинства сетей коммерческих


организаций значения 𝑍0 в интервале [0.5–0.6] являются оптимальными.
Общая схема — начиная от входных данных и заканчивая расчётом рисков
и уровня защищённости — приведена на рисунке (Рисунок 7). Проведение одной
итерации вычисления показателей по параметрам оборудования на сетях
среднего размера занимает 10–15 секунд.

Рисунок 7 — Общая схема расчёта уровня защищённости


В четвёртой главе описываются методы подбора адекватных параметров
оборудования для достижения нужного уровня защищённости, а также
приводится пример применения разработанного алгоритма.
Если ранее рассматривалась процедура вычисления значения 𝑍 при
известных параметрах оборудования {𝑧1 , … , 𝑧𝑛 }, то теперь ставится задача поиска
таких {𝑧1 , … , 𝑧𝑛 }, чтобы обеспечить одновременно и 𝑍 > 𝑍0 , и минимально
возможное значение 𝑍 (поскольку чем оно меньше, тем проще реализуется на
практике). Задача сложна тем, что для сетей среднего размера есть сотни
параметров различного типа, от каждого из которых значение 𝑍 зависит
21

совершенно нетривиальным образом, в связи с чем требуется исследовать


применимость различных методов оптимизаций.
Рассматриваются следующие методы оптимизации произвольных
функций:
 перебор по сетке; на маленьких сетях сходится быстро, на сетях среднего
и большого размера работает недопустимо долго;
 градиентные методы, оказавшиеся неприменимыми в силу отсутствия
гладкости функций вероятности при расчёте подцелей;
 метод ветвей и границ, который не был реализован, так как не везде
найдено упрощение функции U для процедуры оценки границ;
 метод перебора Монте–Карло, быстро находящий решение, если его
найти легко, но работающий чересчур долго при высоких требованиях к
безопасности;
 стохастический жадный алгоритм фиксации, в среднем работающий в 4–
5 раз быстрее Монте–Карло, однако тоже неприменимый на сетях большого
размера и при реальных требованиях к безопасности;
 генетические алгоритмы, показавшие наибольшую стабильность при
нахождении решения, но не самую высокую скорость на сетях малого и среднего
размеров.
Приводится описание реализации и сравнение реализованных способов, по
итогам которого был выбран генетический алгоритм. Он подробно описывается
и обосновывается выбор его параметров.
Далее в четвёртой главе отмечены основные моменты программной
реализации на языке Python, основной акцент которой делается на том, чтобы
обеспечить максимальную гибкость конечного продукта: чтобы без изменения
программной логики (через конфигурационные файлы) была возможность
изменять деревья атак, настраивать атакующие действия и пр.
Основные модули программной реализации следующие:
 конфигурация деревьев атак через json-файлы;
 конфигурация параметров оборудования через json-файлы;
22

 генетический алгоритм подбора адекватных указанному уровню


защищённости параметров оборудования;
В четвертой главе также приводится подробный и детальный пример
использования разработанного метода на реально существующей сети. По шагам
описаны процессы сбора входных данных, генерации модели сети и построение
вероятностных деревьев атак, оценка защищённости при исходных параметрах
(выявлен уровень защищённости исходной сети 𝑍 = 0.319).
После этого в примере описан процесс подбора адекватных параметров
при заданном уровне защищённости 𝑍  = 0.8. Результатом работы генетического
алгоритма явилось подобранное значение защищённости 𝑍 = 0.804, при этом
время работы составило 3.5 часа при 429 проведенных итерациях. В результате
был получен файл, содержащий набор всех параметров элементов сети и
необходимых мер безопасности. Содержимое всех конфигурационных файлов, и
файлов с входными и полученными данными приводится в соответствующих
Приложениях к пояснительной записке.

ЗАКЛЮЧЕНИЕ

В ходе исследований, выполненных в рамках диссертационной работы,


получены следующие основные теоретические и практические результаты:
 Разработан метод универсального описания локальной вычислительной
сети, математическая модель поведения локальной вычислительной сети во
время атаки;
 произведён анализ существующих и разработан новый метод
количественной оценки уровня рисков информационной безопасности,
использующий понятие критичности узлов сети, параметры оборудования и
вероятности реализации угрозы корневых целей в деревьях атак;
 разработан метод оценки уровня защищённости локальной
вычислительной сети, учитывающий состояние сети во время проведения атак;
23

 разработан метод управления защищённостью локальной


вычислительной сети на основе алгоритма подбора адекватных требованиям
параметров рассматриваемой сети на основе генетического подхода.
На основе данных методов и моделей предложена методика оценки и
управления защищённостью и рисками информационной безопасностью
вычислительных сетей.
Разработанные методы успешно применены для определения уровня
рисков информационной безопасности и защищённости на предприятии ОАО
«Информационно-издательский центр Правительства Санкт-Петербурга
«Петроцентр», а также - для составления предложений по повышению уровня
защищённости его вычислительной сети.

СПИСОК ОПУБЛИКОВАННЫХ РАБОТ ПО ТЕМЕ ДИССЕРТАЦИИ

В рецензируемых научных изданиях


1. Дородников Н.А. Разработка математической модели универсальной
ЛВС с учётом требований информационной безопасности / Н.А. Дородников,
Безбородов Л.А., Арустамов С.А., Дородникова И.М. // Научно-технический
вестник Поволжья. №2 2015г. – Казань: Научно-технический вестник Поволжья,
2015. – С. 115-118.
2. Дородников Н.А. Реализация генетического алгоритма расчета
параметров модели универсальной ЛВС в момент противодействия угрозам
информационной безопасности // Научно-технический вестник Поволжья. №3
2015г. – Казань: Научно-технический вестник Поволжья - 2015. - С. 126-128.
3. Дородников Н.А. Построение модели нарушителя информационной
безопасности для мультиагентной робототехнической системы c
децентрализованным управлением / Дородников Н.А., Юрьева Р.А., Комаров
И.И. // Программные системы и вычислительные методы. — 2016. - № 1. - С.42-
48.
24

4. Дородников Н.А. Методы и алгоритмы оптимизации параметров


элементов ЛВС при их проектировании / Дородников Н.А., Арустамов С.А.,
Юрьева Р.А. // Вопросы защиты информации. - 2016. - № 1. – С.74-78.
5. Дородников Н.А., Арустамов С.А. Разработка вероятностной
поведенческой модели для защиты вычислительной сети с использованием
деревьев атак // Научно-технический вестник информационных технологий,
механики и оптики. 2016. Т. 16. № 5. С. 960–962.
В других изданиях
6. Дородников Н.А. Разработка системы планирования, развёртывания и
комплексной защиты сети / Дородников Н.А., Филиппова Ю.Г., Дородникова
И.М. // Инновации на основе информационных и коммуникационных
технологий (ИНФО-2012): матер. 9-й междунар. науч.-практ. конф., посвящ. 50-
летию МИЭМ и 20-летию НИУ ВШЭ, Россия, г. Сочи, 1-12 окт. 2012 г. / МИЭМ
НИУ ВШЭ [и др.]. - М., 2012. 524-526.
7. Дородников, Н.А. Проблемы развития корпоративных локальных сетей
/ Дородников Н.А. // Инновационные информационные технологии: матер.
междунар. науч.-практ. конф., г. Прага, Чехия, 22-26 апр. 2013 г. В 4 т. Т. 2 /
МИЭМ НИУ ВШЭ [и др.]. - М., 2013. 75-79.
8. Дородников Н.А. Типизация алгоритмов развертывания локальных
сетей / Дородников Н.А., Филиппова Ю.Г., Евлахова А.В., Златина Е.А.,
Малинин А.А. // Сборник тезисов докладов II Всероссийский конгресс молодых
ученых. СПб: НИУ ИТМО, 2013. 140-141.
9. Дородников Н.А. Проблема эволюции сетей предприятий малого
бизнеса / Дородников Н.А., Филиппова Ю.Г., Златина Е.А., Евлахова А.В. //
Интеграция науки и практики как механизм эффективного развития
современного общества: материалы VI международной научно-практической
конференции, г. Москва, 26–27 декабря 2012 г. / Науч.-инф. издат. Центр
«Институт стратегических исследований». – Москва: Изд-во «Спецкнига», 2012.
54-60.
25

10. Дородников Н.А. Разработка системы планирования, развертывания и


комплексной защиты сети / Дородников Н.А., Малинин А.А. // Сборник трудов
молодых ученых, аспирантов и студентов научно- педагогической школы
кафедры ПБКС «Информационная безопасность, проектирование и технология
элементов и узлов компьютерных систем». / Под ред. Ю. А. Гатчина. – СПб: НИУ
ИТМО, 2013. Выпуск 2. 21-26.
11. Дородников Н.А. Проблемы эволюции корпоративных сетей /
Дородников Н.А., Дородникова И.М., Арустамов С.А. // Сборник научных
трудов Sworld. 2013. Т. 12. № 4. С. 51-56.
12. Дородников Н.А. Проблемы эксплуатации корпоративных сетей,
выявление их причин / Дородников Н.А., Дородникова И.М., Арустамов С.А. //
Сборник научных трудов Sworld. 2013. Т. 12. № 4. С. 62-66.
13. Дородников Н.А. Пути решения проблем локальных сетей на этапах
планирования и эксплуатации / Дородников Н.А., Дородникова И.М., Арустамов
С.А. // Сборник научных трудов Sworld. 2013. Т. 12. № 4. С. 66-70.
14. Дородников Н.А. Система защиты конфиденциальной информации для
мобильных устройств предприятий малого бизнеса / Дородников Н.А., Малинин
А.А., Златина Е.А., Филиппова Ю.Г., Евлахова А.В. // Сборник трудов
Всероссийского конгресса молодых ученых. - 2013. - Т. 1. - С. 146-147.
15. Дородников Н.А. Методы и алгоритмы автоматизации обеспечения
безопасности сетевых ресурсов с использованием гетерогенных платформ /
Дородников Н.А. // XLШ научная и учебно-методическая конференция НИУ
ИТМО 28-31 января 2013.
16. Дородников Н.А. Современные автоматизированные информационно-
измерительные системы и проблемы их безопасности в контексте
инновационных для России областей их применения / Дородников Н.А. //
Инновации в профессиональном образовании и научных исследованиях вуза. -
2014. - С. 21-24.
17. Дородников Н.А. Методы и алгоритмы автоматизации обеспечения
безопасности сетевых ресурсов с использованием гетерогенных платформ /
26

Дородников Н.А., Ботвинкин П.В., Филиппова Ю.Г. // Сборник тезисов докладов


конгресса молодых ученых. Вып.1. - СПб.: Университет ИТМО, 2014. - 485 с.. -
2014. - С. 239-240.
18. Дородников Н.А. Автоматизация процессов обеспечения безопасности
сетевых ресурсов в гетерогенных ЛВС / Дородников Н.А., Филиппова Ю.Г.,
Арустамов С.А., Гатчин Ю.А. // Информационные технологии в
профессиональной деятельности и научной работе: сборник материалов
Всероссийской научно-практической конференции с международным участием,
Йошкар-Ола: ПГТУ. - 2014. - С. 265-269.
19. Дородников Н.А. Исследование возможности использования
генетических алгоритмов для оценки защищенности ЛВС / Дородников Н.А.,
Арустамов С.А., Каторин Ю.Ф., Юрьева Р.А., Филиппова Ю.Г. //
«Информационные управляющие системы и технологии» (ИУСТ-ОДЕССА-
2015). Материалы Международной научно-практической конференціии, 22 – 24
сентября 2015 г. - 2015. - С.167-169.
20. Дородников Н.А. Эпидемиологический алгоритм обеспечения
информационной безопасности мультиагентных робототехнических систем /
Дородников Н.А., Комаров И.И., Каторин Ю.Ф., Юрьева Р.А., Филиппова Ю.Г.
// «Информационные управляющие системы и технологии» (ИУСТ-ОДЕССА-
2015). Материалы Международной научно-практической конференціии, 22 – 24
сентября 2015 г. - 2015- Т. 1. - С. 177-179.