psuti.ru · 2018-06-29 · Федеральное агентство связи...
TRANSCRIPT
Федеральное агентство связи
Федеральное государственное бюджетное образовательное учреждение
высшего образования
«Поволжский государственный университет телекоммуникаций и
информатики»
На правах рукописи
Губарева Ольга Юрьевна
РАЗРАБОТКА МЕТОДИКИ ОЦЕНКИ РИСКОВ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
КОРПОРАТИВНЫХ ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ
Специальность 05.12.13
Сети, системы и устройства телекоммуникаций
Диссертация на соискание учёной степени кандидата технических наук
Научный руководитель –
доктор физико-математических наук,
доцент Осипов Олег Владимирович
Самара – 2018
2
ОГЛАВЛЕНИЕ
Введение 5
1. Методики и системы для анализа состояния информационной безопасности в
телекоммуникационных системах 16
1.1. Понятие аудита информационной безопасности 16
1.2. Цели и задачи аудита информационной безопасности 18
1.3. Инструментальные средства оценки рисков информационной безопасности 22
1.3.1. Гриф 2005 из состава Digital Security Office 22
1.3.2. Методика оценки рисков информационной безопасности компании
riskwatch 25
1.3.3. Методика Operationally Critical Threat, Asset, And Vulnerability Evaluation
(OCTAVE) 28
1.3.4. Метод CRAMM 29
1.3.5. Методика Microsoft 30
1.4. Методики и подходы оценки рисков информационной безопасности 31
1.4.1. Байесовский классификатор (подход) 31
1.4.2. Метод ближайшего соседа 34
1.4.3. Нечеткая логика 38
Выводы по главе 1 41
2. Оценка рисков информационной безопасности телекоммуникационной сети на
основе вероятностных критериев 43
2.1. Модель оценки рисков информационной безопасности
телекоммуникационной системы 43
2.2. Модель оценки риска информационной безопасности для определенной
уязвимости. 48
2.3. Информативность испытаний 53
2.4. Различающие свойства простейших испытаний 57
2.4.1. Испытания с единичными условными вероятностями исходов 61
2.5. Перечень испытаний 64
3
2.6. Алгоритмы оценки рисков информационной безопасности информационной
системы 70
2.7. Безусловные и условные алгоритмы оценки рисков информационной
безопасности информационной системы 73
2.8. Оптимизация алгоритмов оценки рисков информационной безопасности
информационной системы 75
2.9. Реализация алгоритма для оценки рисков информационной безопасности
информационной системы компании, основанная на байесовском вероятностном
подходе 85
2.9.1. Упрощенная процедура оценки рисков информационной безопасности 88
2.9.2. Подготовка информации 90
Выводы по главе 2 91
3. Применение фрактальных методов анализа телекоммуникационного трафика к
обнаружению уязвимостей информационной безопасности 93
3.1. Фрактальная модель и самоподобие телекоммуникационного трафика 94
3.2. Выявление сетевых атак как один из методов управления рисками
информационной безопасности 97
3.3. Применение фрактальных мер к телекоммуникационному трафику 99
3.3.1. Методика вычисления «нормированного размаха херста» 100
3.3.2. Метод восстановления фазового пространства 104
3.3.3. Метод ложных ближайших соседей 105
3.3.4. Вычисление корреляционного интеграла и корреляционной размерности109
3.4. Программное обеспечение для оценки сетевого трафика 111
3.5. Сетевые атаки 114
3.6. Сравнение фрактальных мер сетевого трафика в нормальном режиме работы
сети и при наличии DoS/DDoS-атаки 115
3.6.1. Анализ фрактальных мер телекоммуникационного трафика в нормальном
состоянии 118
3.6.2. Анализ фрактальных мер телекоммуникационного трафика при наличии
сетевой атаки 131
4
Выводы по главе 3 146
Заключение 148
Список сокращений и условных обозначений 151
Список литературы 152
5
ВВЕДЕНИЕ
Актуальность. На современном этапе развития общества, когда
информационную эру сменяет цифровая, глобальным трендом становится
цифровизация предприятий. Технологически цифровизация базируется на
масштабируемой облачной платформе и безопасной и стабильной корпоративной
сети телекоммуникаций, обеспечивающей разнообразные сетевые сценарии. При
этом, поскольку корпоративные сети телекоммуникаций обеспечивают
технологические процессы предприятия, основным приоритетом является их
надежность и информационная безопасность (ИБ) в них. Очевидно, что
цифровизация предприятия может быть успешной только в том случае, если
облако и сеть будут в состоянии гарантировать безопасность корпоративных
данных. Вместе с тем, подключение корпоративной сети к облачной платформе,
внешним сетям, использование гаджетов и электронных сервисов потенциально
приводят к ее уязвимости. Все это делает проблему защиты информации и
обеспечение ИБ в корпоративных сетях телекоммуникаций в целом и задачу
определения рисков ИБ в этих сетях в частности крайне актуальными.
При этом на первый план выходит создание быстродействующих методик
как для оценки рисков ИБ в целом, так и локальных индикаторов состояния ИБ
[127].
Компании в ходе осуществления своей профессиональной деятельности
подвержены разнообразным информационным рискам, которые, так или иначе,
влияют, на ведение бизнеса, и негативно сказываются на финансовом положении
организации [47]. Современное положение дел бизнеса диктует необходимость
использования в работе компаний, обоснованных технических и экономических
методов и средств, позволяющих количественно и качественно измерять уровень
обеспечения ИБ, а также адекватно оценивать финансирование затрат на ИБ. Для
эффективного обеспечения ИБ организаций, необходим направленный,
регулярный, системный и комплексный подход, одну из важнейших ролей в
котором играет комплексный аудит ИБ. Указанные проблемы затронуты, в
частности, в [123].
6
Построение практически любой системы ИБ должно начинаться с анализа
рисков [46]. До начала проектирования системы ИБ необходимо точно
определить, какие условия и факторы могут повлиять на нарушение целостности
системы, конфиденциальности и доступности циркулирующей в ней информации
и оценить насколько они потенциально опасны.
Грамотный учет существующих угроз и уязвимостей корпоративной сети
телекоммуникаций, выполненный на этой основе анализ рисков закладывает
основу для выбора решений с необходимым уровнем ИБ при минимальных
затратах [43].
На сегодняшний день уровень инфокоммуникационных технологий
предоставляет нам возможность реализации современных сетевых приложений
для проведения аудита ИБ, позволяющих оценить уровень защищенности
корпоративной сети телекоммуникаций на основе вероятностных критериев
оценки рисков, предлагающих те или иные рекомендации по устранению
уязвимостей корпоративной сети телекоммуникаций компании, которые на
прямую зависят от особенностей построения этой сети. Такие системы,
выступающие в качестве полноправных аудиторов ИБ, сочетают в себе
обеспечение недостижимых для обычных аудиторов (в силу человеческого
фактора) и систем полноты картины решаемых проблем и детальности их
проработки [35-37, 39, 41, 179, 192].
В связи с распространением информационно-телекоммуникационных
технологий и развитием всемирной системы объединённых компьютерных сетей
Internet, реализация таких систем в виде Web-приложений, которые, в свою
очередь, могут быть установлены на любом устройстве, несомненно,
представляет практический интерес и сможет найти широкое распространение.
По сути, подобные системы представляют собой экспертные web-сервисы для
анализа рисков ИБ как всей инфраструктуры в целом, так и определенных её
сегментов [10, 35-37, 39, 41, 46, 88, 101, 119, 132, 187, 197].
Степень разработанности темы исследований. Вопросы обеспечения ИБ
мультисервисных сетей, к которым относится и большинство корпоративных
7
телекоммуникационных сетей, рассмотрены в работах И.В. Котенко, А.А.
Чечулина, А.П. Алферова, А.С. Кузьмина, Д.П. Зегжда, Б.Я. Рябко, А.А.
Шелупанова, А.Д. Новикова, Л.Г. Осовецкого, А.Г. Лысенко, Е.В. Зубкова, X. Ou,
I. Ray, R. Dewri, A. Singhal, N. Poolsappasit, S. Owre, N. Shankar, J. Rushby, W.
Diffie, N. Ferguson, B. Forouzan, B. Dillaway, J. Hogg, Kaur N. Harshna, P Docas,
A.B. Shahri, Z. Ismail и др. [56, 60, 61, 63, 72, 73, 83-85, 96, 122, 134, 154, 157, 182,
183, 188, 193]. Вопросам оценки рисков ИБ посвящены работы А.О.
Калашникова, Ю.Ю. Громова, В.Н. Максименко, Г.А. Остапенко, М.В.
Степашкина, М. Аль-Балуши, С.С. Соколова, Р.А. Нурдинова, Е.В. Ермилова,
А.В. Львовой, О.Н. Выборновой, X. Ou, A. Singhal, H. Joh, A. Vorster, C. Alberts,
A. Dorofee, L. Marino, J. Soo, A. Jones, D. Ashenden, K. Hoo [2-4, 13, 12, 16, 18, 21,
31, 54, 58, 59, 63, 64, 66, 86, 88, 94, 97-100, 144, 158, 165, 166, 182, 193, 198].
Рассмотренные методики либо не обладают достаточным быстродействием в
своей работе, либо не учитывают всех рисков ИБ. С точки зрения защиты
информации и согласно теории катастроф, это является не вполне корректным и
может привести к большим потерям, что и определяет потребность в разработке
новых методик и алгоритмов оценки рисков ИБ.
Также необходимо отметить вклад в развитие теоретических основ
управления рисками ИБ в работах ряда зарубежных университетов и
коммерческих структур: BSI, CMU, IEC, ISO, MITRE, NIST. Анализ работ в
данной области показывает, что при всей значимости проведенных исследований,
проблема количественной и качественной оценки рисков ИБ корпоративной сети
телекоммуникаций изучена и практически проработана пока не в полной мере.
В настоящее время существует достаточно большое количество
автоматизированных систем, решающих различные задачи анализа рисков ИБ, но
ни одна из этих систем не учитывает аспекты, специфичные для
телекоммуникационной отрасли. Здесь стоит обратить внимание на то, что
корпоративные сети телекоммуникаций имеют множество уязвимостей,
возникающих как при разработке системного программного обеспечения, так и
при неправильной конфигурации оборудования. Кроме того, анализ
8
транспортного оборудования автоматизированными системами анализа рисков
ИБ такого рода, как правило, не проводится, редкостью также можно считать и
сканирование портов оборудования сети. Необходимо отметить, что компании
должны не только осуществлять мониторинг состояния портов своего
оборудования, но отслеживать скачки трафика, связанные с DoS/DDoS-атаками,
так как на данном этапе их функционирования это является вполне выполнимой
задачей. В настоящее время систем анализа и выявления причин скачков
телекоммуникационного трафика известно не так много [15, 16, 51, 52, 57, 69, 70,
89, 93, 98, 99, 124, 133].
Примерами подобных автоматизированных систем являются программные
комплексы анализа и контроля информационных рисков: CRAMM (компания
Insight Consulting, Великобритания), RiskWatch (компания RiskWatch, США),
ГРИФ (компания Digital Security, РФ) и АванГард (Институт системного анализа
РАН, РФ). Так же на западном рынке можно встретить такие системы как SIS SI,
COBRA, MINIRISK [17, 35-37, 41, 46, 62, 76, 108, 111, 142] и некоторые другие.
В связи с вышесказанным, задача создания новых эффективных алгоритмов
и методов анализа рисков ИБ корпоративной сети телекоммуникаций является
актуальной. Несомненный интерес представляет разработка эффективных
методик определения угроз ИБ корпоративной сети телекоммуникаций, на основе
которых возможно создания быстродействующих алгоритмов оценки угрозы ИБ.
К решению описанной выше проблемы необходим комплексный подход, а
именно, требуется качественно и количественно оценивать уровень угрозы ИБ как
всей корпоративной сети телекоммуникаций, так и определенных ее сегментов на
основе анализа телекоммуникационного трафика.
Известны работы таких авторов как С.С. Корт, А.Ф. Супруна, А.А. Азарова,
М.В. Бурса, И.Я. Львовича, Т.З. Чана, Т.К. Ха, Г. Кабуракиса, P.K. Sree, I.R. Babu,
Z. Xia, S. Lu, J. Li, J. Tang, K. Waldorf [5, 15, 16, 51, 52, 98, 99, 133, 172, 199, 201],
которые занимались рассмотрением вопросов, связанных сетевыми атаками и
аномалиями. Работы О.И. Шелухина, А.В. Осина, В.Г. Карташевского, А.В.
Рослякова, Е. Федера, О.К. Филипповой, М.В. Мещерякова, Д.В. Белькова, Г.А.
9
Кучука, К.М. Можаева, К.М. Руккаса, А.И. Гетмана, А.А. Подорожняка, М.А.
Бурановой, Н.В. Киреевой, J. Beran, R. Sherman, M.S. Taqqu, W. Willinger, S. Bates,
S. Wenger, G.D. Knorr, J. Ott, F. Kossentini, S. Molnar, A. Vidacs, M.E. Crovella, A.
Bestavros, R. Addie, I. Norros [14, 53, 67, 91, 131, 139-141, 147-149, 196, 200, 201]
посвящены анализу телекоммуникационного трафика и, в частности,
исследованиям его фрактального характера по таким фрактальным параметрам,
как показатель Херста, корреляционна размерность, R/S-анализа и др.
Исследования, посвященные вопросам определения сетевых атак путем анализа
сетевого трафика фрактальными методами, основанными на вычислении оценок
признаков его самоподобия показали, что далеко не всегда можно однозначно и
своевременно определить наличие сетевой атаки по значению показателя Херста
и/или корреляционной размерности трафика. На взгляд автора такой подход не в
полной мере использует возможности фрактального анализа.
Таким образом, анализ степени проработанности темы исследований
позволяет сделать заключение, во-первых, о необходимости разработки на основе
вероятностного подхода модели анализа рисков ИБ, позволяющей учитывать
различные угрозы ИБ всей корпоративной сети телекоммуникаций с учетом
уровня и важности угрозы.
Во-вторых, о необходимости анализа параметров ИБ
телекоммуникационного трафика на каждом конкретном узле (хосте) сети связи.
Это потребует разработки математической модели телекоммуникационного
трафика на основе набора фрактальных параметров, справедливой для различных
состояний телекоммуникационного трафика (нормального, загруженного и при
наличии сетевых атак) и методики определения телекоммуникационного трафика
по виду фазового аттрактора, что, в свою очередь, позволит создавать
быстродействующие онлайн-индикаторы.
Целью работы является разработка методики оценки рисков ИБ
телекоммуникационной сети предприятия.
10
Для достижения поставленной цели в работе решаются следующие
задачи:
анализ известных методик и систем анализа состояния ИБ с целью
выявления их достоинств и недостатков;
построение вероятностной модели оценки рисков ИБ
телекоммуникационной сети с учетом различных видов возможных уязвимостей
на всех её узлах;
построение математической модели телекоммуникационного трафика
на основе фрактальных мер и анализа его фазового портрета при различных
состояниях сети (обычном и при наличии сетевой атаки);
разработка методики выявления аномалий телекоммуникационного
трафика на основе анализа фрактальных мер и его фазового портрета в режиме
онлайн.
Объектами исследования являются телекоммуникационная сеть и
телекоммуникационный трафик при наличии или отсутствии сетевых атак на
ресурсы сети.
Предметом исследования совокупность методов и средств оценивания
рисков ИБ, на основе вероятностных критериев и фрактального анализа трафика.
Методы исследования. При разработке моделей угроз, анализе
уязвимостей ИБ, а также алгоритмов дистанционного анализа рисков ИБ
телекоммуникационной сети использовались методы теории вероятностей,
системного анализа, дискретной математики, математической статистики, теории
случайных процессов, методы экспертного оценивания и основы проектирования
экспертных систем, фрактальные методы анализа телекоммуникационного
трафика и физическое моделирование.
Достоверность изложенных положений работы обосновывается
корректным выбором исходных данных, строгим использованием
математического аппарата теории вероятностей, а также результатами натурных
экспериментов на реальном телекоммуникационном трафике.
11
Положения, выносимые на защиту:
1. Показано, что предложенная математическая модель на основе набора
фрактальных параметров описывает телекоммуникационный трафик как при
отсутствии, так и при наличии сетевых атак.
2. Показано, что выявленные общие формы фазового портрета
телекоммуникационного трафика при отсутствии и наличии сетевых атак,
однозначно позволяющие делать выводы о его текущем состоянии.
3. Доказано, что по значениям показателя Херста и корреляционной
размерности нельзя однозначно сделать вывод о наличии сетевой атаки в данный
момент времени.
4. Показано, что вероятностная модель оценки рисков информационной
безопасности телекоммуникационной сети, учитывающая различные виды
уязвимостей на всех её узлах, позволяет обеспечить анализ рисков базовых
параметров ИБ.
Соответствие паспорту специальности. Работа соответствует пп. 2, 10, 11,
12 паспорта специальности 05.12.13 – Системы, сети и устройства
телекоммуникаций («Исследование процессов генерации, представления,
передачи, хранения и отображения аналоговой, цифровой, видео-, аудио- и
мультимедиа информации; разработка рекомендаций по совершенствованию и
созданию новых соответствующих алгоритмов и процедур», «Исследование и
разработка новых методов защиты информации и обеспечение ИБ в сетях,
системах и устройствах телекоммуникаций», «Разработка научно-технических
основ технологии создания сетей, систем и устройств телекоммуникаций и
обеспечения их эффективного функционирования» и «Разработка методов
эффективного использования сетей, систем и устройств телекоммуникаций в
различных отраслях народного хозяйства»).
Научная новизна заключается в следующем:
1. Разработана вероятностная модель анализа рисков ИБ и алгоритм
направленного поиска рисков ИБ телекоммуникационной сети, учитывающие
различные вероятности возникновения разных уязвимостей на каждом узле сети.
12
2. Предложена математическая модель телекоммуникационного трафика на
основе набора фрактальных параметров и его фазового портрета, позволяющая
более эффективно, чем только по значениям показателя Херста и корреляционной
размерности оценивать наличие и отсутствие сетевых атак.
3. Разработана методика определения сетевой атаки для текущего момента
времени по виду фазового аттрактора телекоммуникационного трафика.
4. Предложен алгоритм работы индикатора состояния
телекоммуникационного трафика на основе анализа ряда его фрактальных
параметров и фазового аттрактора.
Теоретическая значимость диссертационного исследования заключается в
синтезе алгоритма расчета индикатора состояния телекоммуникационного
трафика, основанного на расчете ряда фрактальных параметров и определении
вида его фазового портрета. В диссертационной работе показано, что при любых
ситуациях о наличии сетевой атаки можно судить по форме фазового аттрактора
телекоммуникационного трафика, а также, что различный уровень нагрузки сети в
нормальном состоянии (без сетевой атаки) не приводит к большому влиянию на
значения фрактальных параметров. Предложенная в диссертационном
исследовании вероятностная модель обеспечивает возможность реализации
распределенных систем оценки рисков ИБ, используемых в компьютерных сетях,
для каждого из уровней иерархии классификации угроз ИБ корпоративной сети
телекоммуникаций.
Практическая ценность работы заключается в том, что на её основе
целесообразно создание программного обеспечения для анализа рисков ИБ
корпоративной сети телекоммуникаций, ориентированное на работу в сетевой
среде, а также предложен алгоритм работы фрактального индикатора состояния
сети на основе расчета фрактальных мер и фазового аттрактора
телекоммуникационного трафика. Разработано программное обеспечение,
позволяющее определять степень заполнения фазового пространства фазовыми
траекториями. Показано, что при любых ситуациях о наличии сетевой атаки
можно судить по форме фазового аттрактора телекоммуникационного трафика.
13
Определен вид фазового аттрактора телекоммуникационного трафика при
различных состояниях сети. Разработанные алгоритмы повышают надежность,
функционирования системы защиты информации корпоративной сети
телекоммуникаций, на протяжении всего жизненного цикла сети, путем снижения
количества инцидентов нарушения ИБ.
Реализация и внедрение работы. Разработанные алгоритмы и системы на
их основе внедрены в агентстве цифро-вой трансформации «Webrover», ООО
«Стройтехком» для построения систем анализа телекоммуникационного трафика,
методика и алгоритмы на основе рас-чета фрактальных мер и фазового аттрактора
телекоммуникационного трафика при создании программного обеспечения
анализа рисков ИБ, а также в разработки индикаторов наличия сетевых атак в
группе компаний «СМС-Автоматизация», а также используются при проведении
лабораторных работ в ФГБОУ ВО «Поволжский государственный университет
телекоммуникаций и информатики».
Апробация работы. Результаты работы докладывались на российских и
международных научно-технических конференциях и конгрессах: XIX – XXV
Российская научная конференция профессорско-преподавательского состава,
научных сотрудников и аспирантов (ПГУТИ, Самара, 2012-2018 гг.); XIII–XVIII
Международная научно-техническая конференция «Проблемы техники и
технологии телекоммуникаций» (УГАТУ, г. Уфа, 2012 г., ПГУТИ, г. Самара, 2013
г., КНИТУ-КАИ, г. Казань, 2014 г., УГАТУ, г. Уфа, 2015 г., ПГУТИ, г. Самара,
2016 г., КНИТУ-КАИ, г. Казань, 2017 г.); VI, VIII, IХ Всероссийская научно-
техническая конференция «Актуальные проблемы информационной
безопасности. Теория и практика использования программно-аппаратных
средств» (СамГТУ, Самара, 2012, 2014, 2015 гг.); Материалы Международной
научно-практической конференции «Информационная безопасность в свете
Стратегии Казахстан – 2050» (Евразийский национальный университет им. Л.Н.
Гумилева, г. Астана, 2013 г.); III Всероссийская научно-практическая
конференция «Актуальные вопросы информационной безопасности регионов в
условиях глобализации информационного пространства» в рамках первого
14
всероссийского конгресса «Приоритетные технологии: актуальные вопросы
теории и практики» (ВолГУ, г. Волгоград, 2014 г.); IX Международная научно-
техническая конференция «Энергетика, телекоммуникации и высшее образование
в современных условиях» (Алматинский университет энергетики и связи, г.
Алматы, 2014 г.); I Всероссийская научно-техническая конференция
«Студенческая наука для развития информационного общества»
(Северокавказский федеральный университет, г. Ставрополь, 2014 г.); ХХ
Международная научно-техническая конференция «Современные средства связи»
(УО ВГКС, г. Минск, Республика Беларусь, 2015 г.); II Международная Научно-
практическая очно-заочная конференция «Проблемы и перспективы внедрения
инновационных телекоммуникационных технологий» (ОФ ПГУТИ, г. Оренбург,
2016 г.); Международная научно-практическая конференция «СИБ–2016» –
Современные проблемы и задачи обеспечения информационной безопасности
(МФЮА, Москва, 2016 г.); Научно-техническая конференция «Росинфоком—
2017 «АКТУАЛЬНЫЕ ВОПРОСЫ ТЕЛЕКОММУНИКАЦИЙ» (ПГУТИ, г.
Самара, 2017 г.); XV Международная научно-техническая конференция
«Оптические технологии в телекоммуникациях», ОТТ-2017 (КНИТУ-КАИ, г.
Казань, 2017 года).
Результаты диссертационной работы были представлены на следующих
научных конкурсах: второе место в конкурсе инновационных проектов в VI
Всероссийском молодежном форуме «Информационные технологии в мире
коммуникаций» (МТУСИ, Москва, 2013 г.); Конкурс молодежных
инновационных проектов по программе «УМНИК» Фонда содействия развитию
малых форм предприятий в научно-технической сфере (Фонд содействия
инновациям) – грант на 2016-2017 гг.; Startup village 2016 в треке
"Кибербезопасность: новые решения противодействия киберугрозам"
(г. Сколково, 2016 г.); а также в финалах и полуфиналах следующих конкурсов:
Конкурс молодежных инновационных проектов в сфере телекоммуникаций
«Телеком Идея»; Конкурс прорывных идей «Эврика! Концепт» и многие другие.
15
Публикации. Результаты работы опубликованы в 55 научных работах, в
том числе: 12 статей в научно-технических журналах и сборниках (в том числе 6 в
журналах, включенных решением ВАК Минобразования России в перечень
ведущих научных изданий, в которых должны быть опубликованы основные
результаты диссертаций на соискание ученой степени доктора наук), 43 тезиса
докладов на научно-технических конференциях.
Объём и структура диссертационной работы. Диссертация содержит
введение, 3 главы и заключение, изложенные на 175 страницах. В работу
включено 60 рисунков, 8 таблиц, библиографический список из 203
наименований.
Сведения о личном вкладе автора: Все основные результаты,
представленные в диссертационной работе, получены автором лично. Подготовка
к публикации некоторых результатов проводилась совместно с соавторами,
причем вклад автора являлся определяющим.
16
1. МЕТОДИКИ И СИСТЕМЫ ДЛЯ АНАЛИЗА СОСТОЯНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ТЕЛЕКОММУНИКАЦИОННЫХ
СИСТЕМАХ
1.1. Понятие аудита информационной безопасности
Защита информации, согласно международному стандарту ISO/IEC 27002:
«Информация (information) — это актив, который, подобно другим значимым
активам бизнеса, важен для ведения дела организации и, следовательно,
необходимо, чтобы он соответствующим образом защищался. Это особенно
важно во все больше и больше взаимосвязанной среде бизнеса. В результате этой
возрастающей взаимосвязанности, информация в настоящее время подвергается
воздействию возрастающего числа и растущего разнообразия угроз и слабых
места в системе защиты» [163].
«Защита информации (information security) — это охрана информации от
большого разнообразия угроз, осуществляемая с целью обеспечить
непрерывность бизнеса, минимизировать деловые риски и максимизировать
возврат по инвестициям и возможности деловой деятельности» [163].
Для достижения защищенности циркулирующей в системе информации
реализуется набор соответствующих средств управления, таких как политика
безопасности, процессы, процедуры, организационные структуры и программные
и аппаратные функции. Данные управляющие элементы постоянно создаются,
внедряются, контролируются, анализируются и улучшаются по мере
необходимости, для обеспечения выполнения организационно правовых задач
реализации защиты ИС и бизнес-процессов.
Защита информации, согласно международному стандарту ISO/IEC 27002,
определяется как: «сохранение конфиденциальности, целостности и доступности
информации; кроме того, также могут быть включены другие свойства, такие как
аутентичность, подотчетность, неотрекаемость и надежность» [163].
17
«Конфиденциальность (confidence) — свойство, обеспечивающее
недоступность и закрытость информации для неавторизованных индивидов,
субъектов или процессов» [162].
«Конфиденциальная информация (confidential information) — информация,
доступ к которой ограничивается в соответствии с законодательством Российской
Федерации и представляет собой коммерческую, служебную или личную тайны,
охраняющиеся её владельцем» [162].
«Доступность (availability) — свойство быть доступным и используемым по
требованию авторизованного субъекта» [162].
«Целостность (integrity) – свойство сохранения точности и полноты
активов» [162].
«Информационная безопасность (information security) – обеспечение
конфиденциальности, целостности и доступности информации; также возможно
обеспечение и других свойств, таких как аутентичность, идентифицируемость,
отказоустойчивость и надёжность» [162].
«Риск (risk) — комбинация вероятности события и его последствий» [164].
«Анализ риска (risk analysis) — систематическое использование
информации для выявления источников и для оценки степени риска» [164].
«Угроза (threat) — возможная причина нежелательного инцидента, который
может закончиться ущербом для системы или организации» [161].
«Слабое место (vulnerability) — слабость актива или группы активов,
которой могут воспользоваться одна угроза или более» [161].
Согласно ГОСТ Р 53114-2008 оценка риска ИБ (организации)определяется
как общий процесс идентификации, анализа и определения приемлемости уровня
риска ИБ организации. В свою очередь идентификация риска — это процесс
обнаружения, распознавания и описания рисков. Идентификация риска включает
в себя идентификацию источников риска, событий и их причин, а также их
возможных последствий. А также может включать в себя статистические данные,
теоретический анализ, обоснованные точки зрения и экспертные заключения и
потребности заинтересованных сторон.
18
Согласно ГОСТ Р ИСО/МЭК 27001-2006, статья 3.11 анализ риска — это
систематическое использование информации для определения источников риска и
количественной оценки риска.
Так же в ГОСТ Р 53114-2008 дается следующее определение аудита ИБ
организации: систематический, независимый и документируемый процесс
получения свидетельств деятельности организации по обеспечению ИБ и
установлению степени выполнения в организации критериев ИБ, а также
допускающий возможность формирования профессионального аудиторского
суждения о состоянии ИБ организации. К критериям обеспечения ИБ организации
относят показатели, на основании которых оценивается степень достижения цели
(целей) ИБ организации.
В настоящее время специалистами используется несколько определений
аудита, но наиболее часто применяется следующее: аудит ИБ (audit of information
security) – это процесс определения качественных и количественных онлайн
показателей ИБ организаций в соответствии с определенными нормативами и
степенью безопасности.
1.2. Цели и задачи аудита информационной безопасности
К основным целям проведения аудита ИБ, обычно относят:
− анализ рисков, которые в свою очередь связанны с осуществлением угроз
ИБ в отношении ресурсов ИС;
− оценка текущей степени безопасности ИС телекоммуникационной
компании;
− локализация узких мест в системе защиты ИС;
− оценка соответствия ИС действующим стандартам в сфере ИБ;
− формирование рекомендаций по введению новых и повышению
эффективности существующих механизмов безопасности ИС.
Как правило к основным задачам, решаемым в ходе аудита ИБ ИС относят:
19
− анализ структуры, функций, используемых технологий
автоматизированной обработки и передачи информации в ИС, анализ бизнес-
процессов, нормативно-распорядительной и технической документации;
− выявление значимых угроз ИБ и путей их реализации, выявление и
ранжирование по степени опасности существующих уязвимостей
технологического и организационного характера в ИС;
− составление неформальной модели нарушителя, применение методики
активного аудита для проверки возможности реализации нарушителем
выявленных угроз ИБ;
− проведение теста на проникновение по внешнему периметру IP-адресов,
проверка возможности проникновения в ИС при помощи методов социальной
инженерии;
− анализ и оценка рисков, связанных с угрозами безопасности
информационных ресурсов, оценка текущей безопасности функционирования
сети связи и корпоративной ИС;
− оценка системы управления ИБ на соответствие требованиям
международных стандартов и разработка рекомендаций по совершенствованию
системы управления ИБ;
− разработка предложений и рекомендаций по введению новых и
повышению эффективности существующих механизмов обеспечения ИБ;
− оптимизация и планирование затрат на обеспечение ИБ;
− обоснование инвестиций в системы защиты;
− получение максимальной отдачи от инвестиций, вкладываемых в системы
защиты информации;
− подтверждение того, что используемые внутренние средства контроля
соответствуют задачам организации и позволяют обеспечить эффективность и
непрерывность бизнес-процессов компании.
Как правило, для проведения аудита привлекаются внешние компании,
которые предоставляют консалтинговые услуги в области ИБ. Инициатором
процедуры аудита может стать руководство предприятия, служба автоматизации
20
или служба ИБ. В ряде случаев аудит также проводится по требованию страховых
компаний или регулирующих органов. Аудит безопасности выполняется группой
экспертов, численность и состав которой зависит от целей и задач обследования, а
также от сложности объекта оценки.
Принято различать внешний и внутренний аудит ИБ. Под внешним аудит
понимают мероприятие разового характера, которое как правило проводится по
предложению руководителя или акционеров компании. Специалисты
рекомендуют проводить данный вид аудита на регулярной основе, так для
финансовых и акционерных компаний это уже является обязательных условием.
Внутренний аудит – это континуальная деятельность, регулируемая
«Положением о внутреннем аудите» компании, осуществляется согласно плану,
утвержденному руководством и подготовленному службой безопасности или
подразделением внутреннего аудита, если токовое имеется.
Стоит отметить, что ИТ аудит включает в себя аудит ИБ ИС.
Можно выделить следующие основные виды аудита ИБ:
инструментальный анализ защищенности автоматизированной
системы;
оценка автоматизированных систем на предмет соответствия
рекомендациям международных стандартов и требованиям руководящих
документов ФСТЭК, ГОСТов, отраслевых стандартов;
экспертный аудит защищенности автоматизированной системы;
комплексный аудит, включающий в себя все вышеперечисленные
формы проведения обследования.
Любой из перечисленных видов аудита может проводиться по отдельности
или в комплексе, в зависимости от тех задач, которые решает предприятие. В
качестве объекта аудита может выступать как ИС компании в целом, так и ее
отдельные сегменты, в которых обрабатывается информация, подлежащая
защите.
Инструментальный анализ заключается в проведении специалистами по ИБ
атак на исследуемую автоматизированную систему. При этом могут применяться
21
любые программные и аппаратные средства, доступные злоумышленникам.
Основное назначение инструментального анализа – периодические проверки с
целью выявления новых уязвимостей. Кроме того, данный вид аудита может
применяться при обнаружении факта утечки информации ограниченного доступа
с целью недопущения повторных утечек.
В общем случае инструментальный анализ делят на две части: исследование
защищенности автоматизированной системы от удаленных атак и выявление
угроз ИБ, исходящих от сотрудников компании или от проникновения
злоумышленников.
В ходе проведения инструментального анализа чаще всего выявляются
уязвимости, связанные с устаревшими версиями программных продуктов и их
некорректной настройкой, реже могут быть выявлены существенные недочеты в
корпоративной политике безопасности.
Оценка автоматизированных систем на предмет соответствия
рекомендациям – это исследованием системы ИБ на предмет соответствия
требованиям официальных документов, например, российских — «Специальные
требования и рекомендации по технической защите конфиденциальной
информации» (СТР-К), «Безопасность информационных технологий. Критерии
оценки безопасности информационных технологий» (ГОСТ Р ИСО/МЭК 15408-
2002) или зарубежных — «Информационные технологии. Управление
информационной безопасностью» — ISO/IEC 17799, WebTrust и других.
Особенностью аудита на соответствие стандартам является его связь с
другой услугой — сертификацией. В случае успешного прохождения аудита
компания получит сертификат соответствия своей системы ИБ. А это серьезный
плюс к имиджу любой публичной организации, особенно работающей с
зарубежными партнерами. Следует отметить, что в государственных
организациях, работающих с информацией, составляющей государственную
тайну, сертификация систем ИБ обязательна.
Отчет о проведении такого вида аудита в общем случае содержит
следующее: степень соответствия проверяемой автоматизированной системы
22
выбранным стандартам, количество и категории полученных несоответствий и
замечаний, рекомендации по построению или модификации системы обеспечения
ИБ, которые позволят привести ее в соответствие с рассматриваемыми
стандартами. К результатам может добавиться также степень соответствия
системы ИБ внутренним требованиям руководства организации-заказчика.
Экспертный аудит заключается в подробном исследовании системы ИБ ИС
заказчика и в ее сравнении с некоторой идеальной моделью обеспечения ИБ.
Причем идеальная модель в каждом конкретном случае может меняться в
зависимости от требований заказчика и собственного опыта компании-аудитора.
Результатом экспертного исследования является подготовка и
предоставление клиентам отчета, в котором содержится информация о найденных
уязвимостях системе защиты и недочетах в пакете организационно-
распорядительных документов, а также предложения по их устранению. Кроме
того, эксперты могут дать рекомендации по выбору и применению систем ИБ и
других дополнительных специальных технических средств.
Лицо отвечающие за удит ИБ на предприятии не должно принимать
деятельное участие в разработке и внедрению механизмов защиты, так как это
влияет на его объективную оценку.
1.3. Инструментальные средства оценки рисков информационной
безопасности
Рассмотрим некоторые наиболее часто используемые инструментальные
средства для оценки рисков ИБ телекоммуникационных систем.
1.3.1. ГРИФ 2005 из состава Digital Security Office
На российском рынке распространены отечественные разработки компании
Digital Security – ГРИФ и КОНДОР [17, 39, 46, 63, 75, 119, 135]. Рассмотрим
алгоритм работы данного продукта на примере ГРИФ 2005 из состава Digital
Security Office.
23
Оценка риска ИБ по методики ГРИФ происходит по средствам реализации
моделирования ИС компании, на основе которого происходит исследование
защищенности всех видов информации, циркулирующих в системе, а также
методов и средств, применяемых для её защиты (например, организационные
меры, наличие специализированного программного обеспечения, влияние прав
доступа к ресурсам системы на её защищенность и т.д.). По результатам
моделирования программа предоставляет следующую информацию (согласно
описанию программного обеспечения, на сайте-разработчика DigitalSequrity):
- инвентаризацию ресурсов;
- значения риска для каждого ценного ресурса организации;
- значения риска для ресурсов после задания контрмер (остаточный риск);
- эффективность контрмер;
- рекомендации экспертов.
Проведя анализ защищенности и архитектуры ИС, программа оценивает
риски ИБ.
Алгоритм моделирования в программе ГРИФ оценивает риск ИБ отдельно
по каждой из фракций «группа пользователей – информация» (взаимосвязь между
субъектом и объектом) при этом учитываются все соответствующие
характеристики. Для оценки риска реализации угрозы ИБ пользователь
программы задает сведения об информации своей ИС, а именно ущерб от
успешной реализации атаки на её ресурсы по трем угрозам: конфиденциальности,
доступности и целостности, что в свою очередь повышает надежность алгоритма
работы программы и упрощает интерфейс для конечного потребителя.
В математическом виде это методика представляется следующим образом.
Из суммы итоговой вероятности реализации угрозы получается выражение для
расчета риска конкретного вида информации, с учетом всех групп пользователей,
имеющих к ней доступ:
1
,inf )1(1i
nugPP .
24
Для нахождения риска информации от реализации угрозы, необходимо
перемножить итоговую вероятность для информации и ущерб от реализации
угрозы. Если просуммировать риски всех видов информации, мы получим риск
для ресурса.
Для оценки итогового времени простоя информации (характерный параметр
фракции «информация – группа пользователей») суммируется время простое
сетевого оборудования (поскольку для каждой компании критичным является
разное время, его задает владелец ИС) и время простоя информации
вычисляемого алгоритмом ГРИФ.
Следующее выражение учитывает все группы пользователей, имеющих
доступ к информации:
max
1 max
,
inf ))1(( TT
TT
n
i
nug
.
где Tmax – максимальное критичное время простоя;
Тinf – время простоя информации;
Tug,n – время простоя для связи «информация – группа пользователя».
Для получения риска реализации угрозы в алгоритме перемножается
итоговое время простоя на ущерб от реализации угрозы (данное выражение
справедливо для фракции «группа пользователь – информация»).
Для анализа заданных контрмер придется повторить всю
последовательность действий с учетом нововведений. Таким образом аудитор
будет знать значения сразу двух рисков:
Rold – риск без учета контрмеры;
Rnew – риск с учетом контрмеры.
Данные значения необходимы для вычисления эффективности внедрения
контрмер (Е):
.old
newold
R
RRE
Анализ угроз ИБ, оказывающих своё влияние на определенный ресурс ИС и
уязвимостей, которые реализуются через эти угрозы позволяет оценить риски ИБ
ИС компании, а также данный продукт позволяет говорить о защищенности
25
ценных ресурсов в отдельности, для этого необходимо оценить информационные
риски ресурсов компании.
Необходимо отметить, что у продукта ГРИФ имеются и недостатки, к
которым можно отнести возможность реализации в программе специфических
требований политики безопасности, которые могут быть присуще той или иной
организации.
1.3.2. Методика оценки рисков информационной безопасности компании
RiskWatch
Компания RiskWatch [37, 39, 46, 108, 197] создала уникальную методику
анализа рисков, которая реализуется в следующих программных продуктах:
«RiskWatch for Physical Security» – анализ физической защиты ИС; «RiskWatch for
Information Systems» – анализ информационных рисков; «HIPAA-WATCH for
Healthcare Industry» – проверка на соответствие стандарту HIPAA (US Healthcare
Insurance Portability and Accountability Act); «RiskWatch RW17799 for ISO 17799» –
проверка на соответствие ИС стандарту ISO 17799.
Методика RiskWatch работает на количественном уровне оценки рисков ИБ,
основными оценочными показателями является ожидаемые годовые потери
(Annual Loss Expectancy, ALE) и оценка возврата инвестиций (Return on
Investment, ROI). Данная методика производит точную количественную оценку
вложений на ИБ и потерь от угроз ИС. Методику RiskWatch можно разделить на
четыре основных этапа.
Первый этап. Определение базовых параметров, описывающих ИС: вид
организационной структуры компании, состав ИС, требования безопасности и др.
Для упрощения работы аудитора с системой имеется ряд базовых моделей,
сформированных согласно разновидностям организационной структуры
компании (коммерческая, государственная, военная, медицинская и т.д.), где
необходимо выбрать реально существующие в компании разновидности угроз,
уязвимостей, защищаемых ресурсов и мер применяемых для их защиты.
26
На втором этапе происходит ручное или машинное (импорт отчетов о
уязвимостях сетей) введение в систему для анализа рисков ИБ ИС данных,
характеризующих определенные параметры системы. Здесь детально излагаются
все потери, инциденты, ресурсы, которые были получены в ходе соотнесения
таких категорий как ресурсы и потери. На рисунке 1.1 приведено изображение с
экрана RiskWatch: определение категории защищенных ресурсов.
Третий этап – количественная оценка риска. Заключается в расчете профиля
рисков, и выборе мер гарантированности ИБ. Для этого необходимо установить
взаимосвязь между ресурсами, потерями, угрозами и уязвимостями, уже ранее
определенными. Можно говорить, что риск оценивается по средствам
математического ожидания потерь за год. А сами потери определённого актива
зависят от реализации одной угрозы ( ALE ). Всё выше изложенное можно
выразить следующей формулой:
ExposureFaALE AssetV ctor Frequencu yal e .
где Asset Value – ценность актива (материальных и нематериальных);
Exposure Factor – коэффициент воздействия (выражается в процентах и
указывает как составляющая затрат на актив подвержена риску);
Frequency – частота возникновения негативного события.
Также на данном этапе приводится признак «ожидаемой годовой частоты
происшествия» ( –Annualized Rate of Occurrence ARO ) и «ожидаемый
единичный ущерб» ( –Single Loss Expectancy SLE ), если учесть, что SLE
определяется как разница между первоначальной стоимость и остаточной
стоимостью актива после реализации угрозы ИБ, стоит отметить, что для «угроза
– ресурс» справедлива формула:
ALE ARO SLE .
27
Рисунок 1.1. — Экран программного продукта RiskWatch: к определению
категории защищенных ресурсов
Для количественной оценки эффекта достигаемого после введения средств
защиты вводится такое понятие, как возврат инвестиций ROI
( Return on Investment ), оно характеризуется эффективностью вложений в
средства обеспечения ИБ за определенный временный интервал и определяется
по следующей формуле:
( ) ( )Cos ji
i j
ROI NVP NVPBenefits ts ,
где iCosts — расходы на введение и поддержание j -ой меры защиты;
jBenefits — оценка выгоды, которую приносит введение j -ой меры
защиты;
NVP ( Net Present Value ) — чистая текущая стоимость.
Четвертый этап – формирование отчетности.
Подводя итог, методика RiskWatch оценивает существующие риски
предприятия и выгоду от внедрения средств защиты, предоставляя конечному
пользователю визуализированные отчеты, помогающие принять решение об
изменениях в системе ИБ компании.
28
1.3.3. Методика Operationally Critical Threat, Asset, and Vulnerability
Evaluation (OCTAVE)
Общедоступная (бесплатная) методика Operationally Critical Threat, Asset,
and Vulnerability Evaluation (OCTAVE) разработана институтом Software
Engineering Institute (SEI) при Carnegie Mellon University [11, 39, 46, 108, 119, 159].
Согласно которой, анализ рисков производится сотрудниками компании без
привлечения сторонних аудиторов. В методике прописан круг специалистов,
который должен производить оценку рисков на предприятии, а в последствии и
проработать контрмеры. OCTAVE включает три основных этапа:
создание профиля угроз активов;
определение уязвимостей;
выработка стратегии безопасности.
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Актив (asset)
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Новый раздел
Новый раздел
актив (asset) доступ (access) агент (actor) причина (motive) результат (outcome)
сеть (network)
внутренний (accidental)
внешний (outside)
случайный (accidental)
случайный (accidental)
преднамеренный (deliberate)
преднамеренный (deliberate)
обнаружение (disclosure)
обнаружение (disclosure)
обнаружение (disclosure)
обнаружение (disclosure)
изменение (modification)
изменение (modification)
изменение (modification)
изменение (modification)
ущерб/уничтожение
(loss/destruction)
ущерб/уничтожение
(loss/destruction)
ущерб/уничтожение
(loss/destruction)
ущерб/уничтожение
(loss/destruction)
прерывание (interruption)
прерывание (interruption)
прерывание (interruption)
прерывание (interruption)
Рисунок 1.2. — Дерево вариантов, используемое при описании профиля
в методике OCTAVE
29
Для описания профиля угроз используются, так называемые «деревья
вариантов» (рисунок 1.2). При его разработке избегают переизбытка технических
деталей, данные механизмы должны прорабатываться на втором этапе. На первом
этапе прорабатывается взаимосвязь угрозы ИБ и ресурса. В методике OCTAVE
оценивается только предполагаемый ущерб, избегая оценки на качественном
уровне (ранжирования по шкалам), риск оценивается только на количественном
уровне (денежном эквиваленте ущерба). Для нахождения мер защиты от угроз в
OCTAVE внедрены каталоги средств (рисунок 1.2).
1.3.4. Метод CRAMM
В основе метода CRAMM [35, 39 46, 108, 119, 192] лежит системный подход
к оценке рисков ИБ, работающий как на качественном, так и на количественном
уровне. Данный подход является приемлемым для компаний как коммерческого,
так и государственного сектора в независимости от рода их деятельности, так как
является универсальным методом. Программное обеспечение CRAMM
ориентировано на разные типы организаций, отличием которых являются базы
знаний (profiles). К примеру, «Government profile» реализует аудит ИБ на
соответствие стандарта ITSEC («Оранжевая книга»). Снимок экрана CRAMM для
сводной оценки рисков недоступности двух информационных подсистем
приведен на рисунке 1.3.
В методике CRAMM значимость физических и не физических (информация,
программное обеспечение и т.д.) ресурсов определяется по-разному. В первом
случае это стоимость восстановления после успешной реализации атаки, во
втором ценность зависит от ситуации последующей после удачной атаки на
ресурсы системы, а именно:
отсутствие полного доступа к ресурсам системы в течение
определенного интервала времени;
полное или частичное уничтожение/разрушение информации;
атаки на конфиденциальность ресурса;
атаки на целостность ресурса;
30
атаки на доступность ресурса;
не значительные сбои в работе ресурса/системы.
Рисунок 1.3. — Пример сводной оценки рисков недоступности двух
информационных подсистем – снимок экрана программного продукта CRAMM
Уровень угроз оценивается, в зависимости от ответов на список вопросов,
сгенерированный программой CRAMM, все ответы разделены на группы,
относящиеся к определенным ресурсам, внутри которых расставляются по
шкалам (очень высокий, высокий, средний, низкий и очень низкий).
Таким образом можно сказать, что в CRAMM оценки переходят с
качественного уровня на количественный.
1.3.5. Методика Microsoft
Компания Microsoft в 2006 году предложила свою методику оценки рисков
ИБ [39, 41, 46, 119, 154, 177], включающую в себя следующие основные этапы:
планирование (создание базы для оценки рисков ИБ);
взаимосвязанный сбор данных (информации о рисках ИБ);
ранжирование рисков ИБ.
Информация о уязвимых местах, угрозах ИБ, системе и механизмах ИБ, о
физических и нефизических активах компании позволяет провести оценку рисков
ИБ согласно методике компании, Microsoft на достаточно высоком уровне.
31
Согласно данной методике согласно своему влиянию на бизнес-процессы
компании определены основные классы видов активов на качественном уровне.
Для каждой из угроз в соответствие с механизмами защиты сопоставлен уровень
воздействия. Следующий методологический шаг – ранжированный список рисков
ИБ, с детализацией наиболее серьезных рисков с сопоставлением их денежных
эквивалентов. Далее определяется суммарный риск ИБ.
В своей методике компания Microsoft использует линейную шкалу
подверженности воздействию (100 – 20%), подстраивающуюся под условия
компании, показывающую величину ущерба, соотнесенная с качественной
оценкой (высокий, средний, низкий).
Итоговая вероятность вычисляется из вероятности наличия уязвимости в
текущей среде ИС и вероятности существования уязвимости, исходя из
эффективности текущих элементов контроля (от 1 до 5). Данная вероятность
оценивается из ответов на вопросы [39].
Уровень риска ИБ ИС вычисляется произведением оценок уровня влияния
(от 1 до 10) и уровня вероятности (от 0 до 10). По итогу уровень риска будет
величиной диапазона от 0 до 100.
Согласно количественной оценке каждому активу присвоена денежная
стоимость Количественную оценку предлагается начать с активов,
соответствующих описанию класса высокого влияния на бизнес. На основе
уровня подверженности воздействию определяется степень ущерба. На последнем
шаге перемножают стоимости актива и фактора подверженности воздействию.
1.4. Методики и подходы оценки рисков информационной
безопасности
1.4.1. Байесовский классификатор (подход)
Одним из старейших подходов к классификации по праву является –
Байесовский подход, он до сих пор занимает лидирующие позиции в теории
распознавания и является неотъемлемой торической базой многих
32
алгоритмических моделей [20]. Так, к примеру, Байесовский подход получил
широкое распространение в медицине для решения задач диагностирования.
Байесовский подход является частным случаем Байесовского подхода и
основан на предположении о независимости переменных. Как правило,
Байесовский подход подразумевает сбор статистических данных, в основе
которого лежит вероятность и её распределение по каждому признаку.
В зависимости от природы происхождения вероятностной модели, обучение
наивных байесовских классификаторов является достаточно эффективным.
Зачастую прикладное программное обеспечение оценки характеристик наивных
байесовых моделях применяют метод максимального правдоподобия. Учитывая
упрощенные условия и наивный вид, байесовские классификаторы применимы к
более широкому спектру сложных практических задач.
В зависимости от метода восстановления одномерной плотности различают
параметрический и непараметрический Байесовский классификатор.
Предположим, что объекты описываются n признаками
. Введем следующие обозначения –
произвольный элемент пространства объектов , где
. Согласно «наивному» байесовскому подходу признаки
являются независимыми случайными величинами, следовательно, функции
правдоподобия классов можно представить в следующем виде:
,
где — плотность распределения значений j-го признака для класса y.
Предположение о независимости существенно упрощает дачу, так как
оценить n одномерных плотностей гораздо легче, чем одну n-мерную плотность,
но, к сожалению, на практике данное предположение выполняется крайне редко.
Поэтому алгоритмы, основанные на приведенной выше формуле, называются
наивными байесовскими классификаторами (naive Bayes).
Пусть — эмпирическая оценка плотности распределения признака ,
вычисленная по подвыборке . Подставив эти оценки в формулу для функции
33
правдоподобия классов вместо истинных плотностей , затем полученную
эмпирическую плотность подставим в формула для вычисления минимума
среднего риска:
где — априорная вероятность; — функция правдоподобия; ;
для всех . При условии, что произвольный алгоритм
разбивает множество на непересекающиеся области
. Допустим что — множество прецедентов
выбранных случайно и независимо из неизвестного распределения
, тогда можно полагать, что имеет следующий вид
.
Поставляя эмпирическую плотность в формулу для вычисления
минимума среднего риска вместо истинной функции правдоподобия , при
этом априорную вероятность каждого из классов оцениваем как долю объектов
класса в выборке , получим следующий алгоритм:
К основным преимуществам наивного Байесовского классификатора чаще
всего относят: доступность реализации и достаточно невысокие вычислительные
затраты при обучении и классификации. Если признаки являются независимыми,
то наивный байесовский классификатор считается оптимальным. Также
достоинством данного классификатора является следующее: небольшое
количество информации для обучения, требуемой для определения показателей;
способность обрабатывать отсутствующие значения атрибутов; быстродействие;
работа алгоритма при неизвестных переменных; данный классификатор позволяет
совмещать закономерности, выведенные из данных, и фоновые значения,
поученные в явном виде (экспертная оценка).
34
К основным недостаткам наивного байесовского классификатора относят —
низкий уровень качества информации при решении конкретных задач. Также
данный метод позволяет учесть только локальное влияние входных параметров на
результат классификации. Метод не учитывает комплексное (комбинированное)
влияние пар и/или троек значений различных атрибутов, что является очень
важным с прогностической точки зрения и не допустимо в вопросах оценки
рисков ИБ; данный классификатор не работает с непрерывными переменными, их
приходится разбивать на множество интервалов, так чтобы атрибуты были
дискретными, что может в свою очередь привести к потере значимых
закономерностей; корректная работа данного классификатора возможна лишь
действительной статистической независимости входных переменных.
1.4.2. Метод ближайшего соседа
Нечеткие множества были введены Заде в 1965 году [150]. С этого времени
исследователи обнаружили многочисленные способы использовать эту теорию
для обобщения существующих методов и разработки новых алгоритмов
распознавания образов и анализа решений [150, 167].
Метод «ближайшего соседа» («nearest neighbour»), так же известный как
метод коллаборативной фильтрации или метод обучения на примерах, является
весьма удобным способом интеллектуального анализа данных, позволяющим
использовать накопленные примеры с известным результатом для
прогнозирования ожидаемого результата для новых образцов данных. Данный
метод можно назвать простейшим метрическим классификатором, основанным на
оценивании сходства объектов, согласно которому классифицируемый объект
относится к тому классу, которому принадлежат ближайшие к нему объекты
обучающей выборки. Метод «ближайшего соседа» относится к классу методов,
работа которых основывается на хранении данных в памяти для сравнения с
новыми элементами. При появлении новой записи для прогнозирования
находятся отклонения между этой записью и подобными наборами данных, и
наиболее подобная (или ближний сосед) идентифицируется.
35
Данный алгоритм классификации, также иногда используется в задачах
регрессии. Благодаря своей простоте, он является хорошим примером в области
Machine Learning (машинного обучения).
Рассмотрим принцип работы данного метода. Допустим, что на множестве
отсчетов дискретного ряда вычислено расстояние . Вводится
целевая функция , значения которой известны только на множестве
отсчетов обучающей выборки , . Совокупность классов
является замкнутой. Необходимо создать некоторый алгоритм классификации
, интерполирующей целевую функцию на полном множестве .
«Метод ближайшего соседа» (nearest neighbor, NN) сопоставляет объект
— классу, которому соответствует ближайший обучающий объект:
Этот метод лежит в основе простейшего классификатора.
Обучение «метода ближайшего соседа» связано с сохранением выборки .
Достоинством этого метода является простота реализации [19].
Недостатки метода:
1. Изменение погрешности приводит к ухудшению достоверности
результатов. Если среди обучающих объектов имеется выброс, представляющий
собой «объект», находящийся в окружении объектов чужого класса, то в этом
случае он сам будет классифицирован неверно, но из-за этого и все ближайшие
окружающие объекты тоже будут классифицированы неверно. Это не позволит
обнаружить и оценить так называемые DoS и DDoS атаки, то есть резкое
увеличение количества трафика будет отсечено или неверно оценено.
2. Успешность применения метода сильно зависит от выбора метрики ρ.
Данный недостаток является критичным при аудите ИБ, так как в зависимости от
целей аудита метрика должна изменяться (целостность, доступность или
конфиденциальность информации).
Результатом вышеперечисленного является низкое качество классификации.
36
Чтобы бороться с изложенными выше недостатками применяется алгоритм
k ближайших соседей (k nearest neighbors, kNN). Расмотрим данный алгоритм
подробнее. Обращаясь к основной из проблем алгоритма ближайшего соседа –
неустойчивости к погрешностям, в алгоритме k ближайших соседей, для
сглаживания влияния выбросов, принято сопоставлять объект классу, элементов
которого окажется больше среди ближайших соседей :
Если , то алгоритм крайне неустойчив к шуму, а при он наоборот
устойчив. То есть крайние значения являются практически не пригодными к
использованию. В реальности оптимальная величина аргумента вычисляется
согласно методике скользящего контроля с отбрасыванием объектов по одному.
Для каждого объекта проверяется, насколько корректно и правильно он
классифицируется по ближайшим соседям.
Если классифицируемый объект не будет исключен из исходной
(обучающей) выборки, ближайшим соседом всегда будет объект . Нулевая
величина функционала будет достигаться при .
Рассмотрим модифицированный алгоритм.
«Алгоритм взвешенных ближайших соседей». Недостаток
предыдущего алгоритма в том, что максимум является многоклассовым, то есть
одновременно может быть, достигнут для нескольких классов. В случае двух
классов проблема обходится при нечётном . В общем случае необходимо ввести
убывающую последовательность действительных «весов» , учитывающих
вклад i-го соседа:
37
Задание последовательности — эвристическое. В случае линейно
убывающих весовых коэффициентов: , неоднозначности возникают
значительно реже. От неоднозначности можно полностью избавиться, если взять
нелинейно убывающую последовательность в виде , где знаменатель
геометрической прогрессии .
Основные недостатки описанных алгоритмов:
1. Сохранение исходной (обучающей) выборки в полном объеме, что
увеличивает размер памяти для хранения.
2. Погрешности (во входных данных) приводят к уменьшению точности
классификации вблизи границы классов.
3. Поиск ближайшего соседа происходит не оптимально, так как
осуществляется сравнение со всеми объектами выборки поочередно (количество
операций в среднем — . В связи с этим, используются более эффективные
методы поиска ближайших соседей с уменьшением числа операций поиска до
в среднем.
4. В некоторых случаях метрические алгоритмы используют крайне
малый набор параметров.
5. Данный метод не создает каких-либо моделей или правил,
обобщающих предыдущий опыт, - в выборе решения они основываются на всем
массиве доступных исторических данных, поэтому невозможно сказать, на каком
основании строятся ответы.
К преимуществам данного метода относят:
Простота использования полученных результатов.
Решения не уникальны для конкретной ситуации, возможно их
использование для других случаев.
Целью поиска является не гарантированно верное решение, а лучшее
из возможных.
38
1.4.3. Нечеткая логика
«Нечёткая логика» и «теория нечётких множеств» — подразделы
математики, являющиеся своего рода обобщением классической логики и теории
множеств [202]. Понятие множества расширяется путем постулирования того, что
функция принадлежности элемента к множеству может принимать не только
значения 0 или 1, а принадлежит целому интервалу [0 ... 1]. Такие множества
называются нечёткими. Были разработаны некоторые логические операции над
нечёткими множествами и введен термин «лингвистическая переменная»,
значением которой является нечеткое множество.
Лингвистические переменные невозможно определить с помощью
математического языка количественно. К примеру, «малая» и «средняя» (говоря о
телекоммуникационной компании), «высокая» или «низкая» (о скорости передачи
данных) не могут быть представлены заведомо точным математическим
определением. Элементы теории нечетких множеств и методология применения к
управлению рисками ИБ описана в работах [60, 114], а наиболее подробное
применение данного метода к задачам оценки информационных рисков ИБ
рассмотрены в работах Майхановой Б.Е., Муратхан Р.
Для рассмотрения основных принципов нечеткой логики введем понятие:
лингвистическая переменная — набор , где – имя переменной, –
терм-множество, каждый элемент которого (терм) представляется как нечеткое
множество на универсуме , – синтаксические правила, порождающие названия
термов, – семантические правила, задающие функции принадлежности
нечетких термов, порожденными правилами из .
В качестве примера рассмотрим лингвистическую переменную
"истинность". Универсальным множеством для нее будет [0, 1]. Терм-множество
– {"истинно", "ложно"}. Функции принадлежностями этих термов можно задавать
различными способами. Наиболее интуитивно понятными можно назвать
функции принадлежности по Балдвину:
39
Новые термы образуются с использованием квантификаторов «очень» и
«более-менее»; для полученных термов функция принадлежности вычисляется по
семантическим правилам (рисунок 1.4).
Рисунок 1.4. – Функции принадлежности термов, полученных с помощью
синтаксических правил
С логическими переменными, заданными нечеткими множествами, можно
оперировать аналогично тому, как это делается в привычной двузначной логике.
Нечеткие логические операции выполняются по таким правилам:
Конъюнкция: ;
Дизъюнкция: ;
Отрицание:
Импликация:
Наиболее привлекательным в нечеткой логике для решения задач аудита ИБ
является возможность делать вывод на основе данных, не являющихся "четкими".
Введем понятие модификатора, оператора изменяющего некоторым образом
функции принадлежности. К примеру, модификатор «очень» может быть задан
как возведение функции принадлежности в квадрат.
40
При возведении в степень, большую единицы, функция сжимается, а при
возведении в степень, меньше 1, растягивается. Модификаторы могут быть
разной степени силы, «около», «приблизительно», «весьма».
Элементы нечётких множеств берутся из областей исследования (или
областей рассуждения). Перед тем, как конструируются функции
принадлежности, принимают во внимание области для входных и выходных
значений. Каждый элемент области входит в какое-либо нечёткое множество в
некоторой степени, возможно даже и нулевой. Степень принадлежности для
каждого элемента области и есть описание нечёткого множества. Функция,
которая задаёт привязку каждому элементу множества из области, называется
функцией принадлежности, и обозначается как . В нечётких множествах
функции принадлежности конструируются и располагаются в области так, чтобы
переходы из одной функции принадлежности в другую для элементов области
выполнялись плавно.
С точки зрения теории нечётких множеств, множества могут принимать
любую форму, при этом множество лингвистического термина должно быть
достаточно широким для того, чтобы нивелировать погрешности измерений;
некоторая часть каждого множества должна пересекаться с соседними
множествами, иначе возможны неопределённые состояния.
В строгом математическом смысле, нечёткое множество есть набор
упорядоченных пар:
где — элемент области, а — его степень принадлежности области . Пара
из называется нечётким одноточечным множеством, или синглтоном.
Одноточечное нечёткое множество состоит из одного значения, и заменяет
множество одним числом.
Рассмотрим преимущества метода нечеткой логики [138]:
формализуется и агрегируется опыт операторов и разработчиков в
настройке петель регулирования;
используется упрощенный метод управления комплексными процессами;
41
сохраняется опыт по управлению процессами определенного вида с
учетом исключений разного рода и особенностей системы в целом;
учет разносортных входных данных, а также объединение разных и
сходных данных;
создание абстрагированных шаблонов (классов) для обнаружения атак на
ресурсы системы [117].
К недостаткам нечеткой логики относят следующее [118]:
входная совокупность нечетких правил формируется аудитором и может
быть неполной и противоречивой;
вид и характеристики функций принадлежности, описывающих input- и
output-переменные системы, задаются интуитивно и могут изменить истинную
реальность.
Выводы по главе 1
1. Рассмотрены существующие подходы к анализу рисков ИБ —
байесовский подход, нечеткая логика и метод ближайших ложных соседей.
Следует заметить, что указанные методы обладают достаточно большой
вычислительной сложностью и не позволяют анализировать определенные типы
угроз ИБ в режиме реального времени или близкого к ним. В дальнейшем во
второй главе будет предложен интегрированный метод на основе фрактального
анализа телекоммуникационного трафика, лишенный этих недостатков.
2. Рассмотрены существующие методики, базирующиеся на известных
статистических принципах и теоремах, позволяющие вероятностно определить
риск ИБ в телекоммуникационных сетях. В дальнейшем в третьей главе будет
предложена модернизированная методика для вероятностного определения
рисков ИБ с учетом различных типов уязвимостей телекоммуникационной
системы.
3. Рассмотрены известные программные средства анализа рисков ИБ,
которые, зачастую, являются нероссийскими и дорогими по стоимости. Во второй
42
главе будет предложен алгоритм на основе интегрированного метода на основе
фрактального анализа, который может в дальнейшем лечь в основу фрактального
индикатора состояния телекоммуникационной системы.
43
2. ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ
НА ОСНОВЕ ВЕРОЯТНОСТНЫХ КРИТЕРИЕВ
2.1. Модель оценки рисков информационной безопасности
телекоммуникационной системы
Рассмотрим подход к построению модели оценки рисков ИБ
телекоммуникационной сети.
Пусть имеется некоторая произвольная телекоммуникационная сеть,
структурная схема которой представлена на рис. 2.1. Телекоммуникационная сеть
представляет собой совокупность, в общем случае, произвольно соединенных
между собой телекоммуникационных устройств (серверов, маршрутизаторов,
коммутаторов и т.п.). Будем называть одно устройство узлом
телекоммуникационной сети, который в общем случае характеризуется своим
уникальным ip-адресом. Доступ к различным узлам может быть осуществлен для
авторизованных администраторов с целью их настройки.
Будем осуществлять нумерацию узлов через индекс 1, pi N , где pN —
общее число узлов. Заметим, что все узлы телекоммуникационной сети между
собой не равнозначны и вывод их из нормального режима функционирования
имеет разную степень критичности. Каждый узел может быть уязвим к
различным видам сетевых атак. Поэтому для каждого узла с номером i
необходимо поставить в соответствие набор допустимых уязвимостей
1,ik iKU k N , где iKN — общее число уязвимостей для узла с номером i .
В дальнейшем при построении модели будем рассматривать случай, когда
количество возможных уязвимостей у всех узлов одинакова. Безусловно это
накладывает некоторое ограничение на использование модели, но нужно заметить
следующее. В большинстве случаев риски угрозы ИБ присущие различным узлам
вызваны одинаковыми причинами только с различной степенью вероятности.
К основным видам угроз для каждого узла относятся — различные виды сетевых
атак, физический доступ к оборудованию нелегитимных пользователей, наличие
44
интерфейсов для обмена данными с внешними устройствами и т.п. Поэтому в
большинстве случаев достаточно определить некоторый набор угроз
(уязвимостей) узла и распространить его на все узлы. Однако в следствие того,
что узлы не равноправны по степени критичности для все телекоммуникационной
системы в целом, то, скорее всего, использовать одинаковый набор для всех узлов
не принесет должной выгоды при проектировании модели оценки рисков
информационной безопасности. Поэтому в работе используется другой метод
определения вероятности той или иной уязвимости.
Internet
веб-серверсервер баз данных
файловыйсервер
сервер связив режиме
реального времени
серверэлектронной
почты
серверуправления
сервербаз данных
сервермобильной
связи
сервермобильной
связи
Филиал
межсетевойэкран
ATM/FastGBEternet-коммутатор
Узел 1
Узел 2
Узел 3
Узел 4
Узел 5Узел 6
Узел 7
Рисунок 2.1. – Общая структурная схема телекоммуникационной сети
Будем предполагать следующее:
1. Имеется полный набор возможных уязвимостей для всех узлов
телекоммуникационной системы (различные виды сетевых атак, физический
доступ к оборудованию и т.п.). Обозначим этот набор для i-го узла через
1,ik iKU k N . Для узла с номером j — 1,jk jKU k N и т.д.
45
2. Постулируем, что для любых узлов с номерами i и j: ,iK jKN N i j , что
означает одинаковое количество доступных угроз (уязвимостей).
3. Для каждого узла введем в рассмотрение понятие вектора вероятностей
уязвимостей узла, который конструируется по следующей схеме:
1 2, ,...,ki i i iNp p pU , (2.1)
где imp — вероятность успешной эксплуатации уязвимости с номером m на узле i.
Теперь по поводу определения данных вероятностей. Они определяются
либо экспертом вручную, либо с использованием генерации на узел сетевых атак
с целью эксплуатации конкретной уязвимости. В любом случае для каждой
уязвимости с номером m должен быть задан набор проверок её эксплуатации:
1 2, ,...,sm m m mNp p pΠ , (2.2)
где msp — вероятность успешной эксплуатации уязвимости с номером m при
проверке с номером s.
Таким образом, для описания интегральной уязвимости m необходимо
составить линейную комбинацию из элементов вектора mΠ с различными
весовыми коэффициентами, определяющими значимость проверки и
определяемыми экспертом. Для некоторого узла телекоммуникационной системы
в этом случае имеем:
1 1 1 1
1
... ,s
s s
N
m m m m m mN mN ms ms
s
P p p p p
(2.3)
где ms — весовой коэффициент, меньший 1, определяющий значимость
проверки s для эксплуатации уязвимости m.
Подобные интегральные характеристики, определяющие вероятность
использования уязвимости m необходимо ввести для каждого узла
телекоммуникационной системы — imP , которая представляет собой вероятность
эффективной эксплуатации уязвимости m на узле i.
Таким образом, для каждого узла вводится в рассмотрение тензор
вероятностей эксплуатации уязвимостей по следующей схеме:
46
11 11 21 21 1 1
12 12 22 22 2 2
1 1 2 2
...
...ˆ ,
... ... ... ...
...
k k
k k
s s s s k s k s
i i i i iN iN
i i i i iN iN
ims ims
i N i N i N i N iN N iN N
p p p
p p pU
p p p
U (2.4)
где элемент imsU определяет вероятность того, что на узле i возникнет уязвимость
m при проверке s.
Для простоты и считая, что значимости всех проверок одинаковы, что в
большинстве случаев имеет место в (2.4) нужно положить все коэффициенты:
1ims . В этом случае вид тензора вероятностей уязвимостей (2.4) упрощается:
11 21 1
12 22 2
1 2
...
...ˆ .
... ... ... ...
...
k
k
s s k s
i i iN
i i iN
ims ims
i N i N iN N
p p p
p p pU
p p p
U (2.5)
Теперь отметим следующее. Как уже отмечалось для каждой уязвимости
может быть разное число проверок, а для каждого узла — различное число
уязвимостей. В этом случае в тензоре (2.5) для несуществующих уязвимостей и
несуществующих проверок достаточно принять соответствующий элемент:
,imsU где — наперед заданное малое число. Например, если для 5-го узла в
принципе не может существовать уязвимость с номером 2, то необходимо
элементы взять 52sU .
Для интегральной характеристики всех угроз ИБ на i-ом узле
телекоммуникационной сети можно использовать следующую величину:
ˆdet .i imsK U (2.6)
Причем чем меньше значение iK , тем меньше суммарная угроза ИБ i-го
узла.
Рассмотрим теперь возможность получения интегральной характеристики
ИБ всей телекоммуникационной сети в целом. Здесь может быть два подхода к её
расчету.
47
Первый подход не учитывает критичность каждого узла для всей
телекоммуникационной сети в целом и поэтому интегральный уровень ИБ сети
может быть найден простым перемножением суммарных угроз ИБ каждого из
узлов:
1 1
ˆdet .p pN N
ims i
i i
K K
U (2.7)
Однако этот подход на самом деле может не адекватно учесть уровень
интегральной угрозы ИБ телекоммуникационной сети в целом. В любой сети есть
критичные и некритичные устройства. Например, если сеть основывается на
использовании двух основных коммутаторах ядра и совокупности коммутаторов
уровня доступа, расположенных в структурных подразделениях предприятия, то
физический выход из строя коммутатора уровня доступа в одном подразделении
никак не повлияет на функционирование всей сети в целом. Однако и здесь стоит
оговориться, что в случае сетевой атаки это может быть не так. Таким образом,
принципиально необходимо ранжирование всех узлов телекоммуникационной
сети по уровню их критичности для функционирования всей
телекоммуникационной сети в целом. В частности, можно ввести вектор
критической значимости узлов телекоммуникационной системы следующего
вида:
1 2, ,..., ,pNw w ww (2.8)
где iw — вес (значимость) i-го узла для всей телекоммуникационной сети в
целом. Вес может варьироваться от 0 до 1 (наибольшая значимость). Весовые
коэффициенты определяются экспертом (аудитором) из анализа структурной
схемы телекоммуникационной сети.
Интегральный уровень риска ИБ сети в этом случае определяется линейной
комбинацией следующего вида:
1 1 2 2
1
... .p
p p
N
N N i i
i
K w K w K w K w K
(2.9)
48
Таким образом, общий алгоритм определения уровня угрозы ИБ
телекоммуникационной сети выглядит следующим образом:
1. Анализ структурной схемы телекоммуникационной сети и определение
вектора 1 2, ,...,pNw w ww , определяющего уровень критичности узлов.
2. Анализ и определение всего спектра наиболее общих (или всех) видов
уязвимостей, приемлемых для данной сети (сетевые атаки, физический доступ в
помещение и т.п.) и составление вектора уязвимости узла 1 2, ,...,ki i i iNp p pU
для каждого узла.
3. Составление для каждой уязвимости каждого узла вектора проверок
состояния уязвимости 1 2, ,...,sm m m mNp p pΠ .
4. С использованием формул (2.5) и (2.6) определение интегрального уровня
риска ИБ для каждого отдельного узла телекоммуникационной сети.
5. Определение интегрального уровня риска ИБ все сети по формуле (2.9).
Итак, для описания всей телекоммуникационной сети необходимо задать
для каждого узла два вектора: 1 2, ,...,ki i i iNp p pU и 1 2, ,...,
sm m m mNp p pΠ .
Элементы этих векторов представляют собой условные вероятности того, что при
определенной эксплуатации (проверке) конкретной уязвимости система (узел)
перейдет в неисправное (нефункционирующее) состояние.
Таким образом, для реализации приведенного выше алгоритма необходима
разработка методики определения условных вероятностей msp .
Об этом пойдет речь в следующем разделе диссертационной работы.
2.2. Модель оценки риска информационной безопасности для
определенной уязвимости.
Разработанная система оценки рисков ИБ содержит объект оценки (ОО) и
средства оценки (СО) (рисунок 2.2).
СО реализуют некоторый алгоритм оценивания, задающий
последовательность и алгоритм анализа испытаний ОО полученных в ходе
49
эксперимента. Здесь под простейшим испытанием k ( 1, ... )k n подразумевают
некоторое экспериментальное действие над ОО, которое заключается в
тестирующем воздействии и отклике на него со стороны ОО. Таким образом СО
состоит из источника воздействий (ИВ), измерительное устройство (ИУ),
устройство связи с объектом (УС) и устройство вывода результатов оценки (УВ).
Наличие всех узлов не является обязательным условием существования СО.
ИВ ОД ИУ
УСУВ
Рисунок 2.2. – Система оценивания состояния объекта
В представленной системе имеются ОО, ИУ, исполненные на основе
представленного далее алгоритма оценки рисков ИБ программным путем.
Объект оценки способен принимать одно из состояний ie на множестве
0, ... , ...i sE e e e , компоненты которого состоят из исправного состояния 0e и
неисправного состояние ie ( 1, 2, ... )i s . Для всех ОО создается совокупность
простейших испытаний (проверок уязвимостей): 1 2, ... , ... n .
В итоге простейших испытаний находится состояние, настоящего
нахождения объекта оценки.
Вся область величин измеряемого аргумента делиться на kf
неперекрывающихся областей. Для каждого возникающего события испытаний
существует некоторый поддиапазон 1, ,k k kn j fQ q q q .
50
Всем объектам оценки в любой момент времени сопоставить вероятность
0( )iP e нахождения объекта оценки в ie -м состоянии.
Таким образом,
0
0
( ) 1s
i
i
P e
, (2.10)
и будем считать, что 0( )iP e априорные вероятности показывающие
неопределенность совокупности состояний объекта оценки до начала оценки
рисков ИБ всегда принадлежат одному из приведенных ранее состояний. Для
высококачественного объекта оценки вероятности 0 0( )P e нахождения его в
защищенном состоянии (вероятность реализации атаки на ресурсы системы
стремится к нулю) незначительно отличаются от единицы. Вероятности 0( )iP e
нахождения объекта оценки в незащищенных состояниях (любая атака на систему
будет успешной) ie ( 0)i , невелики. Стоит отметить, что не существует
абсолютно защищенных телекоммуникационных сетей (т.е. вероятность того, что
система защищена от реализации атак на неё никогда не будет равна единице).
Можно получить kf , проведя испытания kn , для чего в свою очередь
необходимо определить kj -й выход ИУ в так называемом «единичном
состоянии». Это исходный результат испытания kn –
kjq ( 1
kjq ). Все
остальные выходы ИУ находятся в незащищенном (так называемом нулевом)
состоянии ( 0; 1, ... ; )kv k k k kq v f v j , так как интервалы,
дифференцирующие область величины искомого аргумента, не перекрываются.
Границы инверсии значений измеряемой величины изображены на рисунке 2.3,
где AZ – начальное значение, BZ – конечное. Область значений поделена на kf
интервалов. Полученное значение Z принадлежит kj -му интервалу,
следовательно, в защищенном (единичном) состоянии существует один выход
kjq . Знания о настоящем положении объекта оценки возрастают, когда испытание
kn будет является информативным для совокупности положений объекта оценки.
( / )kk i jP e q – вероятность того, что после испытания k , произойдет событие при
51
котором 1kj
q , а объект оценки будет находится в состоянии ie ; ( / )kk j iP q e –
вероятность того, что в ходе испытания k , на выходе kj
q ИУ генерирует
единичный сигнал, с учетом того, что объект оценки находится в состоянии ie ;
( )k iP e – вероятность того, что перед испытанием k объект оценки находился в
состоянии ie .
0 ... 1 0...
... ...
1qkj
qkf
q
Z A ZB
11 q 1kj
q 1kf
q
Измеренное
значение
Рисунок 2.3. – Границы инверсии значений измеряемой величины
Описанные выше вероятности соотносятся формулой Байеса для
конкурирующих гипотез [3, 168]:
0
( ) ( )( / )
( ) ( )
k
k
k
k i k j i
k i j s
k i k j i
i
P e P q eP e q
P e P q e
. (2.11)
Варьирование вероятностей положений объекта оценки при испытании k
изображено на рисунке 2.4.
Величины вероятностей ( / )kk i jP e q достаточно сильно зависят от
принадлежности и порядка прохождения предшествующих испытаний.
Величины вероятностей ( / )kk j iP q e , в свою очередь, не зависят от
очередности проверок, но зависят от вида испытания k . Стоит отметить, что
механизм оценивания объекта оценки не влияет на структуру и сигналы на
выходе ИУ, а также не имеет прямой зависимости между последовательностью
испытаний k и временным интервалом испытания.
52
......
).../(0 qeP j
k
k
)/( qeP jk
sk
).../(0 qeP f
k
k
)/( qeP fk
sk
)...(0ePk
)...(eP ik)(eP sk
k
qfkqjkq
1
).../(10
qePk
).../(1
qeP ik
).../(1
qeP sk
Рисунок 2.4. – Варьирование вероятностей положений объекта оценки при
испытании k
Любое испытание k описывается тензором вероятностей
эксплуатирования уязвимости ( / )kP q e
, ( / )k kj i k j iP P q e
, (2.12)
1,1 1, 1,
,1 , ,
,1 , ,
... ... ...
( / )
.. ... ...
k k k
k k k
i s
j j i j sk
f f i f s
P P P
P P PP q e
P P P
.
Сумма вероятностей в каждом столбце тензора ( / )kP q e равна единице:
,1, ( 0, 1, ..., ),
k
k
k
f
j i
j
P i s (2.13)
поскольку для каждого положения ie выхода ИУ обязан существовать единичный
сигнал.
Вообще говоря, что тензор условных вероятностей, которая здесь введена
учитывает только одну (рассматриваемую) угрозу (например, DDoS атаку на один
53
из компонентов ОО) и именно эта угроза тестируется на испытание. Однако
компонентов у объекта оценки может быть сколь-угодно много. В связи с этим
предлагается ввести в рассмотрение тензор условных вероятностей для всех
компонентов объекта оценки, каждый из которых подвергается испытанию на
предмет уязвимостей. По сути, этот тензор будет представлять собой вектор,
каждый компонент которого представляет собой тензор условных вероятностей
конкретного компонента объекта оценки. В общем случае, общий тензор
условных вероятностей определяется следующим образом:
1 2 ...k k k s kmj i j i j i N j iT P P P
,
где sN — общее число компонентов (уязвимостей) во всем объекте оценки.
2.3. Информативность испытаний
Перед испытанием k неопределенность положения объекта оценки
определяется по средствам априорной энтропией ( )kH e [4, 139, 157].
2
0
( ) ( )log ( )s
k k i k i
i
H e P e P e
. (2.14)
После завершения испытания k неопределенность состояния объекта
оценки уменьшается и характеризуется значением апостериорной энтропии
( / )kH e q .
0
( / ) ( ) ( )k
k k
k
f
k k j k j
j
H e q P q H e q
, (2.15)
где ( / )kk jH e q – условная апостериорная неопределенность при условии, что
испытание k дала результат 1kj
q , ( )kk jP q – вероятности получения результата
1kj
q при испытании k , которые определяются как:
54
2
0
( / ) ( / )log ( / )k k k
s
k j k i j k i j
i
H e q P e q P e q
, (2.16)
0
( ) ( ) ( )k k
s
k j k j i k i
i
P q P q e P e
. (2.17)
Информация, доставляемая испытанием k определяется соотношением:
( ) ( ) ( / )k k kI H e H e q [бит]. (2.18)
Введем величину τk, определяемую как время реализации испытания k , от
сюда можно предположить, что скорость проведения испытания вычисляется как
( )( ) k k
k
k
IF
бит
сек
. (2.19)
Скорость проведения испытания ( )kF по сути это отношение
информации, к единице времени реализации испытании k . Для реализации
оптимизированных по времени выполнения алгоритмов оценки рисков ИБ
необходимо применять такую очередность испытаний k , при которой
достигается наибольшая скорость проведения испытания.
Для наглядности, найдем скорость проведения испытаний 1 и 2 , тензоры
эксплуатирования уязвимости которых определяются следующим образом:
1
0,1 0,8 0 1 0
( / ) 0,7 0,2 0,1 0 0
0,2 0 0,9 0 1
P q e
,
(2.20)
2
0 1 0 1 0
( / ) 1 0 0 0 0
0 0 1 0 1
P q e
.
(2.21)
В обоих случаях испытаний будем считать, что справедливы следующие
величины вероятностей положения объекта оценки.
55
0 0 0 1 0 2
0 3 0 4
( ) 0,9; ( ) 0,01; ( ) 0,02;
( ) 0,03; ( ) 0,04.
P e P e P e
P e P e
Затем рассчитаем априорную неопределенность, предшествующую
испытаниям (2.14):
2 2
2 2 2
( ) (0,9log 0,9 0,01log 0,01
0,02log 0,02 0,03log 0,03 0,04log 0,04) 0,667
rH e
[бит].
Далее рассчитаем величины вероятностей ( )kk jP q , и запишем их в таблицу
2.1.
Таблица 2.1 – Значения вероятностей и энтропий при 1kj
q
kj аргумент испытание k
k=1 k=2
1 1( / )kH e q 0,138 0,032
1( )kP q 0,128 0,040
2 2( / )kH e q 0,210 0,000
2( )kP q 0,634 0,900
3 3( / )kH e q 0,176 0,050
3( )kP q 0,238 0,060
Далее для всех испытаний 1 и 2 определим величину компонентов
тензора условных вероятностей ( / )kk i jP e q :
1 1)
0,703 0,994 0,764
0,602 0,003 0,000
( / 0,000 0,003 0,075
0,234 0,000 0,000
0,000 0,000 0,160
i jP e q
, (2.22)
56
2 2)
0,00 1,00 0,00
0,25 0,00 0,00
( / 0,00 0,00 0,30
0,75 0,00 0,00
0,00 0,00 0,60
i jP e q
. (2.23)
Подробный разбор тензоров (2.22) и (2.23) свидетельствует о следующем.
Для испытания 1 : при возникновении события 2 1q , вероятность состояния 0e
увеличивается по отношению к априори заданной исходной вероятности, таким
образом наличие сигнала 2 1q доказывает защищенное состояние объекта
оценки (здесь имеется в виду либо защищенность одного компонента объекта
оценки или же защиту от одной угрозы) и полностью исключает возможность
состояний 3e и 4e : вероятности 1 3 2 1 4 2( / ) ( / ) 0P e q P e q . В случае исхода 1 1q ,
вероятность 1 0 1( / )P e q защищенности объекта оценки уменьшается по сравнению
с априорной вероятностью, а состояния 2e и 4e исключаются, как невозможные:
1 2 1 1 4 1( / ) ( / ) 0P e q P e q . В случае исхода 3 1q , вероятность защищенности
объекта оценки также уменьшается, а исключаются, как невозможные, состояния
1e и 3e .
Для испытания 2 : исход 2 1q безусловно подтверждает защищенность
одного (исследуемого) компонента объекта оценки (или же защищенность от
одного типа угрозы) и полностью исключает возможность других состояний.
Исход 1 1q исключает возможность защищенности объекта оценки, а также
состояний 2e и 4e , увеличивая вероятности состояний 1e и 3e .
Исход 3 1q , взаимоисключает достижимость состояний 1e и 3e ,
преумножая вероятности состояний 2e и 4e .
Величины условных апостериорных энтропий ( / )kk jH e q вычисленных
согласно (2.16) для двух испытаний представлены в таблице 2.1.
Энтропии двух испытаний рассчитываются, согласно (2.15):
1 1 1 1 1 1 2 1 2 1 3 1 3( / ) ( ) ( / ) ( ) ( / ) ( ) ( / ) 0,1925H e q P q H e q P q H e q P q H e q [бит].
57
2 2 1 2 1 2 2 2 2 2 3 2 3( / ) ( ) ( / ) ( ) ( / ) ( ) ( / ) 0,00546H e q P q H e q P q H e q P q H e q [бит].
В данном случае информация, получаемая при испытаниях 1 и 2 :
1 1 1( ) ( ) ( / ) 0,474I H e H e q [бит].
2 2 2( ) ( ) ( / ) 0,661I H e H e q [бит].
В результате анализа можно сделать вывод, что информативность
испытания 2 больше, чем у
1 .
Испытание 2 несет больше информации, чем испытание
1 , это связано с
практически полным устранением неопределенности положения объекта оценки.
Оптимизируем значение целевой функции по параметрам быстродействия и
информативности ( , ( ))k
kF I
и получим:
1 11
1
( )( ) min,
IF
1 11
1 1
( )( ) 0 .
d IF
d
Исходя из полученного можно говорить, что если интервал 1 1-го
испытания в 2 раза меньше, чем у второго, то, согласно (2.19), 1 является более
предпочтительной, так как у нее более высокая скорость проведения испытания.
2.4. Различающие свойства простейших испытаний
Для всех состояния ie аргумент z принимает значения, из поддиапазона
( 1, ... )iz i s , который в свою очередь может взаимонакладываться на другой
поддиапазон, пример такого взаимоналожения представлен на рисунке 2.5.
58
e3
e1
e0
e2
e4
Z3 Z 21
Z1
Z0
Z10 Z 20 Z30
Z 4
Z A Z B
11q 1
2q 1
3q
Рисунок 2.5. – Испытание 1
В ходе простейшего испытания k величина измеряемого аргумента z
трансформируется в цифровую форму и соотноситься с одним из интервалов
( 1, ... )kj k kq j f . Если z находиться в диапазоне
kjq , то 1
kjq .
Согласно рисунку 2.5, пребывание объекта оценки в состоянии 3e
соотносится с получением единичного сигнала исключительно на выходе 1q .
На каком-либо из выходов: 1q , 2q , 3q есть вероятность возникновения
единичного сигнала состояния 0e . В случае, когда для среза ie значение искомого
аргумента z принимает внутри поддиапазона zi значения распределенные по
равномерному закону, то условные вероятности ( / )kk j iP q e вычисляются по
формуле:
,
,( / ) k
k k
j ik
k j i j i
i
ZP q e P
Z , (2.24)
где iz – размер подинтервала аргумента z для среза ie ;
,kj iz – размер части подинтервала iz , входящего в состав интервала
kjq .
59
Так согласно рисунку 2.5, определим величины вероятностей испытания 1
как
10 20 301 1 0 1 2 0 1 3 0
0 0 0
( / ) ; ( / ) ; ( / )z z z
P q e P q e P q ez z z
и т.д.
Значения условных вероятностей 1 1 3( / )P q e и 1 3 4( / )P q e приравнены к единице,
так как подинтервал 3z принадлежит интервалу
1q , а 3z – в свою очередь
интервалу 3q .
Испытание 2 протекает таким образом, что любой поддиапазон
iz
соотноситься только с одним интервалом zj
q . Все 0j iz , таким образом, в тензор
условных вероятностей входят лишь нулевые и единичные компоненты. Стоит
отметить, что данный тензор сопоставим, в некотором смысле, идеальному
диагностирующему/информационному процессу, так как не учитывает
вероятность отказа в обслуживании или полной неработоспособности, а также
погрешности ИУ. Таким образом, выбирая режим или способ испытаний k
необходимо минимизировать наложения ,kj iz для увеличения информативности
механизмов оценки рисков ИБ.
В случае когда для испытания k строка тензора условных вероятностей
( )kP q e , сопоставимая с выходом kj
q , включат в себя только одноименные
компоненты, можно говорить, что данный исход не содержит дополнительной
информации о состоянии объекта оценки, а выход ИУ в таком случае называют не
определяющим по испытанию k .
Так, согласно (2.11) при равных значениях ( / )kk j iP q e , имеем следующее:
0
( )( / ) ( )
( )k
r ir i j r is
r i
i
P eP e q P e
P e
. (2.25)
Таким образом можно сказать, что априорная вероятность равна
апостериорной, неопределенность среза ie не становиться меньше, из чего можно
60
сделать вывод, что выход kj
q не включает в себя информацию о состоянии
объекта оценки.
Будем считать, что исход kj
q называется различающий по испытанию k , в
том случае, когда строка тензора условных вероятностей, сопоставимая с
выходом 1kj
q включает в себя разные компоненты. В том случае, когда среди
них есть нулевые компоненты (2.20), при выходе 1kj
q из множества различных
состояний 0 , ... , ....j i sE e e e , возможных при выходе 1kj
q при испытании k
опускаются нулевые состояния, так называемые нулевые компоненты.
К примеру, при испытании 1 , для которого тензор условных вероятностей
находиться из соотношения (2.20), выходу 1 1q соответствует множество
0 1 3, ,iE e e e , с запрещёнными состояниями 2e и
4e ,а выходу 3 1q – множество
0 2 4, ,jE e e e , с запрещенными состояниями 1e и
3e . В свою очередь это
доказывают значения условных вероятностей 1( / )ki jP e q , которые были
рассчитаны ранее. Из чего можно судить о том, что при 1 1q объект оценки не
может принимать состояния 2e и 4e , а при 3 1q состояния 1e и 3e .
Допустим, что перед испытанием k с исходом kj
q было испытание r с
исходом req . Положим, что по результатам предыдущих испытаний, в том числе
r , найдена совокупность всех возможных состояний , rr eM , которое принимает
объект оценки. Следовательно, совокупную величину kkjM возможных состояний
объекта оценки после испытания k с выходом kj
q получаем на пересечении
множеств , rr eM и kkjE
( , 1, ... , 1, ... )k r kkj re kj i eM M E k r n e f . (2.26)
Все испытания k необходимо подбирать с учетом того, чтобы совокупная
величина kkjM включала в себя меньшее число компонентов, по сравнению с
, rr eM . Проведя ряд испытаний можно отметить, что совокупная величина kkjM
61
является однокомпонентным kkj vM e , где
ve – подлинное состояние, в котором
прибывает объект оценки.
Необходимо описать условие при котором обеспечивается нулевое
равенство некоторого компонента ( / )kk j iP q e тензора условных вероятностей, для
этого необходимым и достаточным является не пересечение интервала значений
аргументов z , соответствующих выходу 1kj
q с подинтервалом iz значений
искомого аргумента, соответствующих срезу ie .
Так, область значений аргумента 3z состояния 3e (рисунок 2.5), не
пересекается с интервалами значений аргументов z , принадлежащих выходам
2 1q и 3 1q , отсюда вытекает, что компоненты тензора 2 3( / )P q e и 3 3( / )P q e равны
нулю (2.20). Диапазон 1z не пересекается с одним интервалом 3 1q , тогда
полагаем, что компонент 3 1( / )P q e равен нулю и т. д.
Исходя из выше изложенного можно сделать вывод, что испытания тензор
условных вероятностей, которых не включает в себя нулевых компонентов, могут
обеспечить оценку рисков ИБ объекта оценки лишь с определенной долей
вероятности. В противном случае, при наличие нулевых компонентов тензора
условных вероятностей и при определенных условиях обеспечивается
детерминированное нахождение истинного состояния объекта оценки.
2.4.1. Испытания с единичными условными вероятностями исходов
Положим, что испытание k было проведено, согласно рисунку 2.6. Все
подинтервалы аргумента ( 1, ... )iz i s , соответствующие состоянию ie , относятся
лишь к одному из интервалов ( 1, ... )kj k kq j f , в следствии этого, тензор
условных вероятностей исходов включает в себя только нулевые и единичные
компоненты.
Таким образом, для испытания k , срезу ie всегда соотносится исход
1kj
q . Вместе с тем, тот же исход может сопровождать и иные состояния объекта
оценки. Например, исход 2 1q (рисунок 2.6) соответствует лишь одному
62
состоянию 0e , а исход
1 1q возникает, если объект оценки находится в состоянии
1e или 3e .
e3
e1
e0
e2
e4
Z3
Z1
Z0
Z 2
Z 4
Z A Z B
11q 1
2q 1
3q
Рисунок 2.6. – Испытание 2
Испытания с единичными условными вероятностями исходов не только
имеют высокую информативность, но и значительно облегчают процесс расчёта
компонентов тензора ( / )kk i jP e q
условных вероятностей состояний объекта
оценки. Для расчете величин этих вероятностей необходимо учесть, что все
вероятности ( / )kk j iP q e принимают только единичные и нулевые значения. Всё
выше изложенное можно записать в следящем виде:
( )( / )
( )k
i kjk
k ik i j
k i
e M
P eP e q
P e
, (2.27)
( ) ( )k
i kjk
k j k i
e M
P q P e
, (2.28)
где, kkjM – это совокупность разрешенных состояний нахождения объект оценки
после исхода 1kj
q испытания k .
63
Предположим, что перед испытанием k проходит испытание
r с исходом
1вq . По аналогии с (2.28):
( )( / )
( )r
i jr
r ir i j
r i
e M
P eP e q
P e
. (2.29)
Так как испытание k идет прямо за испытанием
r ,
( ) ( ).rk i r i jP e P e q (2.30)
Подставив данное выражение в (2.27), получаем:
( )( / )
( )k
i jr
r ik i j
r i
e M
P eP e q
P e
. (2.31)
Сопоставив (2.31) с (2.29) удостоверимся в том, что при обращении к
следующему испытанию k , идущему за испытанием r , поменяется только
совокупная величина разрешенных состояний, согласно которой выполняется
суммирование. Применив метод математической индукции, получим следующее
выражение:
0
0
( )( )
( )k i kjk
i kjk
ik i j e M
i
e M
P eP e q
P e
. (2.32)
Подставляя (2.24) и (2.25) в (2.28), получим:
0
0
0 0
( )( )
( )( ) ( )
i kjk
k
i kjk
i kj i jk r
i
e Mik j
e M i i
e M e M
P eP e
P qP e P e
. (2.33)
Несмотря на кажущуюся массивность формул (2.32) и (2.33) расчеты по ним
достаточно упрощены, так как в них складываются значения исходных
вероятностей 0 ( )iP e , а не значения промежуточных вероятностей ( )k iP e ,
рассмотрим данный случай более подробно.
Положим, что испытание 2 , с тензором условных вероятностей исходов
(2.21), проходило первым и завершилось исходом 1q .
64
Вычислим величину вероятностей 2 1 1( / )P e q и
2 3 1( / )P e q состояний объекта
оценки при заданных исходных вероятностях 0 ( )iP e .
Совокупная величина состояний 1 3,kj
M e e .
Совокупная величина состояний 0 1 2 3 4, , , ,rj
M e e e e e , т.е. совпадает с
исходным.
Находим вероятности:
0 12 1 1
0 1 0 3
( )( / ) 0,25,
( ) ( )
P eP e q
P e P e
0 12 3 1
0 1 0 3
( )( / ) 0,75,
( ) ( )
P eP e q
P e P e
что в полной мере тождественно с вычисленными прежде величинами (2.22).
Вероятность исхода 2 1( )P q находится согласно выражению (2.32):
0 1 0 32 1 0 1 0 3
0
( ) ( )( ) ( ) ( ) 0,04
( )i re
i
e M
P e P eP q P e P e
P e
.
что в полной мере тождественно с вычисленными прежде величинами 2 1( )P q
(таблица 2.1).
Из чего можно заключить, что затруднение в вычислении вероятностей
состояний объекта оценки при наборе информационных проверок сводится к
решению логической проблемы вычисления подмножеств er
M и jkM
разрешенных состояний объекта оценки до и после испытания k .
2.5. Перечень испытаний
Выстроим прямоугольную таблицу, столбцы которой будут удовлетворять
состояниям объекта оценки из множества E , а строки поделятся на группы,
соответствующие простейшим испытаниям k из множества ( 1, ... )k n . В свою
очередь каждая группа будет состоять из kf строк, которые определяются
исходом испытания kj
q :
65
1, ... , ...k kk j fQ q q q . (2.34)
На пересечении kj -й строки в k-й группе с i-м столбцом поставим значения
двоичных переменных ( )
k
k
j ia , определяемых значениями условных вероятностей
исходов ( / )kk j iP q e :
( )
( ), ( ) 0,1
, ( ) 0,1
k k
k
k
k j i k j ik
j i
k j i
P q e если P q ea
x если P q e
(2.35)
Составленную подобным образом таблицу будем именовать перечнем
испытаний (таблица 2.2). В таблице 2.3 приеден перечень испытаний 1 и
2 ,
отвечающий тензорам условных вероятностей (2.20) и (2.21).
Нулевые компоненты в строке kj
q испытания k показывают состояния ie ,
исключаемые исходом 1kj
q . Так, если испытание 1 (таблица 2.3) закончилось
исходом 1 1q , то объект может принимать только единственное из состояний 0e ,
1e или 3e , а состояния 2e и 4e отбрасываются.
В перечне испытаний в одной группе каждый столбец включает в себя всего
один единичный компонент, а все прочие компоненты данного столбца равны
нулю.
66
Таблица 2.2 – Испытания 1 ... n .
испытание Исход Состояние ОО
0e … ie …
se
1
1q 11a 1i
a
… …
jq ija
… …
1fq 1f
a ifa sf
a
… … …
k
1q 1i
ka
… …
jq i
k
ja
… …
kfq
1
k
fa i
k
fa s
k
fa
… … …
n
1q 1i
na
... …
jq i
n
ja
… …
nfq
1
n
fa i
n
fa i
n
fa
67
Таблица 2.3 – Испытания 1 ,
2
испытание Исход Состояние ОО
0e 1e 2e 3e 4e
1
1q x x 0 1 0
2q x x x 0 0
3q x 0 x 0 1
2
1q 0 1 0 1 0
2q 1 0 0 0 0
3q 0 0 1 0 1
Процедура оценки рисков ИБ включает в себя поочередное выполнение
пула испытаний k из множества 1 2, ... , ... n разрешенных простейших
испытаний. Избранное количество испытаний может оказаться или чрезмерным
(избыточным), или слишком малым для вычисления истинного состояния объекта
оценки.
Вследствие чего, вначале, следует определить минимальный комплекс
испытаний, который различает все состояния ( 1, ... )ie i s объекта оценки, и
именуем его различающий комплекс испытаний. Далее, из него необходимо
выделить минимальный различающий комплекс, который включает в себя
наименьшее количество простейших испытаний.
Так как объект оценки может прибывать только в одном из состояний ie ,
различающий комплекс испытаний должен включать в себя испытания, при
которых обеспечивается гарантированное разделение любой пары состояний.
При помощи таблицы наложений, которая строится из перечня испытаний
(таблица 2.2), реализуется минимизация различающего комплекса испытаний.
Сперва из перечня испытаний отбрасываются все строки, состоящие лишь
из нулевых компонентов, либо не включающие ни одного нулевого компонента.
Так согласно перечню испытаний (таблица 2.3) строки данного вида отсутствуют.
Сгенерированную подобным образом таблицу именуют сокращенным перечнем
68
испытаний. Сокращенный перечень испытаний включает в себя по kh строк
k kh f в каждой группе.
Тогда для построения таблицы наложений справедливо следующее.
Количество строк таблицы равно количеству строк сокращенного перечня
испытаний, а количество столбцов таблицы наложений определяется как:
( 1)
2
s sr
(2.36)
что соответствует количеству разнообразных пар всевозможных состояний xe и
( , 1, ... ; )ze x z s x z .
Любой группе k строк величина компонента jk
xzb , который находится на
пересечении xz-го столбца и kj -й строки, находиться по формуле:
k k
jk k k
xz j x j zb a a , (2.37)
где – сложение по модулю два; ( )
k
k
j ia – число в двоичной системе.
Таблица 2.4 – Таблица наложений испытаний 1 2,
Таблица наложений построенная, исходя из перечня испытаний (таблица
2.3), приведена в таблице 2.4 (испытания 1 и 2 ). Основываясь на таблице
k q j
x ze e
01 02 03 04 12 13 14 23 24 34
1
q1 0 x x x x x x 1 0 1
q2 0 0 x x 0 x x x x 0
q3 x 0 x x x 0 1 x x 1
2
q1 1 0 1 0 1 0 1 1 0 1
q2 1 1 1 1 0 0 0 0 0 0
q3 0 1 0 1 1 0 1 1 0 1
69
наложений строится сокращенная таблица наложений, в которой столбцы
соотносятся к столбцам несокращенной таблицы наложений, а строки в свою
очередь испытаниям k . Для всех строк величина компонента
k
xzb приравнивается
к единице, если как минимум один из компонентов ( 1, ... )kj
xz kb j h равен
единице, иначе, величина компонента 0k
xzb .
Положим, что таблица 2.5. это сокращенный перечень испытаний, в которой
компоненты строк 1 и
2 соответствуют таблице 2.4, компоненты строки 3
отвечают испытанию с тензором условных вероятностей исходов (2.38), а
компоненты строки 4 – тензору условных вероятностей (2.39).
Таблица 2.5 – Сокращенная таблица наложений
Посредством таблицы наложений можно найти минимальное количество
простейших испытаний, распознающих все состояния объекта оценки. Это
достигается путем выбора минимального количества строк из сокращенной
таблице наложений (таблица 2.5), в столбцах которых содержатся только
единицы.
Согласно таблице 2.4 испытания 1 и 2 не гарантируют полноценного
дифференцирования всех состояний (не разделяются пары 1e 3e и 2e 4e ).
3
1 0 0 0 0
( / ) 0 1 0 1 0
0 0 0 0 1
j iP q e
(2.38)
k x ze e
01 02 03 04 12 13 14 23 24 34
1 0 0 0 0 0 0 1 1 0 1
2 1 1 1 1 1 0 1 1 0 1
3 1 0 1 1 1 0 1 1 1 1
4 0 0 1 0 0 1 0 1 0 1
70
4
1 1 1 0 1( / )
0 0 0 1 0j iP q e
(2.39)
Таблица 2.6. – Перечень испытаний 2 -
4
испытание Выход
Состояние ОО
0e 1e 2e 3e 4e
2
1q 0 1 0 1 0
2q 1 0 0 0 0
3q 0 0 1 0 1
3
1q 1 0 1 0 0
2q 0 1 0 1 0
3q 0 0 0 0 1
4
1q 1 1 1 0 1
q2 0 0 0 1 0
Множество испытаний 1 –
4 (таблица 2.5), наоборот, считается
чрезмерным (избыточным), и для досконального разграничения всех состояний
допустимо испытание 1 отбросить. Остальные испытания 2 , 3 , и 4
формируют минимальное количество простейших испытаний, распознающих все
состояния объекта оценки. Подобные испытания приведены в таблице 2.6.
2.6. Алгоритмы оценки рисков информационной безопасности
информационной системы
В качестве первичной информацией для выработки алгоритма оценки
рисков ИБ выступает перечень проводимых испытаний. Сам алгоритм оценки
рисков ИБ определяет порядок простейших испытаний и правила обработки
результатов выполняемых простейших испытаний [103, 115, 118].
71
Для дальнейшего удобства в описании алгоритмов оценки рисков ИБ
введем понятие информационного состояния средств оценки. Оно описывается
совокупной величиной kk j iM e ( 0, ... )i s разрешенных состояний, в которых
может прибывать объект оценки по окончании испытаний k с выходом 1
kjq .
С помощью кодирования опишем обозначенные ранее информационные
состояния как:
1. Всем разрядам двоичного кода kk jM информационного среза
противопоставляется состояние ( 0, ... )ie i s объекта оценки.
2. Все разряды двоичного кода kk jM , отвечающих разрешенным
состояниям, относящихся ко множеству kk jM – это единицы, все остальные –
нули.
3. Код 0M информационного состояния до проведения оценки рисков ИБ
состоит из одних единиц.
4. Код M , состоящий из одних нулей, считается запрещенным, так как
объекту оценки полагается прибывать только в одном из разрешенных состояний.
Для дальнейшего удобства в описании алгоритмов оценки рисков ИБ
введем понятие кода kk jE для результата 1kj
q испытания k .
1. По аналогии с кодом kk jM всем разрядам двоичного кода kk jE ,
противопоставляется состояние ( 0, ... )ie i s объекта оценки.
2. Все разряды двоичного кода kk jE , соответствующие компонентам
множества kk jE – единицы, прочие разряды – нули.
3. Код kk jE E , состоящий из одних нулей, считается запрещенным, т.к.
исход 1kj
q – неосуществим.
Алгоритм оценки рисков ИБ можно воспроизвести графически в качестве
направленного графа. Любому простейшему испытанию k можно сопоставить
субграф, который состоит из начальной вершины соединенной дугами с
промежуточными вершинами (рисунок 2.7). Всем начальным вершинам
72
сопоставляется пропорциональный код r eM исходного информационного
состояния, предшествовавшего испытанию k . По аналогии всем промежуточным
вершинам сопоставляется пропорциональный код nk jM . В свою очередь
соединительным дугам сопоставляется пропорциональный код nk jE испытания
k .
reM
1kM kkjM kkfM
1kEkkjE
kkfE
k
Рисунок 2.7. – Субграф испытания k
Все промежуточные вершины k jM субграфа k способна быть начальной
для дальнейшего испытания. Промежуточные вершины, будем называть –
конечными, а их коды nk jM субграфа получаем поразрядным логическим
умножением кода r eM и кода kk jE .
k kk j r e k jM M E . (2.40)
В случае, когда выход 1kj
q ведет к запрещенному состоянию ( kk jM M )
значения кодов k jM промежуточных вершин для данного выхода являются
нулевыми, в связи с чем эти вершины и прилежащие к ним дуги графически не
изображаются.
Граф алгоритма оценки рисков ИБ строится поочередным агрегированием
субграфов испытаний.
73
2.7. Безусловные и условные алгоритмы оценки рисков
информационной безопасности информационной системы
Наиболее простым в реализации считается безусловный алгоритмом оценки
рисков ИБ, который не зависимо от исходов предшествующих испытаний
определяет фиксированную последовательность простейших испытаний.
Установлено, что в случае, когда следом за нахождением действительного
состояния объекта оценки происходит представление результатов и прекращение
следующих испытаний, алгоритм является так называемым алгоритмом с
условной остановкой. Для алгоритма с безусловной остановкой представление
результатов оценки рисков ИБ происходит только после окончания всех
последовательных испытаний [82, 116].
Для наглядности на рисунке 2.8 изображен граф безусловного алгоритма
оценки рисков ИБ, для которого последовательность и характер испытаний
представлены в таблице 2.6.
11111
10000
10000
10000
00101
00100 00001
00100 00001
01010
01010
01000 00010
0M
22M
31M
41M
21M
32M
41M 41M 41M
31M 33M
23M
42M
0101021 E1000022 E
0010123 E
1010031 E
1110141 E 1110141 E 1110141 E
1110142 E1110141 E
1
2
3
e1 e2e3 e0 e4
Рисунок 2.8. – Граф безусловного алгоритма оценки рисков ИБ
с безусловной остановкой
Не сложно заметить, что обозначенные на графе коды исходов nk jE ,
получаются именно из таблицы 2.6. Так, код 31 10100E отвечает исходу 1kj
q
74
испытания 3 . Величины кодов kk jM информационных состояний находится
согласно (2.26). Так, 41 01000M , находятся по средствам поразрядного
логического умножением кодов 32 01010M и 41 11101E .
По окончании процедуры оценки рисков ИБ коды информационных
состояний kk jM включают в себя только одну единицу в разряде, отвечающем
действительному состоянию ie объекта оценки.
В случае, когда испытание 2 заканчивается, к примеру, исходом 22 1q ,
информационное состояние 22 10000M мгновенно укажет на надежность
(исправность) объекта оценки (объект оценки пребывает в состоянии 0e ), в таком
случае разрешается не совершать последующие испытания. Так как вероятность
защищенности объекта оценки достаточно велика, алгоритм с условной
остановкой в сравнении с алгоритмом безусловной остановки обеспечит весомую
экономию усредненного времени оценки рисков ИБ.
11111
10000
0101021 E
1000022 E
0010123 E
1010031 E0000131 E1110142 E
1110141 E
1
e1 e2e3
e0
e4
01010
01000 00010
4 00101
00100 00001
3
Рисунок 2.9. – Граф условного алгоритма оценки рисков ИБ
Наиболее сложным алгоритмом считается условный алгоритм, в котором
выбор простейших испытаний выполняется в зависимости от итогов
предшествующих испытаний. На рисунке 2.9 изображен граф условного
75
алгоритма оценки рисков ИБ, отвечающий простейшим испытаниям таблицы 2.6.
В том случае, когда испытание 2 оканчивается исходом
2 2q , то СО
регистрирует исправность объекта оценки и оценка рисков ИБ завершается. Если
испытание 2 заканчивается исходом
1 1q ( 21 01010E ), то в таком случае
следующим будет испытание 4 , в случае если испытание
2 закончится исходом
3 1q ( 23 00101E ), то следующим будет испытание 3 . Согласно рисунку 2.9
можно сделать вывод, что изображенный на нём условный алгоритм оценки
рисков ИБ предполагает выполнения не более двух последовательных испытаний,
по отношению к трем испытаниям, которые проводились при безусловном
алгоритме оценки рисков ИБ.
2.8. Оптимизация алгоритмов оценки рисков информационной
безопасности информационной системы
Задача оптимизации алгоритма оценки рисков ИБ сводится к определению
последовательности осуществления простейших испытаний k из установленного
перечнем испытаний (таблица 2.2) множества ( 1, ... )k k n , направляющей в
минимум или максимум избранный критерий [80]. Основным критерием, является
среднее время оценки рисков ИБ. Процедура разработки оптимальных алгоритмов
оценки рисков ИБ весьма сложена, в связи с чем наиболее популярными стали
методы оптимизации квазиоптимальных алгоритмов, в основе которых лежат
информационные критерии или критерии минимакса [109]. Информационный
критерий предполагает, максимизацию скорости проведения испытания для всех
последовательностей включаемого простейшего испытания (2.19).
Методы расчетов величин скорости проведения испытания на основе
условных вероятностей ( / )ki jP e q прежде уже были проанализированы (2.16),
(2.18). Так перечень испытаний (таблица 2.2) включает только нули и единицы,
расчет величин условных вероятностей происходит согласно адаптированным
формулам (2.32) и (2.33) и, в итоге, ограничивается только нахождению
76
подмножеств r eM и kk jM
разрешенных состояний объекта оценки
предшествующих испытанию k и состояний последующих за ним.
Кодирование информационных состояний kk jM , r eM и исходов испытания
kk jE ставит простую зависимость (2.26) между компонентами подмножеств r eM
и kk jM , обеспечивая построение квазиоптимального алгоритма оценки рисков ИБ
опираясь на перечень испытаний (таблица 2.6). Для удобства положим, что любое
простейшие испытание обладает одноименной длительностью ( 2 3 4 0,1
сек.).
Величины априорных вероятностей состояний объекта оценки допустим
равными заданным ранее:
0 0 0 1 0 2
0 3 0 0
( ) 0,9; ( ) 0,01; ( ) 0,02;
( ) 0,03; ( ) 0,049.
P e P e P e
P e P e
В первую очередь следует найти первичное испытание, т.е. какое именно из
испытаний 2 ,
3 или 4 должно быть первым.
Субграфы надлежащих испытаний для первого шага изображены на
рисунках 2.10, 2.11 и 2.12, из которых, к примеру, видно, что подмножества
разрешенных технических состояний после испытания 2 имеют следующий вид:
21 1 3 22 0 23 2 2; ; ; ; .M e e M e M e e
11111
01010 10000 00101
22M21M 23M
2
0M
01010
10000
00101
Рисунок 2.10. – Субграф испытания 2 для первого шага
77
11111
000010101010100
0M
31M 32M 33M
3
1010001010
00001
Рисунок 2.11. – Субграф испытания 3 для первого шага
11111
11101 00010
41M 42M
0M
4
11101 00010
Рисунок 2.12. – Субграф испытания 4 для первого шага
По аналогии можно найти подмножества разрешенных состояний для
прочих испытаний:
31 0 2 32 1 3 33 4
41 0 1 2 4 42 3 0 1 2 3 4
; ; ; ; ;
; ; ; ; ; ; ; ; ; ;re
M e e M e e M e
M e e e e M e M e e e e e
Найдем скорость проведения испытания каждого испытания, для этого:
1. Вычислим величины условных вероятностей ( / )ki jP e q для всех
простейших испытаний k .
Для определения вероятностей разных событий характеризуемых 2 ,
воспользуемся следующими формулами:
0 12 1 1
0 1 0 3
( )( / ) 0,25
( ) ( )
P eP e q
P e P e
;
78
0 32 3 1
0 1 0 3
( )( / ) 0,75
( ) ( )
P eP e q
P e P e
;
0 02 0 2
0 0
( )( / ) 1
( )
P eP e q
P e ;
0 22 2 3
0 2 0 4
( )( / ) 0,33
( ) ( )
P eP e q
P e P e
;
0 42 4 3
0 2 0 4
( )( / ) 0,67
( ) ( )
P eP e q
P e P e
.
Для определения вероятностей разных событий характеризуемых 3
воспользуемся следующими формулами:
0 03 0 1
0 0 0 2
( )( / ) 0,978
( ) ( )
P eP e q
P e P e
;
0 23 2 1
0 0 0 2
( )( / ) 0,022
( ) ( )
P eP e q
P e P e
;
0 13 1 2
0 1 0 3
( )( / ) 0,25
( ) ( )
P eP e q
P e P e
;
0 33 3 2
0 1 0 3
( )( / ) 0,75
( ) ( )
P eP e q
P e P e
;
0 43 4 3
0 4
( )( / ) 1
( )
P eP e q
P e .
Для определения вероятностей разных событий характеризуемых 4
воспользуемся следующими формулами:
0 04 0 1
0 0 0 1 0 2 0 4
( )( / ) 0,928
( ) ( ) ( ) ( )
P eP e q
P e P e P e P e
;
0 14 1 1
0 0 0 1 0 2 0 4
( )( / ) 0,01
( ) ( ) ( ) ( )
P eP e q
P e P e P e P e
;
0 24 2 1
0 0 0 1 0 2 0 4
( )( / ) 0,02
( ) ( ) ( ) ( )
P eP e q
P e P e P e P e
;
79
0 34 3 2
0 3
( )( / ) 1
( )
P eP e q
P e .
2. Далее рассчитаем величины ( )kk jP q для всех испытании
k .
Для определения вероятностей разных событий характеризуемых 2
воспользуемся следующими формулами:
0 1 0 32 1
( ) ( )( ) 0,04
1
P e P eP q
;
0 02 2
( )( ) 0,9
1
P eP q ;
0 2 0 42 3
( ) ( )( ) 0,06
1
P e P eP q
.
Для определения вероятностей разных событий характеризуемых 3
воспользуемся следующими формулами:
0 0 0 13 1
( ) ( )( ) 0,91
1
P e P eP q
;
0 1 0 33 2
( ) ( )( ) 0,04
1
P e P eP q
;
0 43 3
( )( ) 0,04
1
P eP q .
Для определения вероятностей разных событий характеризуемых 4
воспользуемся следующими формулами:
0 0 0 1 0 2 0 44 2
( ) ( ) ( ) ( )( ) 0,97
1
P e P e P e P eP q
;
0 34 1
( )( ) 0,03
1
P eP q .
3. Затем вычислим апостериорные условные энтропии ( / )kk jH e q и
( / )kH e q для каждого испытания.
Для определения вероятностей разных событий характеризуемых 2
воспользуемся следующими формулами:
80
2 1 2 1 1 2 1 1 2 3 1 2 3 1( / ) ( / ) log ( / ) ( / ) log ( / ) 0,807H e q P e q P e q P e q P e q ;
2 2 2 0 2 2 0 2( / ) ( / ) log ( / ) 0H e q P e q P e q ;
2 3 2 2 3 2 2 3 2 4 3 2 4 3( / ) ( / ) log ( / ) ( / ) log ( / ) 0,916H e q P e q P e q P e q P e q ;
2 2 1 2 1 2 2 2 2 2 3 2 3( / ) ( ) ( / ) ( ) ( / ) ( ) ( / ) 0,087H e q P q H e q P q H e q P q H e q .
Для определения вероятностей разных событий характеризуемых 3
воспользуемся следующими формулами:
3 1 3 0 1 3 0 1 3 2 1 3 2 1( / ) ( / ) log ( / ) ( / ) log ( / ) 0,15H e q P e q P e q P e q P e q ;
3 2 3 1 2 3 1 2 3 3 2 3 3 2( / ) ( / ) log ( / ) ( / ) log ( / ) 0,807H e q P e q P e q P e q P e q ;
3 3 3 4 3 3 4 3( / ) ( / ) log ( / ) 0H e q P e q P e q ;
3 3 1 3 1 3 2 3 2 3 3 3 3( / ) ( ) ( / ) ( ) ( / ) ( ) ( / ) 0,169H e q P q H e q P q H e q P q H e q .
Для определения вероятностей разных событий характеризуемых 4
воспользуемся следующими формулами:
4 1 4 0 1 4 0 1 4 1 1 4 1 1 4 2 1 4 2 1
4 4 1 4 4 1
( / ) [ ( / ) log ( / ) ( / ) log ( / ) ( / ) log ( / )
( / ) log ( / )] 0,461;
H e q P e q P e q P e q P e q P e q P e q
P e q P e q
4 2 4 3 2 4 3 2( / ) ( / ) log ( / ) 0H e q P e q P e q ;
4 4 1 4 1 4 2 4 2( / ) ( ) ( / ) ( ) ( / ) 0,461H e q P q H e q P q H e q .
4. Найдем величину априорной энтропии ( )kH e .
0 0 0
0
( ) ( ) log ( ) 0,667s
i i
i
H e P e P e
.
5. Рассчитаем информацию, получаемую при каждом испытании.
2 0 2( ) ( ) ( / ) 0,58I H e H e q ;
3 0 3( ) ( ) ( / ) 0,475I H e H e q ;
4 0 4( ) ( ) ( / ) 0,206I H e H e q .
6. Рассчитаем скорость проведения каждого испытания.
22
2
( )( ) 5,8
IF
[бит/сек].
33
3
( )( ) 4,75
IF
[бит/сек].
81
44
4
( )( ) 2,06
IF
[бит/сек].
Удостоверяемся, что испытание 2 обладает максимальной скоростью
проведения испытания, в связи с чем считаем его исходным (первоначальным)
(рисунок 2.10).
Испытание 2 имеет три исхода, приводящих к информационным
состояниям 21M , 22M и 23M . Для каждого информационного состояния следует
из двух оставшихся простейших испытаний 3 и
4 предпочитаем испытание,
гарантирующие наибольшую скорость проведения испытания.
Выполним подбор простейшего испытания для информационного
состояния 21M .
1. Найдем информационные состояния, в которых оказывается СО после
прохождения простейшего испытания k , при условии, что переход
осуществляется из состояния 21M .
Для определения вероятностей разных событий характеризуемых 3
справедливо следующее:
для испытание 3 существует всего три вероятных исхода.
31 21 31 (01010) (10100) 00000M M E M ;
32 21 32 (01010) (01010) 01010M M E ;
33 21 33 (01010) (00001) 00000M M E M .
Испытание 3 включает два запрещенных выхода и один разрешенный при
котором множество 32М возможных положений объекта оценки описывается
положением 32 1 3;М e e .
Для определения вероятностей разных событий характеризуемых 4
справедливо следующее:
испытание 3 имеет два варианта возникновения события.
41 21 41 (01010) (11101) 01000M M E ;
82
42 21 42 (01010) (00010) 00010M M E .
И тот и другой исход ведет к конечной вершине графа. Множества
разрешенных состояний объекта оценки считаются однокомпонентными.
41 1 42 3;M e M e .
2. Далее опять находим величины условных вероятностей ( / )k i jP e q всех
простейших испытаний k .
Для определения вероятностей разных событий характеризуемых 3
воспользуемся следующими формулами:
0 13 1 2
0 1 0 3
( )( / ) 0,25
( ) ( )
P eP e q
P e P e
;
0 33 3 2
0 1 0 3
( )( / ) 0,75
( ) ( )
P eP e q
P e P e
.
Для определения вероятностей разных событий характеризуемых 4
воспользуемся следующими формулами:
0 14 1 1
0 1
( )( / ) 1
( )
P eP e q
P e ;
0 33 1 2
0 3
( )( / ) 1
( )
P eP e q
P e .
3. Далее рассчитаем величины ( )kk jP q всех испытаний
k .
Для определения вероятностей разных событий характеризуемых 3
воспользуемся следующими формулами:
0 1 0 33 2
0 1 0 3
( ) ( )( ) 1
( ) ( )
P e P eP q
P e P e
.
Вероятности прочих исходов (1q и
3q ), согласно рассмотренному выше,
равны нулю.
Для определения вероятностей разных событий характеризуемых 4
воспользуемся следующими формулами:
83
0 14 1
0 1 0 3
( ) 0,01( ) 0,25
( ) ( ) 0,01 0,03
P eP q
P e P e
;
0 34 2
0 1 0 3
( ) 0,03( ) 0,75
( ) ( ) 0,01 0,03
P eP q
P e P e
.
4. Согласно (2.16) и (2.15), найдем величины условных энтропий ( )kk jH e q
и ( )kH e q всех испытаний.
Для определения вероятностей разных событий характеризуемых 3
воспользуемся следующими формулами:
3 1 3 3( / ) ( / ) 0H e q H e q ;
3 2 3 1 2 3 1 2 3 3 2 3 3 2( / ) ( / ) log ( / ) ( / ) log ( / ) 0,807H e q P e q P e q P e q P e q .
Для определения вероятностей разных событий характеризуемых 4
воспользуемся следующими формулами:
4 1 4 1 1 4 1 1( / ) ( / ) log ( / ) 0H e q P e q P e q ;
4 2 4 3 2 4 3 2( / ) ( / ) log ( / ) 0H e q P e q P e q ;
4 4 1 4 2( / ) ( / ) ( / ) 0H e q H e q H e q .
Так как испытание 4 всецело ликвидирует неопределенность состояний 1e
и 3e , приводя к концевым вершинам графа.
5. Затем рассчитаем информацию, получаемую при каждом испытании.
Следует помнить, что априорная энтропия ( )kH e в данном примере будет
равна энтропии 2 1( / )H e q информационного состояния 21M , предшествующего
испытаниями 3 и
4 .
Для определения вероятностей разных событий характеризуемых 3
воспользуемся следующими формулой:
3 2 1 3( ) ( / ) ( / ) 0I H e q H e q .
Испытание 3 не меняет информационного состояния объекта оценки а,
значит не обладает информации, следовательно является неинформативным.
84
Для определения вероятностей разных событий характеризуемых 4
воспользуемся следующими формулой:
4 2 1 3( ) ( / ) ( / ) 0,807I H e q H e q .
Испытание 4 всецело убирает неопределенность состояний
1e и 3e объекта
оценки.
Следующим испытания надлежит избрать испытание 4 (см. рисунок 2.9).
Затем следует взять простейшие испытания оставшихся информационных
состояний 22M и 23M .
Информационное состояние 22M (рисунок 2.10) отвечает надежному
состоянию объекта оценки ( 0 1e ) и не просит последующих испытаний.
Установив согласно описанной выше методике скорость проведения
испытаний 3 и
4 для системы, пребывающей в информационном состоянии
23M , удостоверяемся, что необходимо предпочесть испытание 3 другим
испытаниям, так как оно всецело устраняет неопределенность технических
состояний 2e и 4e объекта оценки (рисунок 2.9).
Граф (рисунок 2.9) отвечает наилучшему по критерию скорости проведения
испытания алгоритму оценки рисков ИБ. Для всех остальных очередностей
простейших испытаний необходимы более высокие временные затраты, что в
свою очередь существенно повлияет на быстродействие системы оценки рисков
ИБ.
Описанная методика сочетания алгоритмов оценки рисков ИБ, сходна с
методикой, описанной в [39], правда, в сравнении с ней, применима для
испытаний, содержащих больше двух исходов. Методика легко поддается
машинной реализации и может с успехом применяться при конструировании
многочисленных СО.
85
2.9. Реализация алгоритма для оценки рисков информационной
безопасности информационной системы компании, основанная на
байесовском вероятностном подходе
Не вызывает сомнений, что ввиду весьма значительного числа угроз ИБ для
современных ИС, разработанные системы оценки рисков ИБ должны строиться
по иерархическому принципу классификации угроз и уязвимостей. Одним из
наиболее распространенных принципов классификации является:
оценка ущерба ИС при нарушении целостности информации;
оценка ущерба ИС при нарушении конфиденциальности информации;
оценка ущерба ИС при нарушении доступности информации.
Для каждого уровня иерархии устанавливается соответствующий ему набор
процедур (проверок) оценки рисков ИБ ИС телекоммуникационной компании,
обеспечивающих надежное дифференцирование рисков внутри уровня. После
завершения процесса оценки рисков ИБ на очередном уровне, процесс
перемещается на следующий уровень, обеспечивающий дальнейшую
детализацию рисков ИБ ИС телекоммуникационной компании (рисунок 2.21).
Подобные схемы и соответствующие им системы дифференциальной
оценки рисков ИБ ИС телекоммуникационной компании ещё не применялись, но
они получили широкое применение в системах диагностирования заболеваний,
системы такого рода освещены в литературе [60, 80].
Формула Байеса (2.11) вполне подходит к задачам дифференциальной
оценки рисков ИБ ИС телекоммуникационной компании: она позволяет выбрать
одну из нескольких моделей оценки рисков ИБ, основываясь на вычислении
вероятностей различных угроз ИБ по вероятностям уязвимостей ИБ,
обнаруженных в ИС телекоммуникационной компании.
В данном случае ( )k iP e — вероятность реализации угрозы ИБ с уязвимостью
ie среди данной группы рисков ИБ; ( / )kj iP q e — вероятность появления
уязвимости kj
q при угрозе ИБ ie
86
Вычисление вероятности ( / )kj iP q e основано на предположении, что
рассматриваемые уязвимости ИБ kj
q статистически независимы.
Рисунок 2.13. – Блок-схема алгоритма оценки рисков ИБ. Часть 1
87
Рисунок 2.14. – Блок-схема алгоритма оценки рисков ИБ. Часть 2
На рисунках 2.13 и 2.14 приведены блок-схемы алгоритмов оценки рисков
ИБ телекоммуникационной сети предприятия. В них учитываются все виды
уязвимостей, которые могут присутствовать на всех узлах
телекоммуникационной сети. Тестирование системы может осуществлять путем
не только вопросов в экспертную систему, но и прямым тестированием на
предмет уязвимостей посредством сетевых атак и путем сбора информации о
протекании или отсутствии атаки через фрактальный индикатор, о котором речь
пойдет в главе 3.
88
2.9.1 Упрощенная процедура оценки рисков информационной безопасности
Для сокращения времени анализа на основании показателя максимума
средней информации можно выбрать наиболее критичную уязвимость и избежать
циклов для каждого узла по всем видам уязвимостей.
На основании показателя максимума средней информации ( )kI системой
выбирается предварительно наиболее информативное испытание [81, 105, 106].
На рисунке 2.15 показан алгоритм выбора наиболее информативной уязвимости
ИБ телекоммуникационной сети
Начало
K=1,N0
1
1
2- +
2
x
Конец
Информативность
Вывод наиболее
информативной
уязвимости (риска) ИБ x
Средняя энтропия до предъявления вопроса
средняя вероятность j-го исхода
энтропия после условного предъявления k-го вопроса
(уязвимости ИБ)
условная энтропия, характеризующая изменение
неопределённости состояния ИБ ИС после получения
j-го исхода k-ой уязвимости ИБ
Условные вероятности состояний при условии
получения исходов ‘
Перебор всех вопросов (уязвимостей ИБ)
Рисунок 2.15. – Алгоритм выбора наиболее информативной уязвимости ИБ ИС
телекоммуникационной компании
В данном случае: ( )kH e априорная энтропия, характеризующая состояние
системы для проведения аудита ИБ ИС компании после окончания k –испытания;
( / )kH e q – усредненная апостериорная энтропия состояния после
релятивного проведения испытания k .
Априорную энтропию предшествующую испытанию k рассчитаем
согласно (2.14).
89
Энтропия после релятивного проведения испытания k рассчитывается
согласно (2.15).
Здесь ( / )kk jH e q условная энтропия, определяющая преобразования
неопределенности состояния рисков ИБ ИС телекоммуникационной компании по
окончании испытания k исходом jq .
Выполняется единичное испытание — появляется вопрос и возможные
варианты ответов. Ответ респондента с помощью специальной процедуры
формируется в исход jq .
Затем из тензора испытания избирается строка условных вероятностей
( / ) ..... ( / )j i j sP q e P q e , отвечает найденной уязвимости ИБ.
По формуле Байеса для конкурирующих гипотез находится новое
распределение вероятностей ( / )kk i jP e q – возможного ущерба, который будет
нанесен ИС и компании в целом после реализации угрозы.
Пройденное испытание удаляется из перечня. Цикл повторяется столько
раз, пока величина вероятности одной из угроз не превысит заданного порогового
уровня или не исчерпается весь список уязвимостей-испытаний. Согласно
полученным результатам проделанных испытаний можно сделать вывод о
наиболее вероятном ущербе, который может быть нанесен ИС и
телекоммуникационной компании в целом после реализации угрозы.
Здесь также уместно заметить, что в отличие от ряда работ (см., например,
[60]) предлагаемый в диссертационной работе алгоритм позволяет учитывать не
только наиболее вероятную уязвимость ИБ, но и учитывать вклады в оценку
рисков от различных угроз (уязвимостей). Кроме того, описанный выше алгоритм
позволяет оценить уровень угроз ИБ как отдельного сегмента (оборудования), так
и провести анализ всей системы в целом путем её многократных проверок на
различные типы уязвимостей.
Также используемый в диссертационной работе метод анализа рисков ИБ
позволяет из совокупности доступных простейших испытаний выбирать
оптимальную последовательность, которая обеспечивает наибольшую скорость
90
проведения испытания процесса оценки рисков ИБ ИС телекоммуникационной
компании.
2.9.2. Подготовка информации
Подготовка исходной информации, для введения ее в базу знаний системы,
является наиболее трудоемким процессом, требующим от эксперта детальных
знаний ИБ ИС телекоммуникационной компании или признаков,
характеризующих каждую из угроз [30, 68, 137, 156, 160, 175].
Для описанной в данной главе системы оценки рисков ИБ ИС
телекоммуникационной компании применим описанный ниже алгоритм
подготовки информации:
1. Процедура подготовки информации обязана начинаться с определения
списка классифицируемых угроз для каждого объекта ИБ ИС
телекоммуникационной компании.
2. Должен быть составлен список кратких характеристик для каждой угрозы
ИБ согласно выделенному объекту ИБ ИС телекоммуникационной компании.
3. Исходя из полученных списков кратких характеристик для каждой угрозы
ИБ составляется таблица типичных испытаний. Условные вероятности исходов
испытаний являются экспертными оценками. Если в процесс оценки рисков ИБ
вовлечено более одного эксперта (сотрудника компании), рассчитаются
усредненные значения условных вероятностей.
4. Для каждой угрозы заданных объектов ИБ ИС компилируется
объединенный список испытаний, с обозначениями исходов всех испытаний и
условных вероятностей возникновения каждого события. Следует особо отметить
то, что в списке должны отсутствовать испытания, одинаковые по смыслу, но
разные по обозначению (названию).
5. Для всех испытаний из объединенного списка испытаний формируется
тензор условных вероятностей исходов каждой из анализируемых угроз данных
объектов ИБ ИС телекоммуникационной компании. В качестве компонентов
этого тензора берутся условные вероятности возникновения события заданного
испытания, при условии наличия определенной угрозы.
91
Для определения полной системы (т.е. сумма всех вероятностей равна
единице) списком классифицируемых угроз были введены два вспомогательных
состояния. Первое - это идеализированное состояние, которое подразумевает
полное отсутствие угроз. Второе состояние свидетельствует о присутствие в
системе ИБ компании какой-либо другой угрозы, не учтенной в общем списке.
Для первого состояния вероятности того или иного исхода уточняются
экспертным путем. Для второго состояния полагается, что исходы равновероятны,
т.е. распределение условных вероятностей равномерное.
В том случае, когда испытание не свойственно для заданной угрозы, то
следует полагать, что распределение условных вероятностей исходов этой угрозы
является равновероятным.
7. Исходной информацией необходимой для функционирования
системы и заносимой в базу знания являются выведенные тензоры испытаний.
Выводы по главе 2
1. Оценка рисков ИБ носит вероятностный характер. Действительная угроза
ИБ ИС телекоммуникационной компании из группы угроз (рисков) ИБ может
быть определена только лишь с некоторой степенью вероятности [9, 25, 28, 29,
110, 117, 125, 130, 155, 156, 194].
2. Процедура оценки рисков ИБ может быть реализована в виде набора
простейших испытаний, каждый из которых определяется тензором испытания.
Величины компонентов обусловливаются законами распределения
контролируемых характеристик [32, 33, 46].
3. Предложен метод, позволяющий, из множества доступных простейших
испытаний возможность выбрать такую последовательность, которая
обеспечивает наибольшую скорость проведения испытания процесса оценки
рисков ИБ ИС телекоммуникационной компании [32, 43, 46, 47, 189].
4. Предложенная вероятностная модель обеспечивает возможность
реализации распределенных систем оценки рисков ИБ, используемых в
92
компьютерных сетях, для каждого из уровней иерархии классификации угроз ИБ
ИС телекоммуникационной компании [32, 33, 38, 43-46, 50, 87].
5. Предложен алгоритм анализа рисков ИБ телекоммуникационной системы
на основе вероятностного подхода, позволяющий учитывать все возможные
уязвимости, а также проводить тестирование (опрос) узла телекоммуникационной
сети на предмет их наличия. Также предложена модификация алгоритма,
позволяющая учитывать только одну самую информативную проверку для
каждой уязвимости.
93
3. ПРИМЕНЕНИЕ ФРАКТАЛЬНЫХ МЕТОДОВ АНАЛИЗА
ТЕЛЕКОММУНИКАЦИОННОГО ТРАФИКА К ОБНАРУЖЕНИЮ
УЯЗВИМОСТЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В настоящее время актуальной задачей в области обеспечения ИБ ИС
является защита от сетевых атак, основанных на использовании протоколов
транспортного и сетевого уровней стека TCP/IP. Существующие средства защиты
не всегда справляются с новыми видами таких атак, поэтому важным
направлением исследований и разработок является создание систем защиты,
способных защищать не от конкретных атак, а от целых классов атак. Сложность
процессов обнаружения и блокирования атак существенно увеличивается
вследствие современных тенденций развития информационно-
телекоммуникационных технологий, в том числе связанных с ростом размеров и
производительности сетей, усложнением их топологии, возрастанием объема
«быстрого трафика», обусловленного функционированием peer-to-peer-
приложений, VoIP-трафиком, работой сканеров безопасности и так далее.
Существующие сетевые атаки можно разделить на четыре основных класса:
сбор информации, использующий анализ результата обработки пакетов; атаки,
основанные на ошибках в обработке пакетов; сканирование хостов и сетей,
базирующееся на использовании ошибок в обработке сессий; сканирование,
основанное на корректном установлении соединений.
Многие современные способы обнаружения атак в сети недостаточно
надежны, что, в первую очередь, связано с недостоверным определением времени
начала атаки. Исследование фрактальных методов анализа направлено на
выявление не свойственных для обычного трафика структурных особенностей,
вызванных аномальными изменениями, что, в свою очередь, позволит затем
своевременно блокировать атаку известными методами.
В данной главе рассматривается вопрос своевременного определения
сетевых атак с помощью фрактальных методов оценки сетевого трафика,
основанных на признаках его самоподобия.
94
3.1. Фрактальная модель и самоподобие телекоммуникационного
трафика
Согласно [27], трафик (от англ. — traffic) — это объем передаваемой в
единицу времени информации, выраженный, например, в бит/с.
Трафик в сети связи представляет собой процесс поступления и
обслуживания заявок пользователей. Процесс поступления заявок, чаще всего,
представляет собой случайный процесс.
Телекоммуникационный трафик, являющийся по сути временным
дискретным рядом, обладает фрактальными свойствами [139].
Телекоммуникационный трафик, обладает фрактальной природой, так как
его корреляционная размерность не является целым числом. Для оценки
фрактальности того или иного физического процесса может быть использован
показатель Херста, позволяющий определить степень детерминированного хауса
в исследуемой системе [139]. Однако, как будет далее доказано, использование
единственного фрактального параметра для описания телекоммуникационного
трафика при наличии сетевых атак, является недостаточным и не всегда
полностью информативным.
Фрактальный анализ трафика позволяет выявлять не свойственные для
обычного трафика свойства для своевременной блокировки сетевой атаки.
Как известно, фракталы обладают свойствами самоподобия, то есть
свойствами точного или вероятностного повторения свойств объекта при
рассмотрении его в разных масштабах пространства или времени. Выше
перечисленное приводит к закономерностям в статистическом поведении
трафика. Из изложенного так же следует, что необходимо применение
вероятностного подхода сложных стохастических процессов. Под стохастическим
процессом понимается процесс, в котором имеется элемент случайности.
Самоподобным называется трафик, временные реализации которого
являются фракталами. Стоит отметить, что как правило не существует одного
причинного фактора, вызывающего самоподобность сетевого трафика.
95
Из работ [77, 174] известно, что трафик телекоммуникационных систем
необходимо описывать моделями, учитывающими свойства его самоподобия.
Эта проблема рассматривается в значительном числе работ, см. например,
[22, 78, 79, 140, 174]. Результаты этих исследований позволяют рассчитать
некоторые параметры телекоммуникационного трафика. Однако недостатком
большинства моделей является значительные временные затраты на сбор и
обработку информации [79, 92], что приводит к невозможности анализа
телекоммуникационного трафика в режиме реального времени. В связи с выше
сказанным актуальным является разработка быстрой методики определения
параметров трафика с учетом его самоподобия.
Согласно исследованиям [140], фрактальность трафика характеризуется
показателем Херста, значение которого может быть использовано для выявления
аномальных изменений трафика, в том числе для обнаружения вторжений и атак
на ИС. Согласно [140, 200, 201], уменьшение значения параметра Хёрста
свидетельствует о проведение DDoS атаки на информационную сеть.
В настоящее время существуют разнообразные статистические методы
анализа самоподобных случайных процессов [24, 129, 147]. Наиболее популярен,
так называемый, R/S-анализ (вычисление показателя Хёрста), который позволяет
использовать в качестве исходных данных различные по длительности интервалы
выборки. Различное количество отсчетов зачастую приводит к приблизительным
оценкам степени самоподобия телекоммуникационного трафика. Для более
точного анализа используется, например, методика Виттла [147, 152, 178],
позволяющая определить доверительный интервал для дальнейшего применения
R/S-анализа. Также заметим, что различия в длине доверительных интервалов
также оказывают небольшое влияние на значение вычисляемого показателя
Хёрста.
В связи с тем, что самоподобность предполагает значительное влияние на
сетевые характеристики [143, 180], важной проблемой для анализа сетевого
трафика становится понимание причин и влияний самоподобия трафика.
96
Трафик телекоммуникационной компании, по сути состоит из трафика
локальной сети (LAN) компании и трафика глобальной сети (WAN). Чтобы
доказать самоподобность трафика телекоммуникационной компании рассмотрим
его раздельно. Самоподобие трафика LAN ведет к структурированным моделям,
которые, в свою очередь, сводятся к ON/OFF-источникам или так называемым
пакетным сериям. Суперпозиция ON/OFF-процессов выявляет локальную связь
между параметрами самоподобия и «тяжело-хвостовыми» распределениями [139].
Сети WAN служат для обеспечения взаимодействия между пространственно-
географически разнесенными пользователями. Самоподобие WAN-трафика было
доказано в работах [184, 185], в них по средствам анализа различных трасс WAN-
трафика демонстрируется неадекватность традиционных моделей пуассоновского
трафика с применением описания ключевых моментов поведения данного вида
трафика. В более поздних работах авторы предпринимают попытки получения
структурных моделей для WAN-трафика, далее тоже самое применяется для
приведения к ON/OFF-моделям для отдельных пар источник-получатель, WAN-
трафик описывается на уровне отдельных приложений.
Согласно [171], возникновение самоподобного трафика может быть вызвано
высокоуровневостью комплексной системы, в которой размеры файлов,
передаваемых через сеть, имеют распределения с «тяжелыми хвостами». Так же к
самоподобию трафика приводит ситуация, когда в сетевом окружении образуются
многочисленные наложения подобных пересылок типа клиент/сервер, что, в свою
очередь, связано с изменением сетевых ресурсов и топологии сети.
Самоподобие сетевого трафика LAN и WAN связано с сетевой динамикой
на различных уровнях иерархической семиуровневой модели.
На данный момент не существует ни одного причинного фактора,
определяющего самоподобность сетевого трафика.
На практике проверка на самоподобность и оценка показателя Херста
являются достаточно сложными задачами. Это связано, в первую очередь, с тем,
что в реальных условиях всегда происходит работа с конечными наборами
данных, поэтому невозможно проверить, является ли маршрут трафика
97
самоподобным. Следствием этого является потребность в исследовании
различных свойств самоподобности в реальном измеренном трафике, не обладая
информацией обо всех масштабах. Как правило, при анализе сетевого трафика
(даже если подтвердились некоторые свойства самоподобности) сразу не удаётся
сделать вывод, что проанализированные данные имеют самоподобную структуру,
так как существуют другие воздействия, которые могут привести к таким же
свойствам, к примеру, присутствие нестационарности. В таком случае говорят о
самоподобной структуре в заданном масштабном диапазоне для заданного набора
данных.
3.2. Выявление сетевых атак как один из методов управления
рисками информационной безопасности
Как уже упоминалось в первой главе, выявление сетевых атак выделяют как
один из методов управления рисками ИБ, а межсетевые экраны являются лишь
орудием уменьшения и/или ликвидации уязвимостей.
Выявление сетевых атак при помощи специализированного программного
обеспечения, как правило, состоит в мониторинге сетевого трафика между
клиентской системой, на которую производиться атака и системой
злоумышленника (атакующая система), а также анализе подозрительного трафика
сети, с последующей оценкой атаки, рисков её осуществления, ущерба и
механизмов противодействию атакующей системе. Чаще подозрительный трафик
выявляется автоматически, и не требует постоянного наблюдения за трафиком со
стороны эксперта, что в свою очередь исключает человеческий фактор в
ошибочности распознавания атаки на ресурсы системы. К преобладающим
методам распознавания сетевых атак относят – сигнатурный анализ. Величина
риска сетевой атаки не возможна без экспертного мнения, на основе данной
величины должно быть принято решение о мерах и способах реагирования на
сетевую атаку. В случаях с минимальными рисками, атака может вообще не
заслуживать внимания. В противоположных случаях может потребовать быстрой
реакции на события.
98
В зависимости от степени критичности атаки, существуют разные уровни
реагирования на них. Заметим, что по уровню критичности атаки обычно
определяется степень реакции на неё. В общем случае, критичность атаки связана
с величиной риска и возможного ущерба от данной атаки [7].
Для решения задачи защиты от сетевых атак необходима концепция,
определяющая объекты защиты, цели, задачи и основные принципы защиты, а
также состав и последовательность работ по предупреждению, выявлению и
реагированию на атаки.
Таким образом, можно сказать, что анализ рисков ИБ является одним из
методов реагирования на сетевые атаки.
В связи с вышесказанным в данной главе предлагается следующий
алгоритм реагирования на сетевую атаку.
На первом этапе при помощи известных программ для записи траффика
(например, ПО Zabbix и т.п.) в режиме онлайн проводится протоколирование
телекоммуникационного трафика (нагрузки сети) в зависимости от времени. По
сути, исходные данные представляют собой дискретный цифровой ряд, удобный
для дальнейшего анализа.
На втором этапе с использованием методов фрактального анализа по
данным значениям вычисляются показатель Херста и спектр мощности. По
снижению значения показателя Херста до уровня 0,5-0,55 можно судить о том,
что трафик переходит в аномальное состояние. Однако судить о том, что в этот
момент начинается сетевая атака, только по снижению данного значения
нецелесообразно. Как показано, например, в [140], небольшое снижение
показателя Херста может происходить и в случае постоянно увеличенной
нагрузки сети в течение некоторого интервала времени.
В связи с вышесказанным, на третьем этапе строится фазовый портрет, по
виду которого, как будет показано в дальнейшем, можно с достаточно
уверенностью говорить о начале сетевой атаки. Причем сами фазовые портреты
могут обрабатываться автоматически с использованием программного
обеспечения для обработки изображений.
99
Сразу отметим, что предлагаемый метод определения сетевой атаки не
позволяет блокировать сетевую атаку, так как не определяет IP-адреса атакующих
сетевых узлов, поэтому после индикации атаки должно быть запущено
программное обеспечение для блокировки атакующих хостов. Для этой цели
могут быть использованы специализированные программные средства (iptables,
ipwf и др.).
Таким образом, в данной главе предлагается фрактальный индикатор
сетевых атак, основанный на распознавании фазового портрета дискретного
телекоммуникационного трафика.
Далее рассмотрим различные фрактальные меры, которыми может быть
описан телекоммуникационный трафик.
3.3. Применение фрактальных мер к телекоммуникационному
трафику
Целью данной работы является построение достаточной фрактальной
модели телекоммуникационного трафика, позволяющей в дальнейшем
осуществлять определение степени угрозы по величине параметров,
характеризующих самоподобие. В частности, очень важно уметь правильно
определять временной лаг, на котором система сохраняет свойства фрактальности
и самоподобия.
Фрактальная модель трафика представляет собой совокупность различных
фрактальных параметров (размерностей), поставленных в соответствие
некоторому (текущему) состоянию сетевого трафика. Динамика изменения
фрактальных размерностей при проведении ряда измерений состояния одного и
того же телекоммуникационного узла позволяет судить о динамике состояния
телекоммуникационного трафика, т.е. о наличии или отсутствии сетевых атак на
ресурсы ИС телекоммуникационной компании в данном месте.
100
3.3.1. Методика вычисления «нормированного размаха Херста»
Одной из основных методик, используемых для описания
детерминированного хаоса является расчет нормированного размаха Хёрста (R/S-
анализ). В качестве основополагающего параметра вычисляется показатель
Хёрста, который определяет степень хаотичности как всей системы, так и
телекоммуникационного трафика. По его значению можно судить о фрактальной
природе исследуемого объекта.
Для исследования структуры трафика и иллюстрации его самоподобного
(фрактального) характера в диссертационной работе использовалось программное
обеспечение Zabbix, в котором были реализованы соответствующие тесты.
Примеры профилей соотношений LAN-трафика и WAN-трафика в единицу
времени приведены на рисунке 3.1.
Рисунок 3.1. — Примеры LAN и WAN-трафиков из ПО Zabbix
Рассмотрим алгоритм вычисления показателя Херста применительно к
телекоммуникационному трафику. График, показанные на рисунке 3.1 отражают
загрузку сети в байтах в единицу времени и могут быть использованы для
выявления самоподобия. Отметим, что с практической точки зрения наиболее
полезной является информация о степени загруженности сети, если же взять к
рассмотрению график отражающий информацию о количестве пакетов в единицу
времени (данный график тоже характеризует трафик сети), его графическое
представление может ввести нас в заблуждение касаемо выявления самоподобия
101
трафика, это связано с тем, что в сети могут присутствовать многочисленные не
объёмные управляющие пакеты, которые не несут в себе полезную информацию,
а также пакеты минимальной длины, которые создают пики, несовпадающие с
пиками байтовой скорости. Заметим, что из рисунка 3.1 можно сделать вывод, что
изображенный на нем процесс является пульсирующим в широких пределах
временного масштаба, что позволяет нам говорить о его фрактальной структуре, и
как следствие самоподобие.
Рассмотрим конкретный пример загрузки сети, полученный в результате
записи телекоммуникационного трафика сети некоторого оператора, показанный
на рисунке 3.2. Запись проводилась в момент отсутствия сетевой атаки на
некоторый хост. Каждую секунду снималось значение загрузки сети в бит/c и
записывалось в файл данных. По оси абсцисс — порядковый номер записи; по оси
ординат — загрузка сети.
30000
40000
50000
60000
70000
80000
90000
100000
110000
120000
130000
0 2000 4000 6000 8000 10000
'2.dat'
Рисунок 3.2. — Исследуемый телекоммуникационный трафик
На примере показанного трафика рассмотрим определение его фрактальных
параметров.
Показатель Херста. В своих работах Хёрст вводит нормированную
безразмерную величину, способную описывать изменчивость — нормированный
размах ( /R S ). Согласно [14, 24, 91, 129, 139], алгоритм расчета указанного
102
параметра основывается на вычислении накопившегося отклонения от среднего
значения загрузки сети.
Сначала определяется среднее значение загрузки сети N
A за N
временных отсчетов:
1
1( ).
N
N
n
A A nN
(3.1)
На следующем шаге рассчитывается ( , )n NX , то есть накопившееся
отклонение ( )A n от среднего значения N
A :
1
( , ) ( ) ,n
Np
n N A p A
X (3.2)
где среднее значение N
A находится из (3.1).
Амплитуда отклонений выражается через минимальное и максимальное
значения ( , )n NX :
11
( ) max ( , ) min ( , ).n Nn N
R N n N n N
X X (3.3)
Стандартное отклонение S n определяется следующим выражением:
2
1
1( ) .
N
Nn
S N A n AN
(3.4)
Обычно нормированный размах /R S определяется эмпирическим
соотношением вида:
/ ( ) ,HR S N (3.5)
где H — показатель Хёрста, — произвольная постоянная.
Размах называется нормированным, так как в итоговых расчетах он делится
на квадратный корень из дисперсии.
Пример расчета R S для трафика, показанного на рисунке 3.2, показан на
рисунке 3.3. Показатель H проще всего найти как угол наклона прямой,
полученной путем аппроксимации (по методу наименьших квадратов) отношения
103
R S (в этом случае следует по обеим осям системы координат использовать
логарифмическую шкалу).
При этом по обеим осям использовались десятичные логарифмы, а параметр
=1.
На рисунке 3.3 показана R S от запаздывания N в двойном
логарифмическом масштабе, а также аппроксимирующая прямая. Показатель
Херста для исследуемого трафика оказался равным 0.94H , что говорит о его
фрактальной природе.
R S -метод не слишком точен, поскольку он дает лишь оценку уровня
самоподобия во временном ряде. Поэтому данный метод используется только для
проверки является ли временной ряд самоподобным и, если является, получить
некоторую оценку показателя Хёрста H.
Рисунок 3.3. — График зависимости R/S-параметра телекоммуникационного
трафика от запаздывания N в двойном логарифмическом масштабе
Согласно теории фракталов, если полученное значение показателя Хёрста
0.5H , Это характеризует персистентное поведение процесса, то есть система
обладает длительной памятью. То есть, если в течение некоторого времени в
прошлом наблюдались положительные приращения сетевого трафика и
происходило увеличение, то и впредь в среднем будет происходить увеличение. В
104
случае 0.5H говорят о антиперсистентности процесса. Здесь высокие значения
сетевого трафика следуют за низкими, и наоборот. При 0.5H отклонения
сетевого трафика от среднего являются действительно случайными и не зависят
от предыдущих значений.
Однако, как будет показано в дальнейшем, в случае сетевых атак уровень
самоподобия будет снижаться. Поэтому показатель Херста можно считать
первичным индикатором состояния сети.
3.3.2. Метод восстановления фазового пространства
Для телекоммуникационного трафика состояние узла однозначно
определяется одномерной последовательностью временных отсчетов. Поэтому
интерес представляет реконструкция фазового пространства по одномерному
временному ряду [112, 186, 195].
Известно, что система через некоторое время возвращается в состояние,
близкое к исходному, по некоторому циклу (теорема Пуанкаре). Наличие
цикличности возврата в системе позволяет сдвинуть последовательность
относительно себя на «половину периода». «Периодом» будет являться значение
среднего времени возврата .
Согласно работам Такенса [186, 195], можно вычислить так называемый
корреляционный интеграл и корреляционную размерность по снятым значениям
одномерной временной последовательности.
Для этого требуется построить пространство вложения с m -мерным
вектором по значениям исследуемого трафика x i :
1 , 2 ,..., , 1, 1 ,i x i m x i m x i i N m x (3.6)
где — временной сдвиг, m — размерность пространства вложений.
Многомерные векторы, построенные по схеме (3.6), образуют
реконструированное фазовое пространство размерности m ( mR ).
В построенном таким образом фазовом пространстве рассчитывается
корреляционная размерность cD . Фазовое пространство, построенное по схеме
105
(3.6), согласно Такенсу будет иметь размерность исходного фазового
пространства:
int 1cN D .
После реконструкции пространства вложений появляется возможность
определения размерности фазового пространства m .
3.3.3. Метод ложных ближайших соседей
После восстановления фазового пространства системы необходимо
определить насколько подобными являются исходный и восстановленный
аттракторы. Наиболее часто для этого используется метод ложных ближайших
соседей [173].
Известно, что фазовые траектории исходного аттрактора не имеют
самопересечений, то и в восстановленном аттракторе траектории также не
должны иметь пересечений. Условием того, что пересечения будут отсутствовать,
является то, что точки-соседи фазового аттрактора, сконструированного в mR ,
также являются соседями в ( 1)m -пространстве. Метод ложных ближайших
соседей служит для определения наименьшей величины размерности m . При
этом значении число ложных соседей в пространствах mR и 1mR будет крайне
мало отличаться. В итоге найденное m соответствует наименьшей размерности
пространства, в котором возможно восстановление фазового пространства без
самопересечений.
Рассмотрим дискретный телекоммуникационный трафик в виде набора
дискретных временных отсчетов ( )A n .
На первом этапе по исходному временному ряду определяются:
1. Минимальное значение min A n .
2. Интервал между максимальным и минимальным значениями
max minI A n A n .
3. Проводится нормировка:
106
min.
max min
A n A nx n
A n A n
Далее проводится восстановление фазового пространства с помощью
метода задержки. Одномерные векторы в восстановленном пространстве
образуются из значений исходного временного ряда с временным запаздыванием:
1 , 2 ,..., , 1, 1i x i m x i m x i i N m x ,
где — так называемый временный лаг (сдвиг по временным отсчетам), m —
размерность восстановленного фазового пространства.
В результате проводится преобразование одномерного нормированного
ряда x в многомерный вектор x :
1 1 , 1 2 , 1 3 ,...,
2 1 , 2 2 , 2 3 ,...,.
...
2 1 , 1 2 ,...,
x m x m x m x N
x m x m x m x Nx
x N m x N m m x N
Если исходный дискретный ряд, описывающий загрузка канала, содержит
N значений, то число векторов определяется как 1N m .
Практическая реализация метода ложных ближайших соседей состоит в
последовательном построении многомерных векторов с увеличенной на 1
размерностью и оценка выполнения «близости» расположения фазовых
траекторий в исходном и восстановленном аттракторе.
1. На первом этапе размерность восстанавливаемого фазового пространства:
1m .
2. Построим многомерный вектор следующего вида:
1
11
1
1 1 , 1 , 1 2 ...,
2 2 , 2 , 2 2 ,...,.
... ...
, , 2 ,...,
m
mm
m
x x x x N
x x x x N
N x N x N x N x N
x
xx
x
3. Далее строим многомерный вектор в пространстве вложений с
размерностью 2m :
107
2
22
2
1 1 , 1 , 1 ...,
2 2 , 2 , 2 ,...,.
... ...
2 , , ,...,
m
mm
m
x x x x N
x x x x N
N x N x N x N x N
x
xx
x
4. Далее при 1, ; 1,i N j N определяем длины (нормы) векторов:
1 1
22 2
1 1 1 1 1 11 1 2 2
2 2
22 2
2 2 2 2 2 21 1 2 2
... ;
... .
m m
m m m m m mN N
m m
m m m m m mN N
i j
x i x j x i x j x i x j
i j
x i x j x i x j x i x j
x x
x x
5. Затем вычисляется отношение норм векторов в пространствах с
различной размерностью:
2 2
121 1
.m m
im m
i jR
i j
x x
x x
В случае, когда 12 tiR R , где tR — порог «близости» фазовых траекторий,
точка с вектором jx является ложным ближайшим соседом по отношению к
точке с вектором ix . В результате производится подсчет количества ложных
ближайших соседей 12P для каждой точки с вектором ix .
6. Вычисляется значение отношения 12 .P N
7. Далее строим многомерный вектор в пространстве вложений с
размерностью 3m :
3 3
232 2
.m m
im m
i jR
i j
x x
x x
8. Вычисляется соотношение 23 .P N
9. Далее п. 2-8 повторяются для 4,... dm m ( dm — максимальное значение
пространства вложений).
Таким образом, в результате вычислений определяется зависимость
отношения P N от размерности восстановленного фазового пространства m .
108
Для телекоммуникационного трафика при нормальном функционировании
сегмента сети, показанного на рисунке 3.2, размерность фазового пространства
оказалась равной 13.
Таким образом, вторым, после показателя Херста, параметром, который в
дальнейшем будет использован для оценки состояния сети является размерность
восстановленного фазового пространства.
На рисунке 3.3 приведен результат расчета фазового пространства
(траекторий в фазовом пространстве) для телекоммуникационного трафика при
нормальном функционировании сегмента сети, показанного на рисунке 3.2. Как
видно из рисунка, основной аттрактор системы занимает достаточно большую
площадь и смещен в область начала системы координат.
Рисунок 3.3. — Фазовый портрет телекоммуникационного трафика в нормальном
состоянии
Таким образом, предлагается также использовать структуру фазового
портрета телекоммуникационного трафика для оценки его состояния.
109
3.3.4. Вычисление корреляционного интеграла и корреляционной размерности
При помощи рассмотренного метода задержек сконструируем из
исследуемого одномерного ряда следующие много мерные векторы:
1 , 2 ,..., , 1, 1i x i m x i m x i i N m x ,
где — временной лаг, m — размерность восстановленного фазового
пространства, определенная в предыдущем разделе.
Корреляционный интеграл вычисляется по формуле [90]:
,
1lim , ; 1, ,
1
m
N N
m m dN
i j
C N
x i x j i j m mN N
(3.7)
где N — количество отсчетов во временном ряде; m mi jx x — расстояние по
норме между i-ой и j-ой точками фазовой траектории в m -мерном пространстве
mR ; — точность расчета; x — -функция Хевисайда, определяемая
следующим образом:
0, 0;
1, 0.
xx
x
Корреляционный интеграл ,C N представляет функцию, зависящую от
количества точек аттрактора в пространстве mR , расстояние между которыми
меньше наперед заданной точности .
В формуле (3.7) норма расстояния между i-ой и j-ой точками вычисляется
как
22 2
1 1 2 2... .
m m
m m m m m mN N
i j
x i x j x i x j x i x j
x x
Далее для всех полученных при разных m корреляционных интегралов
вычисляется производная CD , представляющая собой корреляционную
размерность:
0
lg ,lim lim .
lgC
N
d C ND
d
(3.8)
110
Обычно данную производную не вычисляют, а корреляционная размерность
CD определяется как тангенс наклона касательной графика зависимости CD от
размерности пространства вложений к оси абсцисс.
На рисунке 3.4 приведена зависимость корреляционной размерности CD от
размерности пространства вложений. Также на рисунке приведена касательная к
графику данной функции.
Рисунок 3.4. — Зависимость корреляционной размерности CD от размерности
восстановленного фазового пространства
По графику зависимости (рисунок 2.4) CD m определяется максимум
корреляционной функции. Значение cm m , при котором функция имеет
максимум, будет соответствовать размерности пространства вложения dm , а
значение CD будет соответствовать корреляционной размерности.
Таким образом, из рисунка 3.4 несложно определить, что размерность
восстановленного фазового пространства в нормальном состоянии сети 13, что
доказывает результат, полученный ранее методом ближайших ложных соседей.
Также можно заметить, что значение корреляционной размерности равно в
данном случае 9,819.
Таким образом, для оценки состояния сегмента сети предлагается
использовать следующий набор фрактальных параметров:
111
1) Показатель Херста (первичный индикатор для оценки самоподобия).
2) Корреляционная размерность.
3) Размерность фазового пространства.
4) Тип фазового пространства.
Далее будет показано, что показатель Херста в случае нормального
состояния телекоммуникационного трафика больше 0,8; корреляционной
размерности — больше 9: размерность фазового пространства — больше 13.
В дальнейшем будет описан ряд экспериментов, которые определят
значения фрактальных мер в случае телекоммуникационного трафика в
нормальном состоянии и в случае DoS-атаки.
Таким образом, в основе фрактального индикатора состояния сети
предлагается использовать набор из трех фрактальных мер (показатель Херста,
корреляционная размерность, размерность фазового пространства), а также вид
фазового портрета телекоммуникационного трафика.
Здесь уместно заметить, что суммарное время расчета трех указанных
фрактальных параметров и построение фазового пространства составило 7,5
секунд на персональном компьютере Intel(R) Core(TM) i5-3340CPU @ 3.40GHz с
объемом оперативной памяти 8 ГБ.
Перед тем, как рассмотреть поведение фрактальных параметров при
наличии уязвимостей сети, рассмотрим программное обеспечение для индикации
и записи сетевого трафика, а также проведем классификацию сетевых атак.
3.4. Программное обеспечение для оценки сетевого трафика
Одной из актуальных научных задач в настоящее время является анализ
телекоммуникационного трафика в современных мультисервисных сетях. Для
решения этой задачи необходим сбор и последующий анализ разнообразной
статистики (скорость, объемы переданных данных и т.д.) в действующих сетях.
Сбор такой статистики в том или ином виде возможен различными
программными средствами [48, 49].
112
Для решения проблем данного рода были разработаны анализаторы и
снифферы, которые в первую очередь предназначены для локализации и
устранения ошибок, обслуживания сетей (беспроводных, локальных и
распределенных). Встроенные в них декодеры протоколов и экспертные системы,
помогают быстро обнаруживать и устранять разнообразные сетевые проблемы,
при этом работоспособность сетей, поддерживается на максимально возможном
уровне. Кроме этого, ведется подробная статистика множества параметров
сетевой деятельности, для последующего изучения системными
администраторами. С использованием сниферов вы можете просматривать все
передаваемые пакеты по всем сетевым интерфейсам и соединениям. Современные
сниферы предоставляют подробную информацию через удобные и интуитивно
понятные интерфейсы [113]. Поскольку в «классическом» сниффере анализ
трафика происходит вручную, с применением лишь простейших средств
автоматизации (анализ протоколов, восстановление TCP-потока), то он подходит
для анализа лишь небольших его объёмов.
Одним из наиболее распространенных снифферов телекоммуникационного
трафика является свободно распространяемый программный продукт,
предназначенный для захвата и анализа сетевого трафика — Wireshark. Данный
продукт является кроссплатформенным и работает с подавляющим большинством
известных протоколов, что делает возможным построение мощнейшей системы
фильтров на его основе. С помощью Wireshark можно просматривать обмен
между узлами и/или хостами, просматривать статистику обмена данными,
вытаскивать файлы из различных протоколов. Также Wireshark позволяет
отделить трафик VoIP от остального, что является полезным при анализе трафика
сети, определения полезного трафика и DDoS атак.
Wireshark производит захват, и отображение пакетов в реальном масштабе
времени и позволяет осуществить возврат к предыдущим пакетам (это можно
осуществить достаточно быстро, указав номер пакета). Перед захватом трафика
необходимо четко понимать, что нужно захватывать. Анализатор трафика можно
разместить в нескольких местах: локально на своём сервере, подключиться
113
непосредственно в интересующее место/узел, организовать зеркалирование
трафика на коммутаторе, «отравить» протокол ARP (является не вполне законным
способом). Самым простым способом добавления фильтра является клик правой
кнопкой мыши на пакете и из появившегося меню выбрать команду «Apply as
Filter – Not selected», после чего в силу сразу же вступят заданные изменения,
если будет необходимость отсечь ещё что-нибудь – добавить новое правило к
фильтрую, то в меню необходимо выбрать «and not Selected». Wireshark содержит
два вида фильтров Capture Filters (фильтр захвата) и Display Filters (фильтр
отображения). Первый служит для фильтрации ещё на этапе захвата трафика, что
может привести к потери полезного трафика. Второй фильтрует только
захваченный трафик. В Wireshark существует набор заданных так называемых
быстрых фильтров (Prepare as Filters и Apply Filters), а также фильтры можно
создать самому используя логические операции булевой алгебры (&& или ||) и
сохранить для дальнейшего использования.
Также следует упомянуть программное обеспечение Zabbix,
представляющую собой систему мониторинга, которая состоит из нескольких
подсистем, причем все они могут размещаться на разных машинах, используется
для мониторинга серверов.
Основные принципы работы системы Zabbix:
сервер мониторинга, периодически получает и обрабатывает данные,
анализирует их и производит в зависимости от ситуации определенные действия,
в основном оповещение администратора;
база данных (в качестве неё могут использоваться SQLite, MySQL,
PostgreSQL и Oracle);
web-интерфейс на PHP, отвечает за управление мониторингом и
действиями, а также за визуализацию;
агент Zabbix, запускается на той машине/устройстве, с которой
необходимо снимать данные. Его наличие желательно, но, не обязательно, можно
обойтись SNMP;
114
Zabbix proxy — используется в основном, когда необходимо мониторить
сотни и тысячи устройств для снижения нагрузки на собственно сервер
мониторинга.
В представленной диссертационной работе для захвата трафика с целью
последующего анализа использовалось программное обеспечение Zabbix.
3.5. Сетевые атаки
Сетевые атаки представляют собой вторжение в операционную систему
удаленного компьютера [102]. По сути, это — вредоносные действия, которые
выполнены злоумышленником и/или действия, выполненные вредоносными
программами, установленными на атакованном компьютере. К вредоносным
программам, участвующим в сетевых атаках, относят некоторые троянские
программы, инструменты DoS-атак, вредоносные скрипты и сетевые черви.
Чаще всего сетевые атаки делят на три основные типа:
сканирование портов;
DoS-атаки;
сетевые атаки-вторжения.
DDoS и DoS атаки. DoS-атаки (Denial of Service) — это атаки, приводящие
к парализации работы сервера или персонального компьютера вследствие
огромного количества запросов, с высокой скоростью поступающих на атакуемый
ресурс. Если подобная атака проводится одновременно сразу с большого числа
компьютеров, то в этом случае говорят о DDoS-атаке (Distributed Denial of
Service), благодаря чему атаке могут быть подвержены сервера даже с очень
большой пропускной способностью интернет-каналов.
Иногда эффект DDoS-атаки «срабатывает» случайно. Это происходит в том
случае, если, например, на сайт, находящийся на сервере, была поставлена ссылка
в популярном интернет-ресурсе. Это вызывает мощный всплеск посещаемости
сайта (сплэшдот-эффект), который действует на сервер аналогично DDoS-атаке.
Классификация DoS и DDoS атак [55, 126, 136, 145, 153, 168, 169, 181, 190,
191, 199]:
115
Насыщение полосы пропускания — атака, связанная с большим
количеством бессмысленных запросов к сайту, с целью его отказа из-за
исчерпания системных ресурсов — процессора, памяти или каналов связи.
HTTP - флуд и PING - флуд — примитивная DoS атака, целью которой
является насыщение полосы пропускания и отказ сайта в обслуживание. Успех
атаки напрямую зависит от разницы размеров ширины канала атакуемого сайта и
атакующего сервера.
SMURF - атака (ICMP - флуд) — одна из самых опасных DDoS атак,
когда атакующий использует широковещательную рассылку для проверки
функционирующих узлов сети с отправкой ping-запроса.
FRAGGLE - атака (UDP - флуд) — атака, аналогичная SMURF - атаке, где
вместо ICMP пакетов используются пакеты UDP.
Атака пакетами SYN — суть атаки заключается в следующем: два
сервера устанавливают TCP соединение, установку которого выделяется
небольшое количество ресурсов. Отправив несколько ложных запросов, можно
израсходовать все ресурсы системы, отведённые на установление соединения.
Делается это подменой истинного IP на несуществующий IP адрес атакующего
сервера, при отправке SYN пакетов. Сервер - жертва будет создавать очередь из
необработанных соединений, которая исчерпает его ресурсы.
Определить источник такой атаки крайне сложно, т.к. истинные адреса
атакующих серверов подменяются на несуществующие.
3.6. Сравнение фрактальных мер сетевого трафика в нормальном
режиме работы сети и при наличии DoS/DDoS-атаки
При проведении эксперимента важно рассмотреть различные ситуации при
захвате трафика:
1. В течение всего времени захвата трафика DDoS-атака не происходила
(нормальный режим).
2. В течение части временного интервала сетевой атаки не было, а в другой
части временного интервала происходила DDoS-атака.
116
3. В течение всего времени захвата трафика происходила DDoS-атака.
Схема проведения эксперимента представлена на рисунках 3.5 и 3.6, где на
рисунке 3.5 представлен захват трафика при моделировании нормальной работы
телекоммуникационной сети компании (режим 1), а на рисунке 3.6 представлен
захват трафика при моделировании DDoS-атаки, путем увеличения трафика
второго севера и подключения третьего сервера для увеличения количества
запросов к серверу один (режимы 2 и 3). Важно для каждого из указанных
режимов определить значения фрактальных мер и поведение фазового портрета
динамической системы (телекоммуникационного трафика) [28, 29, 110, 130].
Генерирование трафика
Запись телекоммуникационного
трафика
Рисунок 3.5. – Схема эксперимента при моделировании нормальной работы сети
Генерирование трафика
Запись телекоммуникационного
трафика в момент DDoS-атаки
Эмуляция сетевой атаки
Эмуляция сетевой атаки
Рисунок 3.6. – Схема эксперимента при моделировании DDoS-атаки на ресурсы
телекоммуникационной сети
117
Для анализа использовались временные ряды с число выборок не менее
20000 значений. Это позволяет проводить расчет фрактальных мер и построение
фазового портрета системы в течение 2-3 минут. Также отметим, что для чистоты
эксперимента в нормальном режиме были рассмотрены трафики, захваченные в
ночное, утреннее, дневное и вечернее время. Это сделано для того, чтобы
показать, что загруженность канала не приводит к аномальным изменениям
значений фрактальных параметров в нормальном режиме. Кроме того, важным
является рассмотрение ситуации, когда в захваченном трафике только часть
дискретного ряда соответствует времени проведения сетевой атаки. Как будет
показано ниже, в этом случае по значениям фрактальных мер без анализа
фазового пространства невозможно определить наличие сетевой атаки. В
результате будет доказано, что расчета значений фрактальных мер (показателя
Херста, корреляционной размерности) в общем случае недостаточно для
определения сетевой атаки. Таким образом, чтобы судить о сетевой атаке только
по показателю Херста нужно, чтобы сетевая атака протекала во время всего
интервала захвата трафика. Иными словами, использование одного лишь
показателя Херста при создании индикатора сетевой атаки не дает никакой
гарантии ее обнаружения. Только по совокупному анализу фрактальных мер и
вида фазового пространства можно говорить о наличии или отсутствии сетевой
атаки.
В работе было исследовано 12 захваченных трафиков на сетях оператора
связи в нормальном устойчивом состоянии и 2 трафика во время проведения
сетевой атаки.
Сначала рассмотрим расчет фрактальных мер и построение фазовых
пространств для 4-ёх «снимков» трафика в нормальном состоянии (без сетевой
атаки), так как анализ остальных трафиков привел к схожим значениям
фрактальных параметров. Четыре исследуемых трафика в нормальном состоянии
сети соответствуют различной загрузке канала в разное время суток (день, ночь,
утро, вечер). Это позволит получить доказательство того, что вне зависимости от
загрузки канала в нормальном состоянии значения фрактальных параметров и вид
118
фазового портрета телекоммуникационного трафика приблизительно совпадают
между собой. Эксперимент проводился на сегменте сети оператора связи и для
анализа использовались данные сайта https://top.mail.ru/Rating/ (Рейтинг@mail.ru),
где в качестве эталонных данных был взят недельный срез трафика сайта ria.ru.
Трафик был детально смоделирован с помощью сервера оператора, на который в
последующем производилась DoS/DDoS атака.
Для записи трафика использовалось программное обеспечение Zabbix.
Расчет фрактальных параметров проводился с использованием разработанного в
рамках диссертационной работы программного обеспечения, проверка
результатов осуществлялась при помощи ПО Fractan. Для анализа заполненности
фазовых траекторий на фазовом пространстве использовалась разработанная
программа для анализа изображений на предмет определения процентного
количества различных цветов. Кроме того, уместно заметить, что возможна
разработка общей программы для анализа сетевого трафика на основе
фрактального анализа с последующей обработкой фазового портрета
телекоммуникационного трафика. После выполнения модуля расчета
фрактальных параметров и фазового пространства сохраняется изображение с
фазовым портретом, который передается на обработку в модуль анализа цвета и в
результате делается вывод о наличии/отсутствии DDoS-атаки. В настоящее время
интерес представляло доказательство возможности использования ряда
фрактальных параметров и фазового пространства для выявления сетевых атак.
Перейдем к анализу телекоммуникационного трафика в различных
состояниях.
3.6.1. Анализ фрактальных мер телекоммуникационного трафика в нормальном
состоянии
Рассмотрим 4 «снимка» телекоммуникационного трафика при отсутствии
сетевой атаке во всем временном интервале эксперимента.
Трафик 1. Дневной входящий трафик сайта ria.ru. Значения загрузки сети
снимались с интервалом 1 секунду. Общее количество временных отсчетов 20000.
119
Время расчета всех фрактальных характеристик и построения фазового портрета
составило 1 минута 42 секунды.
На рисунке 3.7 приведена временная загрузка загрузки канала. Запись
проводилась в момент отсутствия сетевой атаки на некоторый хост. Каждую
секунду снималось значение загрузки сети в бит/c и записывалось в файл данных.
По оси абсцисс — порядковый номер записи; по оси ординат — загрузка канала в
бит/c.
На рисунке 3.8 показана зависимость R S от запаздывания N в двойном
логарифмическом масштабе, а также аппроксимирующая прямая. Показатель
Херста для исследуемого трафика оказался равным 1.28H , что говорит о его
фрактальной природе.
Рисунок 3.7. — Телекоммуникационный трафик 1
120
Рисунок 3.8. — Зависимость R S от запаздывания N в двойном
логарифмическом масштабе для трафика 1
Рисунок 3.9. — Зависимость корреляционной размерности CD от размерности
восстановленного фазового пространства для трафика 1
121
Рисунок 3.10. — Фазовое пространство для трафика 1
На рисунке 3.9 приведена зависимость корреляционной размерности CD от
размерности пространства вложений. Также на рисунке приведена касательная к
графику данной функции. Корреляционная размерность составила 11,39.
Размерность пространства вложений 17.
На рисунке 3.10 приведен вид фазового пространства для трафика 1.
Трафик 2. Ночной входящий трафик сайта ria.ru. Значения загрузки сети
снимались с интервалом 1 секунду. Общее количество временных отсчетов 20000.
Время расчета всех фрактальных характеристик и построения фазового портрета
составило 1 минута 57 секунд.
На рисунке 3.11 приведена временная загрузка загрузки канала. Запись
проводилась в момент отсутствия сетевой атаки на некоторый хост. Каждую
секунду снималось значение загрузки сети в бит/c и записывалось в файл данных.
По оси абсцисс — порядковый номер записи; по оси ординат — загрузка канала в
бит/c.
На рисунке 3.12 показана зависимость R S от запаздывания N в двойном
логарифмическом масштабе, а также аппроксимирующая прямая. Показатель
Херста для исследуемого трафика оказался равным 1.37H .
122
На рисунке 3.13 приведена зависимость корреляционной размерности CD
от размерности пространства вложений. Также на рисунке приведена касательная
к графику данной функции. Корреляционная размерность составила 9,41.
Размерность пространства вложений 14.
На рисунке 3.14 приведен вид фазового пространства для трафика 2.
Трафик 3. Утренний входящий трафик сайта ria.ru. Значения загрузки сети
снимались с интервалом 1 секунду. Общее количество временных отсчетов 20000.
Время расчета всех фрактальных характеристик и построения фазового портрета
составило 2 минуты 11 секунд.
Рисунок 3.11. — Телекоммуникационный трафик 2
123
Рисунок 3.12. — Зависимость R S от запаздывания N в двойном
логарифмическом масштабе для трафика 2
Рисунок 3.13. — Зависимость корреляционной размерности CD от размерности
восстановленного фазового пространства для трафика 2
124
Рисунок 3.14. — Фазовое пространство для трафика 1
На рисунке 3.15 приведена временная загрузка загрузки канала. Запись
проводилась в момент отсутствия сетевой атаки на некоторый хост. Каждую
секунду снималось значение загрузки сети в бит/c и записывалось в файл данных.
По оси абсцисс — порядковый номер записи; по оси ординат — загрузка канала в
бит/c.
На рисунке 3.16 показана зависимость R S от запаздывания N в двойном
логарифмическом масштабе, а также аппроксимирующая прямая. Показатель
Херста для исследуемого трафика оказался равным 1.48H .
На рисунке 3.17 приведена зависимость корреляционной размерности CD
от размерности пространства вложений. Также на рисунке приведена касательная
к графику данной функции. Корреляционная размерность составила 9,68.
Размерность пространства вложений 13.
На рисунке 3.18 приведен вид фазового пространства для трафика 3.
На рисунке 3.19 показан расчет заполненности зеленым цветом области
фазового пространства. Нормированное отношения белого и зеленого цветов на
рисунке составляет 34%:9%, что свидетельствует о площади на фазовом
пространстве заполненной белым и зеленым цветом. Заметим, что затем эти
125
значения будут использованы для автоматического анализа цвета на различных
фазовых портретах.
Трафик 4. Вечерний входящий трафик сайта ria.ru. Значения загрузки сети
снимались с интервалом 1 секунду. Общее количество временных отсчетов 20000.
Время расчета всех фрактальных характеристик и построения фазового портрета
составило 2 минуты 11 секунд.
На рисунке 3.20 приведена временная загрузка загрузки канала. Запись
проводилась в момент отсутствия сетевой атаки на некоторый хост. Каждую
секунду снималось значение загрузки сети в бит/c и записывалось в файл данных.
По оси абсцисс — порядковый номер записи; по оси ординат — загрузка канала в
бит/c.
На рисунке 19 показана зависимость R S от запаздывания N в двойном
логарифмическом масштабе, а также аппроксимирующая прямая. Показатель
Херста для исследуемого трафика оказался равным 1.28H .
На рисунке 3.22 приведена зависимость корреляционной размерности CD
от размерности пространства вложений. Также на рисунке приведена касательная
к графику данной функции. Корреляционная размерность составила 11,06.
Размерность пространства вложений 15.
На рисунке 3.23 приведен вид фазового пространства для трафика 4.
На рисунке 3.24 показан расчет заполненности зеленым цветом области
фазового пространства. Нормированное отношения белого и зеленого цветов на
рисунке составляет 26%:12%, что свидетельствует о площади на фазовом
пространстве заполненной белым и зеленым цветом.
126
Рисунок 3.15. — Телекоммуникационный трафик 3
Рисунок 3.16. — Зависимость R S от запаздывания N в двойном
логарифмическом масштабе для трафика 3
127
Рисунок 3.17. — Зависимость корреляционной размерности CD от размерности
восстановленного фазового пространства для трафика 3
Рисунок 3.18. — Фазовое пространство для трафика 3
128
Рисунок 3.19. — Анализ заполненности траекториями фазового
пространства для трафика 3
Рисунок 3.20. — Телекоммуникационный трафик 4
129
Рисунок 3.21. — Зависимость R S от запаздывания N в двойном
логарифмическом масштабе для трафика 4
Рисунок 3.22. — Зависимость корреляционной размерности CD от размерности
восстановленного фазового пространства для трафика 4
130
Рисунок 3.23. — Фазовое пространство для трафика 4
Рисунок 3.24. — Анализ заполненности траекториями фазового
пространства для трафика 4
131
3.6.2. Анализ фрактальных мер телекоммуникационного трафика при
наличии сетевой атаки
Рассмотрим 3 «снимка» телекоммуникационного трафика при наличии
сетевой атаки.
Трафик 5. Трафик при наличии DDoS-атаки на сайт, причем длительность
атаки не равна всему интервалу исследования. Значения загрузки сети снимались
с интервалом 1 секунду. Общее количество временных отсчетов 20000. Время
расчета всех фрактальных характеристик и построения фазового портрета
составило 1 минуту 53 секунды.
На рисунке 3.25 приведена временная загрузка загрузки канала. «Снимок»
трафика представляет собой совокупность двух режим: сначала сеть работала в
нормальном режим, потом произошла DDoS-атака на некоторый хост. Каждую
секунду снималось значение загрузки сети в бит/c и записывалось в файл данных.
По оси абсцисс — порядковый номер записи; по оси ординат — загрузка канала в
бит/c.
На рисунке 3.26 показана зависимость R S от запаздывания N в двойном
логарифмическом масштабе, а также аппроксимирующая прямая. Показатель
Херста для исследуемого трафика оказался равным 1.46H , что говорит о его
фрактальной природе.
На рисунке 3.27 приведена зависимость корреляционной размерности CD
от размерности пространства вложений. Также на рисунке приведена касательная
к графику данной функции. Корреляционная размерность составила 10,15.
Размерность пространства вложений 15.
На рисунке 3.28 приведен вид фазового пространства для трафика 5.
На рисунке 3.29 показан расчет заполненности зеленым цветом области
фазового пространства. Нормированное отношения белого и зеленого цветов на
рисунке составляет 71%:3%, что свидетельствует о площади на фазовом
пространстве заполненной белым и зеленым цветом.
132
Рисунок 3.25. — Телекоммуникационный трафик 5
Рисунок 3.26. — Зависимость R S от запаздывания N в двойном
логарифмическом масштабе для трафика 5
133
Рисунок 3.27. — Зависимость корреляционной размерности CD от размерности
восстановленного фазового пространства для трафика 5
Рисунок 3.28. — Фазовое пространство для трафика 5
134
Рисунок 3.29. — Анализ заполненности траекториями фазового
пространства для трафика 5
В рассмотренном трафике 5 перед DDoS-атакой следует нормальный режим
работы. В связи с эти возникает вопрос: как изменится фазовый аттрактор, если в
выборках из значений сначала будет сетевая атака, а потом нормальный режим?
Будем использовать тот же самый трафик, только выборку значений начнем с
момента начала DDoS-атаки.
На рисунке 3.29 приведена временная загрузка загрузки канала. «Снимок»
трафика представляет собой совокупность двух режим: сначала произошла DDoS-
атака на некоторый хост, а затем — нормальный режим. Каждую секунду
снималось значение загрузки сети в бит/c и записывалось в файл данных. По оси
абсцисс — порядковый номер записи; по оси ординат — загрузка канала в бит/c.
На рисунке 3.30 показана зависимость R S от запаздывания N в двойном
логарифмическом масштабе, а также аппроксимирующая прямая. Показатель
135
Херста для исследуемого трафика оказался равным 1.31H , что говорит о его
фрактальной природе.
На рисунке 3.31 приведен вид фазового пространства для трафика,
приведенного на рисунке 3.28.
Из сравнения рисунков 3.28 и 3.31 следует вывод о том, что форма фазового
аттрактора не зависит от того, что было сначала — сетевая атака или нормальный
режим. В обоих случаях фазовый аттрактор сосредоточен в правом верхнем углу
фазового пространства.
Аналогичные замечания можно сделать и для случая, когда перед и после
сетевой атаки наблюдались нормальные режимы работы сети.
Рисунок 3.30. — Телекоммуникационный трафик
136
Рисунок 3.31. — Зависимость R S от запаздывания N в двойном
логарифмическом масштабе для трафика
Рисунок 3.32. — Фазовое пространство для трафика
Трафик 6. Трафик при наличии DDoS-атаки на сайт, причем длительность
атаки равна длительностью всего интервала исследования. Значения загрузки сети
снимались с интервалом 1 секунду. Общее количество временных отсчетов 5500.
Время расчета всех фрактальных характеристик и построения фазового портрета
составило 48 секунд.
137
На рисунке 3.33 приведена временная загрузка загрузки канала. Запись
проводилась в момент отсутствия сетевой атаки на некоторый хост. Каждую
секунду снималось значение загрузки сети в бит/c и записывалось в файл данных.
По оси абсцисс — порядковый номер записи; по оси ординат — загрузка канала в
бит/c.
На рисунке 3.34 показана зависимость R S от запаздывания N в двойном
логарифмическом масштабе, а также аппроксимирующая прямая. Показатель
Херста для исследуемого трафика оказался равным 0.4H , что говорит о его
фрактальной природе.
На рисунке 3.35 приведена зависимость корреляционной размерности CD
от размерности пространства вложений. Также на рисунке приведена касательная
к графику данной функции. Корреляционная размерность составила 8,86.
Размерность пространства вложений 11.
На рисунке 3.36 приведен вид фазового пространства для трафика 6.
На рисунке 3.37 показан расчет заполненности зеленым цветом области
фазового пространства. Нормированное отношения белого и зеленого цветов на
рисунке составляет 7%:18%, что свидетельствует о площади на фазовом
пространстве заполненной белым и зеленым цветом.
Рисунок 3.33. — Телекоммуникационный трафик 6
138
Рисунок 3.34. — Зависимость R S от запаздывания N в двойном
логарифмическом масштабе для трафика 6
Рисунок 3.35. — Зависимость корреляционной размерности CD от размерности
восстановленного фазового пространства для трафика 6
139
Рисунок 3.36. — Фазовое пространство для трафика 6
Рисунок 3.37. — Анализ заполненности траекториями фазового
пространства для трафика 6
140
Анализ полученных результатов. Для проведения анализа отразим
значения полученных фрактальных параметров и заполненности фазовых
траекторий в таблице 3.1. В таблице 3.2 приведены типичные значения
фрактальных мер и заполненности фазового пространства фазовыми
траекториями, полученные в диссертационной работе при проведении
экспериментов.
Рассмотрим общие принципы фрактального индикатора трафика, который
может быть создан на основе проведенных исследований.
1. Если показатель Херста меньше 0.5, это свидетельствует, что на всем
временном интервале исследования происходит сетевая атака.
2. Если корреляционная размерность меньше 9, это свидетельствует, что на
всем временном интервале исследования происходит сетевая атака.
3. Когда сетевая атака происходит не на всем временном интервале
исследования, показатель Херста и корреляционная размерность не несут никакой
информации.
4. Когда сетевая атака происходит не на всем временном интервале
исследования, то о её наличии можно судить только по виду фазового
пространства и заполненности его траекториями. Как показали исследования,
аттрактор динамической системы в данном случае стремится занять наиболее
далекое положение от центра системы координат (смещается в правый верхней
угол пространства), как следствие наблюдается низкий процент заполненности
фазового пространства траекториями (менее 5%).
5. Когда сетевая атака происходит на всем временном интервале
исследования аттрактор заполняет максимально возможную часть фазового
пространства с коэффициентом заполненности больше 15%.
6. Различный уровень нагрузки сети не приводит к большому влиянию на
значения фрактальных параметров.
7. В нормальном состоянии сети аттрактор представляет вытянутую фигуру,
которая направлена от центра системы координат в правый верхний угол.
141
Таким образом, в общем случае показатель Херста и корреляционная
размерность являются первичными индикаторами наличия сетевой атаки и по их
значениям однозначный вывод можно сделать только тогда, когда сетевая атака
началась и продолжается до настоящего момента времени.
Единственным достоверным показателем наличия сетевой атаки является
форма фазового аттрактора, его расположение и заполненность пространства
фазовыми траекториями. Этот факт является основным для создания
фрактального индикатора состояния сети.
Рассмотрим алгоритм работы фрактального индикатора.
1. На вход программы поступает одномерный дискретный временной ряд со
значениями загрузки канала некоторой длительности.
2. Вычисляется показатель Херста. Если его значение меньше 0.5, это
означает, что с момента начала записи траффика и до текущего момента
наблюдается DDoS-атака на определенный хост. Для подтверждения наличия
сетевой атаки могут быть использованы корреляционная размерность и
размерность пространства вложения. В этом случае автоматически должна
запускаться программ-анализатор для устранения уязвимости.
3. Если значение показателя Херста больше 0,5, значение кореляционной
размерности больше 9 и размерность пространства вложений больше 12, то
ситуация может соответствовать как нормальному режиму работы, так и
ситуации, что имеет место DDoS-атака с какого-то конкретного (не начального)
момента записанного трафика. В этом случае необходимо рассчитать фазовый
портрет динамической системы. В результате расчета создается jpg-файл,
который передается в модуль анализа заполненности траекторий в фазовом
пространстве по цвету. Если процент зеленого (или любого наперед заданного
цвета) на рисунке с фазовым пространством менее 5%, это свидетельствует, что
на определенном интервале времени была (или до сих пор есть) сетевая атака.
Также имеется возможность просмотра изображения фазового портрета. Если
аттрактор уходит на фазовом пространстве в правый верхний угол, это
однозначно свидетельствует о наличии сетевой атаки, если же он вытянут от
142
центра системы координат в правый верхний угол, то это соответствует обычному
режиму работы сети.
На рисунке 3.38 приведена форма фазового аттрактора в нормальном
состоянии; на рисунке 3.39 — при наличии DDoS-атаки на некотором временном
интервале; на рисунке 3.40 — при наличии DDoS-атаки во всем временном
интервале исследования.
На рисунке 3.41 приведена наглядная диаграмма соответствия,
иллюстрирующая алгоритм работы фрактального индикатора состояния сети.
Таким образом, в работе доказано, что для выявления наличия сетевых атак
необходимо совместное использование фрактальных параметров (показателя
Херста, корреляционной размерности, размерности пространства вложений) и
фазового портрета системы.
Таблица 3.1
Показатель Нормальный режим, траффик Частичная
сетевая
атака
Полная
сетевая атака
1 2 3 4 5 6
Показатель Херста 1.28 1.37 1.48 1.28 1.46 0.4
Корреляционная
размерность
11.39 9.41 9.68 11.06 10.15 8,86
Размерность
пространства
вложений
17 14 13 15 15 11
Вид фазового
пространства
Аттрактор
по центру
Аттрактор
по центру
Аттрактор
по центру
Аттрактор
по центру
Аттрактор в
верхнем
углу
Аттрактор во
всем
пространстве
Процент заполнения
фазовыми
траекториями
12% 10% 9% 12% 3% 18%
143
Таблица 3.2
Показатель Нормальный режим, траффик Частичная
сетевая
атака
Полная
сетевая атака
1 2 3 4 5 6
Показатель Херста >0.5 >0.5 >0.5 >0.5 >0.5 <0.5
Корреляционная
размерность
>9 >9 >9 >9 >9 <9
Размерность
пространства
вложений
>12 >12 >12 >12 >12 <12
Вид фазового
пространства
Аттрактор
по центру
Аттрактор
по центру
Аттрактор
по центру
Аттрактор
по центру
Аттрактор в
верхнем
углу
Аттрактор во
всем
пространстве
Процент заполнения
фазовыми
траекториями
7-15% 7-15% 7-15% 7-15% Менее 5% Более 15%
Рисунок 3.38. — Фазовый аттрактор в нормальном состоянии сети
144
Рисунок 3.39. — Фазовый аттрактор при наличии сетевой атаки во всем
временном интервале исследования
Рисунок 3.40. — Фазовый аттрактор при наличии сетевой атаки на некотором
временном промежутке из интервала исследования
145
Рисунок 3.41. — Диаграмма соотношений показателя Херста и корреляционной
размерности
В данной главе рассмотрен вариант элемента контроля ИБ одного из
сегментов сети. Однако, для решения задачи анализа рисков ИБ необходима
разработка быстродействующих и достоверных методов, позволяющих оценивать
риски ИБ всей телекоммуникационной системы организации в целом, подобный
анализ в качестве исходных (текущих) данных как раз может основываться на
результатах, полученных путём использования рассмотренных в данной главе
фрактальных индикаторов.
146
Выводы по главе 3
1. Рассмотрены известные методы расчета фрактальных параметров
(показателя Херста, корреляционной размерности, размерности пространства
вложений) применительно к телекоммуникационному трафику.
2. Проведен расчет фрактальных параметров телекоммуникационного
трафика в различном состоянии сети: нормальном; при наличии сетевой атаки во
всем интервале исследования и при наличии сетевой атаки на некотором
временном промежутке фиксированной длительности.
3. Доказано, что по значениям показателя Херста, корреляционной
размерности нельзя однозначно судить о наличии сетевой атаки.
4. Показано, что показатель Херста является индикатором сетевой атаки
только в случае, когда DDoS-атака происходит на всем временном интервале
исследования.
5. Доказано, что при любых ситуациях о наличии сетевой атаки можно
судить по форме фазового аттрактора системы.
6. Определен вид фазового аттрактора телекоммуникационного трафика в
различном состоянии сети: нормальном; при наличии сетевой атаки во всем
интервале исследования и при наличии сетевой атаки на некотором временном
промежутке фиксированной длительности.
7. Предложен алгоритм расчета заполненности фазового пространства
фазовыми траекториями на основе анализа цвета линий на изображении фазового
портрета системы.
8. Предложен алгоритм работы фрактального индикатора состояния сети на
основе расчета фрактальных мер и фазового аттрактора телекоммуникационного
трафика.
9. Доказано, что в состоянии сетевой атаки показатель Херста меньше 0,5,
то есть происходит утрата самоподобия трафика, однако это имеет место только в
том случае, когда сетевая атака длится на всем временном интервале
исследования.
147
10. Доказано, что в состоянии сетевой атаки корреляционная размерность
меньше 9, однако это имеет место только в том случае, когда сетевая атака длится
на всем временном интервале исследования.
11. Разработано программное обеспечение для определения по цвету
процента заполненности фазовыми траекториями фазового пространства.
12. Доказано, что различный уровень нагрузки сети в нормальном
состоянии (без сетевой атаки) не приводит к большому влиянию на значения
фрактальных параметров.
148
ЗАКЛЮЧЕНИЕ
В работе рассмотрены известные подходы к анализу рисков ИБ —
байесовский подход, нечеткая логика и метод ближайших ложных соседей.
Следует заметить, что указанные методы обладают достаточно большой
вычислительной сложностью и не позволяют анализировать определенные типы
угроз ИБ в режиме реального времени или близкого к ним. В дальнейшем во
второй главе будет предложен интегрированный метод на основе фрактального
анализа телекоммуникационного трафика, лишенный этих недостатков.
Рассмотрены существующие методики, базирующиеся на известных
статистических принципах и теоремах, позволяющие вероятностно определить
риск ИБ в телекоммуникационных сетях. Во второй главе предложена
модернизированная методика вероятностного определения рисков ИБ с учетом
различных типов уязвимостей телекоммуникационной системы. Рассмотрены
известные программные средства анализа рисков ИБ. Отмечено, что в основном
это импортные и достаточно дорогие продукты. Предложен алгоритм на основе
интегрированного метода на основе фрактального анализа, который может
служить основой для фрактального индикатора состояния телекоммуникационной
системы.
Из анализа следует, что оценка рисков ИБ носит вероятностный характер.
Действительная угроза ИБ ИС телекоммуникационной компании из группы угроз
(рисков) ИБ может быть определена только лишь с некоторой степенью
вероятности. Показано, что процедура оценки рисков ИБ может быть реализована
в виде набора простейших испытаний, каждый из которых определяется тензором
испытания. Величины компонентов обусловливаются законами распределения
контролируемых характеристик. Предложен метод, позволяющий, из множества
доступных простейших испытаний возможность выбрать такую
последовательность, которая обеспечивает наибольшую скорость проведения
испытания процесса оценки рисков ИБ ИС телекоммуникационной компании.
Предложенная вероятностная модель обеспечивает возможность реализации
149
распределенных систем оценки рисков ИБ, используемых в компьютерных сетях,
для каждого из уровней иерархии классификации угроз ИБ ИС
телекоммуникационной компании.
Предложен алгоритм анализа рисков ИБ телекоммуникационной системы
на основе вероятностного подхода, позволяющий учитывать все возможные
уязвимости, а также проводить тестирование (опрос) узла телекоммуникационной
сети на предмет их наличия. Также предложена модификация алгоритма,
позволяющая учитывать только одну самую информативную проверку для
каждой уязвимости.
В третьей главе рассмотрены известные методы расчета фрактальных
параметров (показателя Херста, корреляционной размерности, размерности
пространства вложений) применительно к телекоммуникационному трафику.
Проведен расчет фрактальных параметров телекоммуникационного трафика
в различном состоянии сети: нормальном; при наличии сетевой атаки во всем
интервале исследования и при наличии сетевой атаки на некотором временном
промежутке фиксированной длительности.
Доказано, что по значениям показателя Херста, корреляционной
размерности нельзя однозначно судить о наличии сетевой атаки.
Показано, что показатель Херста является индикатором сетевой атаки
только в случае, когда DDoS-атака происходит на всем временном интервале
исследования.
Доказано, что при любых ситуациях о наличии сетевой атаки можно судить
по форме фазового аттрактора системы.
Определен вид фазового аттрактора телекоммуникационного трафика в
различном состоянии сети: нормальном; при наличии сетевой атаки во всем
интервале исследования и при наличии сетевой атаки на некотором временном
промежутке фиксированной длительности.
Предложен алгоритм расчета заполненности фазового пространства
фазовыми траекториями на основе анализа цвета линий на изображении фазового
портрета системы.
150
Предложен алгоритм работы фрактального индикатора состояния сети на
основе расчета фрактальных мер и фазового аттрактора телекоммуникационного
трафика.
Доказано, что в состоянии сетевой атаки показатель Херста меньше 0,5, то
есть происходит утрата самоподобия трафика, однако это имеет место только в
том случае, когда сетевая атака длится на всем временном интервале
исследования.
Доказано, что в состоянии сетевой атаки корреляционная размерность
меньше 9, однако это имеет место только в том случае, когда сетевая атака длится
на всем временном интервале исследования.
Разработано программное обеспечение для определения процента
заполненности фазовыми траекториями фазового пространства.
Доказано, что различный уровень нагрузки сети в нормальном состоянии
(без сетевой атаки) не приводит к большому влиянию на значения фрактальных
параметров.
Основные результаты, полученные в диссертационной работы, состоят в
следующем.
1. Математическая модель телекоммуникационного трафика на основе
набора фрактальных параметров, справедливая для различных состояний
телекоммуникационного трафика (нормального, загруженного и при наличии
сетевых атак).
2. Методика определения телекоммуникационного трафика по виду
фазового аттрактора.
3. Алгоритм работы индикатора состояния телекоммуникационного
трафика, базирующегося на расчёте фрактальных параметров и определении
фазового портрета.
4. Вероятностная модель анализа рисков ИБ и алгоритм направленного
поиска рисков ИБ корпоративной сети телекоммуникаций.
151
СПИСОК СОКРАЩЕНИЙ И УСЛОВНЫХ ОБОЗНАЧЕНИЙ
ИБ – информационная безопасность
ИВ – источник воздействия
ИС – информационная система
ИУ – измерительное устройство
ЛВС – локальная вычислительная сеть
ОО – объект оценки
ПО – программное обеспечение
СО – средства оценки
УВ – устройство вывода
УС – устройство связи
DDoS – Distributed Denial of Service
DoS – Denial of Service
FRAP – Facilitated Risk Analysis Process
HTTP – HyperText Transfer Protocol
ICMP – Internet Control Message Protocol
IP – Internet Protocol
LAN – Local Area Network
MSAT – Microsoft Security Assessment Tool
TCP – Transmission Control Protocol
UDP – User Datagram Protocol
VoIP – Voice over IP
WAN – Wide Area Network
152
СПИСОК ЛИТЕРАТУРЫ
1. Аверьянов, С.В. Описание системы диагностики знаний, основанной на
вероятностных критериях оценки / С.В. Аверьянов, Б.Я. Лихтциндер, В.В. Пугин //
Педагогические измерения. – 2005. - №1. – С. 96-104.
2. Ажмухамедов, И.М. Введение метрических характеристик для решения
задачи оценки и управления рисками / И.М. Ажмухамедов, О.Н. Выборнова //
Прикаспийский журнал: управление и высокие технологии. – 2015. – № 4 (32). – С.
10-22.
3. Ажмухамедов, И.М. Управление рисками информационной безопасности в
условиях неопределенности / И.М. Ажмухамедов, О.Н. Выборнова, Ю.М.
Брумштейн // Проблемы информационной безопасности. Компьютерные системы. –
2016. – Т. 1. – С. 7-14.
4. Ажмухамедов, И.М. Формализация понятий приемлемого и толерантного
риска / И.М. Ажмухамедов, О.Н. Выборнова // Инженерный вестник Дона. – 2015. –
Т. 37. – № 3. – С. 63.
5. Азаров А.А. Вероятностно-реляционные модели и алгоритмы обработки
профиля уязвимостей пользователей при анализе защищенности персонала
информационных систем от социоинженерных атак: дис. ... канд. тех. наук: 05.13.19
/ Азаров Артур Александрович. - СПб., 2013. - 232 с.
6. Александров, В.В. Алгоритмы и программы структурного метода
обработки данных / В.В. Александров, Н.Д. Горский. – Л.: Наука, - 1983. - 125 с.
7. Астахов А. Актуальные вопросы выявления сетевых атак [электронный
ресурс] / А. Астахов URL:
http://www.infosecurity.ru/_gazeta/content/030211/article07.html#art6. (дата обращения
21.12.2017)
8. Ахутин В.М. Биотехнические системы / В.М. Ахутин. – Л.: ЛГУ, - 1979. -
257 с.
9. Баранова, Е.К. Методики анализа и оценки рисков информационной
безопасности / Е.К. Баранова Е.К. // Вестник Московского университета им. С.Ю.
153
Витте. Серия 3: Образовательные ресурсы и технологии. – 2015. – № 1 (9). – С. 73–
79.
10. Баранова, Е.К. Методики и программное обеспечение для оценки
рисков в сфере информационной безопасности / Е.К. Баранова // Управление
риском. – 2009. – № 1 (49). – С. 15-26.
11. Баранова, Е.К. Процедура применения методологии анализа рисков
OCTAVE в соответствии со стандартами серии ИСО/МЭК / Е.К. Баранова, А.С.
Забродоцкий // Образовательные ресурсы и технологии. – 2015. – №2(10). – С. 73-
80.
12. Брумштейн, Ю.М. Анализ некоторых моделей группового управления
рисками / Ю.М. Брумштейн, О.Н. Выборнова // Прикаспийский журнал: управление
и высокие технологии. – 2015. – № 4 (32). – С. 64-72.
13. Брумштейн, Ю.М. Дифференцированное управление вероятностями
неблагоприятных событий и ущербов от них в рамках риск-менеджмента / Ю.М.
Брумштейн, О.Н. Выборнова // Надежность и качество сложных систем. – 2016. – №
1 (13). – С. 63-72.
14. Буранова, М.А. Анализ статистических характеристик
мультимедийного трафика узла агрегации в мультисервисной сети / М.А. Буранова,
В.Г. Карташевский, М.С. Самойлов // Радиотехнические и телекоммуникационные
системы. – 2014. – № 4 (16). – С. 63-69.
15. Бурса, М.В. DDoS-атаки на информационно-телекоммуникационные
системы: управление рисками / М.В. Бурса, Ю.Г. Пастернак // Информация и
безопасность. – 2013. – Т. 16. – № 2. – С. 255-256.
16. Бурса, М.В. Мультисервисные сети как объект защиты информации в
условиях DDoS-атак / М.В. Бурса, Г.А. Остапенко // Информация и безопасность. –
2015. – Т. 18. – № 2. – С. 156-177.
17. Вихляев, С.А. Применение программной системы DIGITAL SECURITY
OFFICE для проведения аудита безопасности информационной системы обработки
персональных данных / С.А. Вихляев, И.В. Белов, М.А. Кононова // Молодой
ученый. – 2014. – № 8. – С. 75-78.
154
18. Вихров, Н.М. Анализ информационных рисков / Н.М. Вихров, А.П.
Нырков, Ю.Ф. Каторин, А.А. Шнуренко, А.В. Башмаков, С.С. Соколов, Р.А.
Нурдинов // Морской вестник. – 2015. – № 3 (55). – С. 81-85.
19. Воронцов, К.В. Курс лекций: Математические методы обучения по
прецедентам (теория обучения машин). 141 с. [электронный ресурс] / К.В. Воронцов
// URL: http://docplayer.ru/2064-K-v-voroncov-http-www-ccas-ru-voron-voron-ccas-
ru.html (дата обращения 12.02.2018)
20. Воронцов, К.В. Лекции по статистическим байесовским алгоритмам
классификации / К.В. Воронцов // Вычислительные методы обучения по
прецедентам. – 2008. – 39 с. [электронный ресурс] / URL:
http://www.ccas.ru/voron/download/Bayes.pdf. (дата обращения 12.12.2017)
21. Выборнова О.Н. Онтологическая модель процесса оценки рисков / О.Н.
Выборнова // Вестник Астраханского государственного технического университета.
Серия: Управление, вычислительная техника и информатика. – 2015. – № 2. – С. 97-
102.
22. Гетьман, А.И. Анализ сетевого трафика в режиме реального времени:
обзор прикладных задач, подходов и решений / А.И. Гетьман, Ю.В. Маркин, Е.Ф.
Евстропов, Обыденков Д.О. — Труды ИСП РАН, 2017. — Т.29(3) — С.117-150.
DOI: 10.15514/ISPRAS-2017-29(3)-8.
23. Глатенко. В.А. Основы информационной безопасности: учебное
пособие для вузов / В.А. Глатенко. – М.: ИНТУИТ, 2012 – 205 с.
24. Головко, В.А. Нейросетевые методы обработки хаотических процессов:
VII Всероссийская научно-техническая конференция «Нейроинформатика 2005» /
В.А. Головко — М: МИФИ, 2005. — С.43-91
25. Горохов, Д.Е. Методика формирования рационального состава
комплекса средств защиты информации на основе априорной оценки риска: дис.
канд. тех. наук: 05.13.19 /Горохов Денис Евгеньевич. – Орел: Академия ФСО РФ,
2010. – 140 с.
26. ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации.
Защита информации. Основные термины и определения" (утв. и введен в действие
155
Приказом Ростехрегулирования от 27.12.2006 N 373-ст). - М.: Стандартинформ,
2006. - 18 с.
27. ГОСТ Р 52872-2012 Интернет-ресурсы. Требования доступности для
инвалидов по зрению (утв. и введен в действие Приказом Росстандарта от
29.11.2012 N 1789-ст). - М.: Стандартинформ, 2012. - 46 с.
28. ГОСТ Р 53114-2008. Защита информации. Обеспечение
информационной безопасности в организации. Основные термины и определения
(утв. и введен в действие Приказом Ростехрегулирования от 18.12.2008 N 532-ст). -
М.: Стандартинформ, 2008. - 16 с.
29. ГОСТ Р ИСО/МЭК 13335-1-2006. Национальный стандарт Российской
Федерации. Информационная технология. Методы и средства обеспечения
безопасности. Часть 1. Концепция и модели менеджмента безопасности
информационных и телекоммуникационных технологий" (утв. и введен в действие
Приказом Ростехрегулирования от 19.12.2006 N 317-ст). - М.: Стандартинформ,
2006. - 19 с.
30. ГОСТ Р ИСО/МЭК 15408-1-2012. Национальный стандарт Российской
Федерации. Информационная технология. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных технологий. Часть
1-3. Введение и общая модель" (утв. и введен в действие Приказом Росстандарта от
15.11.2012 N 814-ст). – М.: Стандартинформ, 2012. – 50 С.
31. Громов, Ю.Ю. Применение теории нечетких множеств в решении
задачи оценки рисков сетевых информационных систем / Ю.Ю. Громов, О.Г.
Иванова, С.В. Проскуряков, М. Аль-Балуши // Современные информационные
технологии. – 2013. – № 17. – С. 82-91.
32. Губарева, О.Ю. Иерархическая вероятностная модель диагностики
реализации угрозы информационной безопасности информационной системы
телекоммуникационной компании / О.Ю. Губарева, В.В. Пугин // Актуальные
проблемы информационной безопасности. Теория и практика использования
программно-аппаратных средств: Сборник трудов IХ Всероссийской научно-
технической конференции – Самара, 2015. – С. 215-221
156
33. Губарева, О.Ю. Иерархическая вероятностная модель мониторинга
угрозы информационной безопасности информационной системы / О.Ю. Губарева,
О.В. Осипов, В.В. Пугин // Проблемы техники и технологий телекоммуникаций:
Сборник трудов XVII Международной научно-технической конференции – Самара,
2016. – С. 414-415.
34. Губарева, О.Ю. Комплексные системы аудита безопасности
информационных систем / О.Ю. Губарева, А.А. Воробьев // тезисы трудов XXIII
Российской научной конференции профессорско-преподавательского состава,
научных сотрудников и аспирантов ПГУТИ – Самара, 2016. – С. 66 – 67.
35. Губарева, О.Ю. Методика CRAMM применяемая для анализа рисков в
сфере информационной безопасности / О.Ю. Губарева, В.В. Пугин // тезисы
докладов XIX Российской научной конференции профессорско-преподавательского
состава, научных сотрудников и аспирантов – Самара, 2012. – С. 51.
36. Губарева, О.Ю. Методика FRAP применяемая для анализа рисков в
сфере информационной безопасности / О.Ю. Губарева, В.В. Пугин // тезисы
докладов XIX Российской научной конференции профессорско-преподавательского
состава, научных сотрудников и аспирантов – Самара, 2012. – С. 50.
37. Губарева, О.Ю. Методика RISK WATCH применяемая для анализа
рисков в сфере информационной безопасности / О.Ю. Губарева, В.В. Пугин //
тезисы докладов XIX Российской научной конференции профессорско-
преподавательского состава, научных сотрудников и аспирантов – Самара, 2012. –
С. 53.
38. Губарева, О.Ю. Методика оценки рисков информационной
безопасности на предприятиях малого и среднего бизнеса / О.Ю. Губарева, В.В.
Пугин // тезисы докладов XX Российской научной конференции профессорско-
преподавательского состава, научных сотрудников и аспирантов ПГУТИ – Самара,
2013. – С. 53 – 54.
39. Губарева, О.Ю. Обзор методик анализа рисков информационной
безопасности информационной системы предприятия / О.Ю. Губарева, В.В. Пугин //
T-comm Серия: Телекоммуникации и транспорт. – 2012. – №6. – С. 54 – 57.
157
40. Губарева, О.Ю. Обобщенная модель оценки рисков информационной
безопасности / О.Ю. Губарева, А.А. Матюшкина // тезисы докладов XX Российской
научной конференции профессорско-преподавательского состава, научных
сотрудников и аспирантов ПГУТИ – Самара, 2013. – С. 56 – 57.
41. Губарева, О.Ю. Особенности методики MICROSOFT применяемой для
анализа рисков в сфере информационной безопасности / О.Ю. Губарева, В.В. Пугин
// тезисы докладов XIX Российской научной конференции профессорско-
преподавательского состава, научных сотрудников и аспирантов – Самара, 2012. –
С. 52.
42. Губарева, О.Ю. Оценка рисков информационной безопасности / О.Ю.
Губарева, В.В. Пугин // Проблемы техники и технологий телекоммуникаций:
Сборник трудов XVII Международной научно-технической конференции – Самара,
2016. – С. 484-485.
43. Губарева, О.Ю. Оценка рисков информационной безопасности в
телекоммуникационных сетях / О.Ю. Губарева // Вестник Волжского университета
имени В.Н. Татищева. Серия Информатика. – 2013. – №2 (21). – С. 76 – 81.
44. Губарева, О.Ю. Расчет рисков в системе аудита информационной
безопасности / О.Ю. Губарева, В.В. Пугин // Проблемы техники и технологий
телекоммуникаций: Сборник трудов XIV Международной научно-технической
конференции – Самара, 2013. – С. 218 – 220.
45. Губарева, О.Ю. Риск-ориентированный подход для управления
информационной безопасности предприятия / О.Ю. Губарева, В.В. Пугин //
Студенческая наука для развития информационного общества: Сборник трудов I
Всероссийской научно-технической конференции – Ставрополь, 2015. – С. 99-101.
46. Губарева, О.Ю. Современные методики, применяемые для оценки угроз
и информационных систем / О.Ю. Губарева, В.В. Пугин // Инфокоммуникационные
технологии. – 2013. – Том 11. – №1. – С. 100 – 105.
47. Губарева, О.Ю. Современные экономически эффективные методы
оценки рисков информационной безопасности информационных систем
158
предприятий крупного и среднего бизнеса / О.Ю. Губарева, В.В. Пугин // Вестник
Алматинского университета энергетики и связи. – 2014. – №3(26). – С. 39-51.
48. Губарева, О.Ю. Средства анализа сетевого трафика в
инфокоммуникационных сетях / О.Ю. Губарева, О.В. Осипов, А.О. Почепцов, В.В.
Пугин // XXIV Российской научно-технической конференции профессорско-
преподавательского состава, научных сотрудников и аспирантов: тезисы докладов –
Самара, 2017. – С. 111.
49. Губарева, О.Ю. Средства сбора статистики о трафике в
инфокуммуникационных сетях / О.Ю. Губарева, А.О. Почепцов // XXIV Российской
научно-технической конференции профессорско-преподавательского состава,
научных сотрудников и аспирантов: тезисы докладов – Самара, 2017. – С. 112.
50. Губарева, О.Ю. Статистический анализ уязвимостей информационной
безопасности информационных систем / О.Ю. Губарева, В.В. Пугин // Проблемы
техники и технологий телекоммуникаций: Сборник трудов XVI Международной
научно-технической конференции – Уфа, 2015. – Т. 3. – С. 175-177.
51. Дешина, А.Е. Перспективы исследований мультисерверных систем,
подвергающихся векторным DDoS-атакам / А.Е. Дешина, И.Я. Львович, В.И.
Белоножкин, И.В. Шевченко // Информация и безопасность. – 2014. – Т. 17. – № 4. –
С. 568-573.
52. Дешина, А.Е. Управление рисками мультисерверных систем в случае
синхронных DDoS-атак на их компоненты / А.Е. Дешина, И.Я. Львович //
Информация и безопасность. – 2014. – Т. 17. – № 2. – С. 324-327.
53. Едемская, Е.Н. Исследование сетевого трафика с помощью функции
Херста / Е.Н. Едемская, Д.В. Бельков // Информатика и кибернетика. – 2015. – № 2.
– С. 39-46.
54. Ермилов, Е.В. Риск-анализ распределенных систем на основе
параметров рисков их компонентов / Е.В. Ермилов, Е.А. Попов, М.М. Жуков, О.Н.
Чопоров // Информация и безопасность. – 2013. – Т. 16. – № 1. – С. 123-126.
55. Ершов, В.А. способы организации и методы противодействия
DoS/DDoS-атакам / В.А. Ершов, У.В. Михайлова // Безопасность информационного
159
пространства: Сборник трудов XIII Всероссийской научно-практической
конференции студентов, аспирантов и молодых учёных, 2015. – С. 73-79.
56. Ефимов, В.В. Проектирование интеллектуальных автоматизированных
систем управления связью / В.В. Ефимов, Л.Г. Осовецкий, А.В. Суханов //
Открытые семантические технологии проектирования интеллектуальных систем. –
2017. – № 7. – С. 397-398.
57. Ечмаева, Г.А. Защита интернет-серверов от DDoS-атак / Г.А. Ечмаева,
А.Г. Керимов // Инновации. Интеллект. Культура: Сборник трудов XXI
Всероссийской (с международным участием) научно-практической конференции
молодых ученых и студентов. – Тюмень, 2014. – С. 95-100.
58. Жуков М.М. Расчет риска распределенной системы при синхронных и
асинхронных атаках на её компоненты / М.М. Жуков, Е.В. Ермилов, И.Л.
Батаронов, В.Н. Деревянко // Информация и безопасность. – 2012. – Т. 15. – № 4. –
С. 581-582.
59. Жуков, М.М. Построение динамической риск-модели для компонент
распределенной системы на основе заданного закона распределения ущерба / М.М.
Жуков, Е.В. Ермилов, О.Н. Чопоров, А.В. Бабурин // Информация и безопасность. –
2012. – Т.15. – № 4. – С. 449-460.
60. Зубков Е.В. Алгоритмы и методики интеллектуального анализа
событий информационной безопасности в сетях и системах телекоммуникаций: дис.
... канд. тех. наук: 05.12.13 / Зубков Евгений Валерьевич. - Новосибирск, 2016. – Том
1. -179 с.
61. Зубков, Е.В. Методы интеллектуального анализа событий
информационной безопасности в информационно-телекоммуникационных сетях /
Е.В. Зубков, В.М. Белов // Информационная безопасность в современном обществе -
РОСИНФОКОМ 2016: Сборник научно-практической конференции. –
Новосибирск, 2016. – С. 54-57.
62. Казангапова, Б.А. Анализ автоматизированных информационных
систем обеспечения информационной безопасности / Б.А. Казангапова, Н.Ш.
160
Баратова, Г.С. Жилкишбаева // Вестник Казахской академии транспорта и
коммуникаций им. М. Тынышпаева. – 2014. – № 1 (86). – С. 119.
63. Калашников, А.О. Атаки на информационно-технологическую
инфраструктуру критически важных объектов: оценка и регулирование рисков:
монография / А.О. Калашников, Е.В. Ермилов, О.Н. Чопоров, К.А. Разинкин, Н.И.
Баранников // под ред. чл.-корр. РАН Д.А. Новикова. - Воронеж: Науч. кн., 2013. -
160 с.
64. Калашников, А.О. Управление информационными рисками
организационных систем: общая постановка задачи / Калашников А.О. //
Информация и безопасность. – 2016. – Т. 19. – № 1. – С. 36-45.
65. Карандеев, К.Б. Электрические методы автоматического контроля / К.Б.
Карандеев. – М.: Энерния, 1965. – 384 с.
66. Каторин, Ю.Ф. Определение уровня защиты объекта на основании
анализа информационных рисков / Ю.Ф. Каторин, Р.А. Нурдинов // Вестник
КИГИТ. – 2014. – № 7 (48). – С. 31-40.
67. Киреева, Н.В. Исследование самоподобного трафика с использованием
пакета FRACTAN / Н.В. Киреева, М.А. Буранова // T-Comm: Телекоммуникации и
транспорт. – 2012. – Т. 6. – № 5. – С. 50-52.
68. Киселева, И.А. Информационные риски: методы оценки и анализа /
И.А. Киселева, С.О. Искаджян // ИТ-портал. – 2017. – №2 (14). [электронный
ресурс] / URL: http://itportal.ru/science/economy/informatsionnye-riski-metody-otsenk/
(дата обращения 14.04.2016)
69. Колиас, К. DDoS в интернете вещей: MIRAI и другие / К. Колиас, Г.
Камбуракис, А. Ставру, Д. Воас // Открытые системы. СУБД. – 2017. – № 4. – С. 12-
15.
70. Коломойцев В.С. Сравнительный анализ подходов к организации
безопасного подключения узлов корпоративной сети к сети общего доступа / В.С.
Коломойцев // Кибернетика и программирование. – 2015. – № 2. – С. 46-58.
71. Кореневский, Н.А. Полифункциональная интерактивная
диагностическая система / Н.А. Кореневский, В.Н. Гадалов, О.И. Позднякова //
161
Приборы и приборные системы: тезисы докладов конференции – Тула, 1994. - С. 35
-36.
72. Zeg, И.В. Оценка рисков в компьютерных сетях критических
инфраструктур / И.В. Котенко, И.Б. Саенко, Е.В. Дойникова // Инновации в науке. –
2013. – № 16-1. – С. 84-88.
73. Котенко, И.В. Применение графов атак для оценки защищенности
компьютерных сетей и анализа событий безопасности / И.В. Котенко, А.А. Чечулин
// Системы высокой доступности. – 2013. – Т. 9. – № 3. – С. 103-110.
74. Круглов, В.В. Нечеткая логика и искусственные нейронные сети / В.В.
Круглов, М.И. Дли, Р.Ю. Голунов – М.: Физматлит, 2001. – 224 c.
75. Куканова, Н. Современные методы и средства анализа и управления
рисками информационных систем компаний / Н. Куканова // Digital Securitu
[Электронный ресурс] / URL: http://www.dsec.ru/about/articles/ar_compare/ (дата
обращения: 12.06.2016).
76. Кураленко, А.И. Методика аудита информационной безопасности
информационых систем / А.И. Кураленко // Проблемы информационной
безопасности. Компьютерные системы. – 2015. – № 4. – С. 48-51.
77. Кучук, Г.А. Аналіз та моделі самоподібного трафіка / Г.А. Кучук, О.О.
Можаев, О.В. Воробьев // Авиационно-космическая техника и технология. – 2006. –
№ 9 (35). – С. 173-180.
78. Кучук, Г.А. Метод агрегування фрактального трафіка / Г.А. Кучук, О.О.
Можаєв, О.В. Воробйов // Радіоелектронні та комп’ютерні системи. – 2006. – № 6
(18). – С. 181-188.
79. Кучук, Г.А. Фрактальный анализ процессов, структур и сигналов / Г.А.
Кучук, А.А. Можаев, К.М. Руккас // Коллективная монография под ред. Р.Е.
Пащенко – Х.: ЭкоПерспектива, 2006. – 360 с.
80. Лихтциндер, Б.Я. Вероятностные методы контроля и диагностирования
многопараметрических объектов / Б.Я. Лихтциндер, Л.Б. Иванова // Деп. в
«Информприбор» (г. Москва). – 1987. – №3682.
162
81. Лихтциндер, Б.Я. Использование вероятностных методов оценки
знаний при разработке тестирующих модулей распределенных тренингсистем / Б.Я.
Лихтциндер, С.В. Аверьянов, В.В. Пугин, В.В. Шигаев // Инфокоммуникационные
технологии. – 2003. – Т.1. – №3. – С. 40-45.
82. Лихтциндер, Б.Я. Программное обеспечение автоматизированных
систем диагностирования узлов радиоэлектронной аппаратуры / Б.Я. Лихтциндер,
Н.П. Байда, В.Т. Шпилевой, В.В. Снежко // Измерения, контроль, автоматизация. –
1984. – №4. – С. 33-44.
83. Лысенко А.Г. Методы и системы защиты информации,
информационная безопасность: дис. ... канд. тех. наук: 05.13.19 / Лысенко
Александр Георгиевич. – Санкт-Петербург, 2009 г. - 110 с.
84. Лысенко, А.Г. Моделирование безопасности информационных систем
на основании языка описания рисков / А.Г. Лысенко // Проблемы информационной
безопасности. Компьютерные системы. – 2008. – № 2. – С. 7-14.
85. Лысенко, А.Г. Расчет рисков нарушений информационной
безопасности в сетях с мобильными сегментами / А.Г. Лысенко // Проблемы
информационной безопасности. Компьютерные системы. – 2007. – № 2. – С. 100-
104.
86. Львова А.В. Метод анализа и управления рисками безопасности
защищенной информационной системы: дис. ... канд. тех. наук: 05.13.01, 05.13.19 /
Львова Анастасия Владимировна. – М., 2009. - 198 с.
87. Мазов, Н.А. Классификация рисков информационной безопасности /
Н.А. Мазов, А.В. Ревнивых, А.М. Федотов // Вестник НГУ. Серия:
Информационные технологии. – 2011. – Т.9. – № 2. – С. 80-89.
88. Максименко, В.Н. Основные подходы к анализу и оценке рисков
информационной безопасности / В.Н. Максименко, Е.В. Ясюк // Экономика и
качество систем связи. – 2017. – № 2 (4). – С. 42-48.
89. Маликова, Е.Е. Оценка эффективности системы защиты облачной
инфраструктуры от DDoS-атак с помощью графических тестов / Е.Е. Маликова,
163
А.Ю. Маликов // Естественные и технические науки. – 2014. – № 9-10 (77). – С. 310-
311.
90. Малинецкий Г.Г., Потапов А.Б., Подлазов А.В. Нелинейная динамика:
Подходы, результаты, надежды / Г.Г. Малинецкий, А.Б. Потапов, А.В. Подлазов. –
Изд. 2-е. М.: КомКнига, 2009. – 280с.
91. Мещеряков, М.В. Исследование влияния метода сжатия цифрового
видеопотока систем видеонаблюдения на фрактальные свойства передаваемого в
сети пакетного трафика / М.В. Мещеряков, В.Г. Карташевский // T-Comm:
Телекоммуникации и транспорт. – 2015. – Т. 9. – № 10. – С. 17-21.
92. Можаев, А.А. Нейродинамическое прогнозирование
телекоммуникационного трафика средств космической связи / А.А. Можаев, А.А.
Подорожняк, О.В. Воробьев // Авиационно-космическая техника и технология. –
2006. – № 6 (32). – С. 67-70.
93. Моисеев Е.Ю. Об обнаружении и предотвращении DoS- и DDoS-атак в
сетях провайдеров регионального уровня / Е.Ю. Моисеев // Решетневские чтения. –
2012. – Т. 2. – № 16. – С. 672-673.
94. Нурдинов, Р.А. Оценка рисков безопасности информационной системы
на основе модели деструктивных состояний и переходов / Р.А. Нурдинов //
Региональная информатика и информационная безопасность: Сборник трудов.
Санкт-Петербургское Общество информатики, вычислительной техники, систем
связи и управления, 2015. – С. 301-306.
95. Оса, И. Анализ методов оценки рисков информационной безопасности.
2012 [электронный ресурс] / И. Оса URL: http://igorosa.com/analiz-metodov-ocenki-
riskov-informacionnoj-bezopasnosti/ (дата обращения 12.12.2015)
96. Осовецкий, Л.Г. Комплексный анализ уровня безопасности
информации цифровой телефонной станции / Л.Г. Осовецкий, В.В. Ефимов //
Системы управления, связи и безопасности. – 2016. – № 2. – С. 44-57.
97. Остапенко, А.Г. Предупреждение и минимизация последствий
компьютерных атак на элементы критической информационной инфраструктуры и
автоматизированные информационные системы критически важных объектов:
164
риск-анализ и оценка эффективности защиты / А.Г. Остапенко, Е.В. Ермилов, А.Н.
Шершень, Е.С. Соколова, И.В. Шевченко // Информация и безопасность. – 2013. –
Т. 16. – № 2. – С. 167-178.
98. Остапенко, Г.А. Информационные ресурсы инновационных проектов:
риск-моделирование в условиях DDoS-атак / Г.А. Остапенко, М.В. Бурса, Е.А.
Попов, С.С. Вяхирева // Информация и безопасность. – 2012. – Т. 15. – № 3. – С.
345-352.
99. Остапенко, Г.А. Оценка защищенности информационно-
телекоммуникационных систем, подвергающихся DDoS-атакам / Г.А. Остапенко,
М.В. Бурса, Н.И. Баранников, И.Л. Батаронов // Информация и безопасность. – 2013.
– Т. 16. – № 4. – С. 496-497.
100. Остапенко, Г.А. Построение функций ущерба и риска для
компьютерных атак, приводящих к нарушению доступности к информации / Г.А.
Остапенко, Е.В. Ермилов, А.О. Калашников // Информация и безопасность. – 2013.
– Т. 16. – № 2. – С. 207-210.
101. Официальный сайт Skybox security [электронный ресурс] /
URL:\\https://www.skyboxsecurity.com/ (д.о. 27.12.2017)
102. Официальный сайт АО "Лаборатория Касперского", Защита от сетевых
атак [электронный ресурс] / URL:
https://help.kaspersky.com/KIS4Mac/16.0/ru.lproj/pgs/88075.htm (дата обращения
10.10.2017)
103. Пархоменко, П.П. Основы технической диагностики: Оптимизация
алгоритмов диагностирования, аппаратные средства / П.П. Пархоменко, Е.С.
Согомонян; под ред. П.П. Пархоменко. – М.: Энергоиздат, 1981. – 319 с. – (Сер.
"Применение вычислительных машин в исследованиях и управлении
производством").
104. Петренко, С.А. Возможная методика построения системы
информационной безопасности предприятия [электронный ресурс] / С.А. Петренко
URL: http://bre.ru/security/13985.html (дата обращения 15.03.2016)
165
105. Пугин, В.В. Вероятностные методы дистанционного диагностирования
/ В.В. Пугин // Тезисы доклада XI Российской научной конференции ПГАТИ –
Самара, 2004. – С. 76-77.
106. Пугин, В.В. Распределенная система диагностирования на основе
вероятностных критериев оценки / В.В. Пугин // Тезисы доклада XIII Юбилейной
Российской научной конференции ПГАТИ – Самара, 2006. – С. 38.
107. Пугин, В.В. Эффективность применений вероятностных методов
диагностики в многопользовательской сетевой среде / В.В. Пугин, Л.Б. Иванова //
Проблемы техники и технологии телекоммуникаций: тезисы докладов VII
Международной научно-технической конференции – Самара, 2006. – С. 150-152.
108. Разумников С.В. Анализ возможности применения методов OCTAVE,
RISKWATCH, CRAMM для оценки рисков ИТ для облачных сервисов / С.В.
Разумников // Современные проблемы науки и образования. – 2014. – № 1. – С. 247.
109. Ратнер, Г.Л. Специализированная ЭВМ «ДИАМА-2» / Г.Л. Ратнер, К.Л.
Куликовский // Авторское свидетельство №385286 от 14.03.73 г.
110. Рекомендации по стандартизации. "Информационные технологии.
Основные термины и определения в области технической защиты информации. Р
50.1.053-2005" (утв. Приказом Ростехрегулирования от 06.04.2005 № 77-ст). - М.:
Стандартинформ, 2005. - 16 с.
111. Решения для телекоммуникационных компаний. [Электронный ресурс]
/ официальный сайт компании Jet Info (Инфосистемы Джет) — Режим доступа:
http://www.jet.msk.su/services_and_solutions/information_security/solutions_catalog/tele
com/index. php? print=y (дата обращения 15.08.2016)
112. Рюэль, Д. Странные аттракторы / Д. Рюэль, Ф. Такенс. – М.: Мир, 1981.
– С. 117-151.
113. Сайт MyDiv, Анализаторы, сниффиры [электронный ресурс] / URL:
http://soft.mydiv.net/win/cname72/cname80/ (дата обращения 28.11.2017)
114. Сатыбалдина, Д.Ж. Оценка рисков информационной безопасности на
основе нечеткой логики / Д.Ж. Сатыбалдина, А.А. Шарипбаев // Знания – онтологии
166
– теории: сборник трудов II Всероссийской конференции с международным
участием – Новосибирск, 2009. – С. 216-220.
115. Свиридов, А.П. Основы статистической теории обучения и контроля
знаний / А.П. Свиридов - М.: Высшая школа, 1981. - 262 с.
116. Свиридов, А.П. Условные и безусловные алгоритмы диагностического
контроля подготовки операторов ЭВМ /А.П. Свиридов. - М.: Моск. энерг. ин-т,
1987. - 69 с.
117. Семкина, А.А. Оценка уровня информационной безопасности
предприятия через остаточный риск / А.А. Семкина, А.М. Цыбулин // Вестник
ВолГУ. – 2012. – Серия 10. – Вып. 6. – С. 156-159.
118. Сердаков, А.С. Автоматический контроль и техническая диагностика /
А.С. Сердаков. – Киев: «Техника», 1971. – 244 с.
119. Сердюк, В. Автоматизация процесса визуализации и анализа рисков
сетевой безопасности компании [электронный ресурс] / В. Сердюк, Р. Ванерке //
Издание «Information Security». – 2014. – №1. –
URL:http://www.itsec.ru/articles2/Oborandteh/avtomatizatsiya-protsessa-vizualizatsii-i-
analiza-riskov-setevoy-bezopasnosti-kompanii (д.о. 27.12.2017)
120. Сердюк, В. Аудит информационной безопасности. BYTE Россия, 2006
г., №4 (92). [электронный ресурс] / В. Сердюк URL:
http://www.bytemag.ru/articles/detail.php?ID=6781 (дата обращения 17.12.2015)
121. Сидоров А.О. Модель и метод структурированной оценки риска при
анализе информационной безопасности: дис. ... канд. тех. наук: 05.13.19 / Сидоров
Алексей Олегович. - Санкт-Петербург, 2008 г. - 134 с.
122. Сидоров, А.О. Разработка методики структурированной оценки риска /
А.О. Сидоров, Ю.А. Торшенко, А.А. Павлютенков, Л.Г. Осовецкий // Научно-
технический Вестник СПбГУ ИТМО. Системы: управление, моделирование,
безопасность. – 2008. – № 55. – С. 108-110.
123. Созинова Е.Н. Метод обеспечения и проведения внутреннего аудита
информационной безопасности организаций на основе риск-ориентированного
167
подхода: дис. ... канд. тех. наук: 05.13.19 / Созинова Екатерина Николаевна. - Санкт-
Петербург, 2013. - 145 с.
124. Соколова, Э.С. Разработка архитектуры кластера программно-
конфигурируемой сети с централизованным управлением, устойчивого к
воздействиям DDoS-атак / Э.С. Соколова, В.В. Крылов, Д.А. Ляхманов, С.Н.
Капранов, Т.И. Балашова // Информационно-измерительные и управляющие
системы. – 2015. – Т. 13. – № 3. – С. 43-48.
125. Трубей, А.И. Оценка рисков информационной безопасности с
использованием существующей нормативно-правовой и методической базы / А.И.
Трубей // Информатика. – 2015. – № 2. – С. 102-114.
126. Тюрева Е.М. DoS и DDoS атаки / Е.М. Тюрева // Проблемы управления
в социально-экономических и технических системах: Сборник материалов XIII
Международной научной конференции, 2017. – С. 452-453.
127. Указ Президента РФ от 09.05.2017 N 203 "О Стратегии развития
информационного общества в Российской Федерации на 2017 - 2030 годы" / Дата
обновления: 09.05.2017. URL:
http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=216363&fld=134
&dst=1000000001,0&rnd=0.9796050912452562#07354886205792555 (дата обращения
12.01.2018)
128. Устинов, А.Г. Автоматизированные медико-технологические системы в
3-х частях: Монография / А.Г. Устинов, В.А. Ситарчук, Н.А. Кореневский; под ред.
А.Г. Устинова. – Курск: гос. техн. ун-т. Курск, - 1995. - 390 с.
129. Федер, Е. Фракталы / Е. Федер — М: Мир, 1991. — 254p.
130. ФЗ РФ «Об информации, информатизации и защите информации»
[электронный ресурс] / URL:
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=40541 (дата
обращения 10.05.2016)
131. Филиппова, О.К. Показатели херста для самоподобного трафика при
DDoS-атаках в IP-сетях /О.К. Филиппова // Информационное пространство в
аспекте гуманитарных и технических наук – 2016: Сборник трудов V
168
междисциплинарной межвузовской конференции студентов, магистрантов и
аспирантов. 2016. – С. 44-46.
132. Цыбулин, А.М. Аутсорсинг и информационная безопасность / А.М.
Цыбулин, В.А. Балдаев, А.А. Бешта // Известия ЮФУ. Технические науки. – 2014. –
№ 2 (151). – С. 114-120.
133. Чан, Т.З. Защита NTP-серверов от DDoS-атак / Т.З. Чан, Т.К. Ха //
Информационные технологии в науке, управлении, социальной сфере и медицине:
Сборник научных трудов Международной научной конференции. Национальный
исследовательский Томский политехнический университет, 2014. – С. 204-205.
134. Чечулин, А.А. Методика построения графов атак для систем анализа
событий безопасности / А.А. Чечулин // Инновации в науке. – 2013. – № 16-1. – С.
156-160.
135. Чусавитина, Г.Н. Управление рисками безопасности образовательно-
информационной среды с использованием Digital Security Office / Г.Н. Чусавитина,
М.О. Чусавитина // Применение новых технологий в образовании: Сборник трудов
XX Международной конференции. 2009. – С. 518-521.
136. Шангытбаева, Г.А. Анализ методов повышения эффективности
выявления распределенных сетевых атак / Г.А. Шангытбаева, А.А. Жумагулова, Ж.
Жумагалиева // Вестник Казахской академии транспорта и коммуникаций им. М.
Тынышпаева. – 2015. – № 2-3 (93). – С. 108-114.
137. Шарапов, А.В. Проблема определения понятия информационных
рисков / А.В. Шарапов // Безопасность информационных технологий. – 2010. – № 2.
— С. 44–48.
138. Шеври, Ф. Electric. [Электронный ресурс] / Ф. Шеври, Ф. Гели. //
Нечеткая логика. – 2009. – Выпуск № 31. URL: http://www.netkom.by/docs/N31-
Nechetkaya-logika.pdf, (дата обращения: 17.02.2016).
139. Шелухин О.И., Осин А.В., Смольский С.М. Самоподобие и фракталы.
Телекоммуникационные приложения / О.И. Шелухин, А.В. Осин, С.М. Смольский;
под редакцией О.И. Шелухина. – М.: ФИЗМАЛИТ, 2008. – 368 с. – ISBN 978-5-
9221-0949-9
169
140. Шелухин, О.И. Анализ изменений фрактальных свойств
телекоммуникационного трафика вызванных аномальными вторжениями / О.И.
Шелухин, А.А. Антонян // T-Comm: Телекоммуникации и транспорт. – 2014. – Т. 8.
– № 6. – С. 61-64.
141. Шелухин, О.И. Обнаружение аномальных выбросов в реальном
масштабе времени методами мультифрактального анализа / О.И. Шелухин, А.В.
Панкрушин // Нелинейный мир. – 2016. – Т. 14. – № 2. – С. 72-82.
142. Шеметова, М.А. Методы анализа угроз и уязвимостей информационной
безопасности организации / М.А. Шеметова, Е.В. Чернова // Информационные
технологии в науке, управлении, социальной сфере и медицине: Сборник научных
трудов II Международной конференции. – Томск, 2015. – С. 795-796.
143. Addie, R. Fractal traffic: measurements, modelling and performance
evaluation / R. Addie, M. Zukerman, T. Neame // Proc. of IEEE INFOCOM’95. 1995. –
P. 977-984.
144. Alberts, C. Executive overview of SEI MOSAIC: Managing for success
using a risk-based approach: technical note / Alberts Christopher, Dorofee Audrey,
Marino Lisa; CMU/SEI-2007-TN-008. 2007. - 33 P.
145. Aleksander M. Features of Denial of Service Attacks in Information Systems
/ M. Aleksander // Computer and mathematical methods in modeling. – 2012. – Vol. 2. –
№ 2. – 129-133 c.
146. Azhmukhamedov, I.M. Management of information security risks in a
context of uncertainty / I.M. Azhmukhamedov, O.N. Vybornova, Y.M. Brumshtein //
Automatic Control and Computer Sciences. – 2016. – Vol. 50. – no. 8. – pp. 657-663.
147. Bates S., Traffic Characterization and Modelling for Call Admission Control
Schemes on Asynchronous Transfer Mode Networks, A thesis submitted for the degree of
Doctor of Philosophy. The University of Edinburgh. 1997.
148. Beran J. Statistics for Long-Memory Processes / J. Beran. – New York:
Chapman&Hall, 1994. ISBN 0-412-04901-5, P. 326
170
149. Beran, J. Long-Range Dependence in Variable-bit-rate Video Traffic / J.
Beran, R. Sherman, M.S. Taqqu, W. Willinger // IEEE Transactions on Communications.
– 1995. – Vol. 43. – P. 1566-1579.
150. Bezdek, J. C. Pattern Recognition with Fuzzy Objective Function Algorithms
/ J. C. Bezdek. – New York: Plenum Press, 1981.
151. Bratko I. PROLOG Programming for Artificial Intelligence / I. Bratko. –
Addison-Wesley Pub Co. 2000. - 678 p.
152. Crovella, M.E. Self-Similarity in World Wide Web Traffic: Evidence and
Possible Causes / M.E. Crovella, A. Bestavros // Proc. of the Inter. Conf. on Measurement
and Modeling of Computer Systems (1996 ACM SIGMENT-RICS), May 1996.
153. De Assis, M.V.O. Scorpius: sflow network anomaly simulator / M.V.O. De
Assis, M.L. Proença // Journal of Computer Science. – 2015. – Vol. 11. – no. 4. – pp. 662-
674.
154. Dillaway, B. Security Policy Assertion Language (SecPAL) Specification 1.0
/ B. Dillaway, J. Hogg // Microsoft, 2007. — 51 p.
155. Goel, S. Information security risk assessment – a matrix-based approach / S.
Goel, V. Chen. – University at Albany: SUNY, 2005
156. Guide for Applying the Risk Management Framework to Federal Information
Systems. // A Security Life Cycle Approach: NIST 800–37:2010. – Gaithersburg: NIST,
2010. – 93 p.
157. Harshna, Kaur N. Fuzzy Data Mining Based Intrusion Detection System
Using Genetic Algorithm. January 2014 [Электронный ресурс] / URL:
http://www.ijarcce.com/upload/2014/january/IJARCCE3I__a_harshna_fuzzy.pdf, (дата
обращения: 21.04.2017).
158. Hoo K., How much is enough? A risk-management approach to Computer
Security: working paper / Hoo Kevin J. Soo; Consortium for research on Information
Security and Policy (CRISP), Stanford University. 2000. - 99 p.
159. Introducing OCTAVE Allegro: Improving the Information Risk Assessment
Process – Software Engineering Institute, 2007. 154 P.
171
160. IS0/IEC 14252-1996 (ANSI/IEEEStd1003.0-1995) Information technology –
Guide to the POSIX Open Systems Environment (OSE).
161. ISO/IEC 13335-1:2004. Information technology. Security techniques.
Management of information and communications technology security. Part 1: Concepts
and models for information and communications technology security management.
162. ISO/IEC 27001:2005(E) Information technology - Security techniques -
Information security management systems - Requirements.
163. ISO/IEC 27002:2013 "Информационные технологии. Методы
обеспечения безопасности. Свод правил по управлению защитой информации"
(Information technology - Security techniques - Code of practice for information security
controls).
164. ISO/IEC Guide 73:2002. Risk management. Vocabulary. Guidelines for use
in standards.
165. Joh, H. A Framework for Software Security Risk Evaluation using the
Vulnerability Lifecycle and CVSS Metrics / H. Joh, Y.K. Malaiya // Proc. International
Workshop on Risk and Trust in Extended Enterprises, 2010. – P. 430-434.
166. Jones, A. Risk management for computer security / A. Jones, D. Ashenden –
Elsevier Butterworth-Heinemann, 2005. – 297 p.
167. Kandel, A. Fuzzy Techniques in Pattern Recognition / A. Kandel. – New
York: John Wiley, 1982.
168. Karpinski M.P. Modeling network traffic computer network in
implementation attacks such as DOS/DDOS. / M.P. Karpinski // Information Security,
American Psychological Association. Ethical standards of psychologists. Washington,
DC: American Psychological Association. – 2011. – №1 (5). – pp. 143 -146.
169. Karpinskyy, M. Reliability of RSA Algorithm and its Computational
Complexity / M. Karpinskyy, Y. Kinakh // Computing. – 2003.– Vol. 2. – Issue 3. – pp.
119-122.
170. Kaufmann, M. Design Goals for ACL2 / M. Kaufmann, J.S. Moore // Proc.
of 3-rd International School and Symposium on Formal Techniques in Real Time and
Fault Tolerant Systems, 1994. – pp. 92-117.
172
171. Kihong, Park. The protocol stack and its modulating effect on self-similar
traffic / Park Kihong, Kim Gitae, M.E. Crovella // Self-Similar Network Traffic Analysis
and Performance Evaluation / Eds. K. Park and W. Willinger. – Wiley-Interscience, 1991.
172. Kiran, P.S. Investigating Cellular Automata Based Network Intrusion
Detection System For Fixed Networks (NIDWCA) / P. Kiran Sree, I. Ramesh Babu //
Advanced Computer Theory and Engineering, International Conference. - 2008. - P. 153-
156.
173. Kugiumtzis, D. State space reconstruction paramete R/S in the analysis of
chaotic time series – the role of the time window length, 1996.
174. Leland, W. On the selfsimilar nature of IP-trafic / W. Leland, M. Taqqu, W.
Willinger // IEEE/ACM Transactions on Networking. – 1997. – № 3. – P. 423-431
175. Lichtensteir, S. Factors in the Selection of s Risk Assessment Method / S.
Lichtensteir // Information Management & Computer Security. – 1993. – Vol. 4. – Iss. 4.
— P. 20–22.
176. Matteo, P. A UML-compatible formal language for system architecture
description / P. Matteo, R. Matteo, D. Mandriolil // Dipartimento di Elettronica ed
Informazione, Politecnico di Milano and 2CNR IEIIT-MI, Milano, Italy, 2004. – 12 p.
177. Microsoft Corporation. The Security Risk Managment Guid / Microsoft
Solutions for Security and Compliance and Microsoft Security Center of Excellence // San
Francisco, California, USA, 2006, 129 P.
178. Molnar S., Vidacs A. Fractal Characterization of Network Traffic from
Parameter Estimation to Application. – Ph. D. dissertation. – Budapest Univ. of
Technology and Economics, Dept. of Telecommunications and Telematics. – Budapest,
2000.
179. nCircle Vulnerability Scoring System [электронный ресурс] / URL:
\\http://www.ncircle.com/htmldatasheets/Vulnerability_Scoring_System/index/html (д.о.
16.04.2106)
180. Norros I. A storage model with self-similar input / I. Norros // Queueing Syst.
– 1994. – Vol. 16. – P. 387-396.
173
181. Nurohman, H. Traffic anomaly based detection: anomaly detection by self-
similar analysis / H. Nurohman, Y. Purwanto, Hafidudin // ICCEREC 2015 - International
Conference on Control, Electronics, Renewable Energy and Communications, 2015. – С.
1-6.
182. Ou, X. Quantitative Security Risk Assessment of Enterprise Networks / X.
Ou, A. Singhal – NY: Springer, 2011. – 27 p.
183. Owre, S. PVS: A Prototype Verification System [электронный ресурс] / S.
Owre, N. Shankar, J. Rushby // Proc. of 11-th International Conference on Automated
Deduction, LNCS 607:748752, Springer. — 1992. URL: http://pvs.csl.sri.com/ (дата
обращения 14.08.2017).
184. Paxon, V. Wide-area traffic: The failure of Poisson modelling / V. Paxon, S.
Floyd // Proc. of the ACM Sigcomm’94. – London, 1994. – P. 257-268.F
185. Paxon, V. Wide-area Traffic: The Failure of Poisson Modelling / V. Paxon,
S. Floyd // IEEE/ACM Transactions on Networking. – 1995. – Vol. 3. – P. 226-244.
186. Peitgen, H.-O. Chaos and Fractals / H.-O. Peitgen, H. Jurgens, D.-N.Y.
Saupe. – Springer, 2004. – 864 p.
187. Peltier, Thomas R. Information security risk analysis. Auerbach 2001. ISBN
0-8493-0880-1.
188. Poolsappasit, N. Dynamic Security Risk Management Using Bayesian Attack
Graphs / N. Poolsappasit, R. Dewri, I. Ray // IEEE Trans. Dependable and Secure
Computing. – 2012. – Vol. 9. – no. 1. – P. 61-74.
189. Pugin, V. Remote automated reference system of the internist. Interactive
systems: The problem of human-computer ineraction / V. Pugin, S. Averjanov, L.
Pogodina // Proceeding of the International Conference. – Ulyanovsk, 2005. P. 60-65.
190. Shangytbaeva, G. Architecture and Program Realization of System of
Detection of Network Attacks to Denial of Service / G. Shangytbaeva, M. Karpinski //
International Conference on "Global Issues in Multidisciplinary Academic Research"
GIMAR-2015, Dubai, UAE, 0506 January, 2015.
191. Shangytbayeva, G.A. Research distributed attacks in computer networks /
G.A. Shangytbayeva, B.S. Akhmetov, R.N. Beysembekova, M.P. Karpinski, E.A.
174
Ospanov // Biosciences Biotechnology Research Asia. – 2015. – Т. 12. – № 1. – С. 737-
744.
192. Siemens. The total information security toolkit [электронный ресурс] /
URL: \\http://www.cramm.com (д.о. 16.04.2106)
193. Singhal, A. Security Risk Analysis of Enterprise Networks Using
Probabilistic Attack Graphs / Anoop Singhal, Ximming Ou. - Gaithersburg, Maryland:
NIST Interagency Report 778, National Institute of Standards and Technology, 2011. - 23
p.
194. Stoneburner, G. Risk Management Guide for Information Technology
Systems. Recommendations of the National Institute of Standards and Technology / G.
Stoneburner, Goquen A., Feringa A. – Gaithersburg, USA, 2002. – 55 p.
195. Takens F. Detecting Strange Attracto R/S in Turbulence // Dynamical
Systems and Turbulence. - Lecture Notes in Mathematics. - Berlin: Springer – Verlag. –
1981. – Vol. 898. – P. 366-381.
196. Taqqu M.S. A Bibliographical Guide to Self-Similar Processes and Long-
Range Dependence // Dependence in Probability and Statistics / Eds. E. Eberlein and M.S.
Taqqu. – Boston: Birkhauser, 1986. – P. 137-162.
197. Taylor L. Risk analysis tools & how they work [электронный ресурс] /
URL: http://www.riskwatch.com (д.о. 16.04.2106)
198. Vorster A. The quantification of Information Security Risk using Fuzzy
Logic and Monte-Carlo simulation: dissertation / Vorster Anita; supervisor Prof. L.
Labuschagne; Faculty of science, University of Johannesburg. 2005. - 400 p.
199. Waldorf, K. FLOOD protection / K. Waldorf // Boardwatch Magazine. –
2001. – Т. 15. – № 14. – С. 32-35.
200. Wenger, S. Error resilience support in H. 263+ / S. Wenger, G.D. Knorr, J.
Ott, F. Kossentini // IEEE Trans. Circuits Syst. Video Technol., Nov. – 1998. – Vol. 8. –
no. 7. – PP. 867–877.
201. Xia, Z. Enhancing DDoS Flood Attack Detection via Intelligent Fuzzy Logic
/ Z. Xia, S. Lu, J. Li. and J. Tang // Informatica. – 2010. – N. 34. – PP. 497–507.
175
202. Zadeh, L.A., Fuzzy sets. /L.A. Zadeh // Information and Control. – 1965 –
Vol. 8. – pp. 338–353.
203. Zegzhda, P.D. Detection of anomalies in behavior of the software with usage
of markov chains / P.D. Zegzhda, S.S. Kort, A.F. Suprun // Automatic Control and
Computer Sciences. – 2015. – Vol. 49. – no 8. – pp. 820-825.