Научный журнал
Современные наукоемкие технологии
ISSN 1812-7320
"Перечень" ВАК
ИФ РИНЦ = 1,021

МОДЕЛЬ ОЦЕНКИ ТРУДОЕМКОСТИ УСТРАНЕНИЯ ВРЕДОНОСНЫХ ВОЗДЕЙСТВИЙ В КОРПОРАТИВНЫХ СЕТЯХ ПЕРЕДАЧИ ДАННЫХ

Груздева Л.М. 1
1 Российский университет транспорта (МИИТ)
Распространение вредоносных программ, с помощью которых злоумышленники реализуют угрозы на информационные ресурсы компьютерных сетей, следует рассматривать как вредоносное воздействие. С помощью вредоносного программного обеспечения злоумышленники получают персональные данные пользователей и коммерческую тайну организаций, учетные данные от различных сервисов и систем, что позволяет совершать кибератаки на внутреннюю инфраструктуру сети. Причиной успешных атак на информационные ресурсы следует считать неэффективную организацию защитных механизмов корпоративных сетей передачи данных, не обеспечивающую требуемый уровень противодействия вредоносным воздействиям. В статье предложена математическая модель, на основе использования которой возможно определение наиболее важных характеристик процесса устранения вредоносных воздействий, в том числе математического ожидания времени устранения воздействий, математического ожидания времени поиска заданного числа вредоносных воздействий, дисперсии этих величин и т.д., в условиях ограниченного времени (ресурсов), а также при последовательном устранении вредоносных воздействий в режиме неограниченного времени. Использование предложенной математической модели позволит не только оценить трудоемкость устроения вредоносных воздействий в узлах сети, но оценить качество функционирования корпоративной сети в различные моменты времени в зависимости от начального числа вредоносных воздействий.
корпоративная сеть передачи данных
система защиты информации
вредоносное программное обеспечение
вредоносное воздействие
1. Методы и модели оценки инфраструктуры системы защиты информации в корпоративных сетях промышленных предприятий: монография / под ред. П.П. Парамонова. – СПб: Изд-во ООО «Студия «НП-Принт», 2012. – 115 с.
2. Шаньгин В.Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. – М.: ДМК, 2014. – 702 c.
3. Груздева Л.М. Повышение производительности корпоративной сети АСУ в условиях воздействия угроз информационной безопасности / Л.М. Груздева, М.Ю. Монахов // Известия высших учебных заведений. Приборостроение. – 2012. – Т. 55, № 8. – С. 53–56.
4. Монахов Ю.М. Теоретическое и экспериментальное исследование распределенных телекоммуникационных систем в условиях воздействия вредоносных программ: монография / Ю.М. Монахов, Л.М. Груздева; Владим. гос. ун-т им. А.Г. и Н.Г. Столетовых. – Владимир: Изд-во ВлГУ, 2013. – 132 с.
5. Актуальные киберугрозы I квартал 2018 года [Электронный ресурс]. – URL: https://www.ptsecurity.com/ru-ru/research/analytics (дата обращения: 26.06.18).
6. Актуальные киберугрозы – 2017: тренды и прогнозы [Электронный ресурс]. – URL: https://www.ptsecurity.com/ru-ru/research/analytics (дата обращения: 26.06.18).
7. Мамиконов А.Г. Достоверность, защита и резервирование информации в АСУ / А.Г. Мамиконов, В.В. Кульба, А.Б. Шелков. – М.: Энергоатомиздат, 1986. – 304 с.
8. Крапчатов А.И. Модели и методы планирования разработки и отладки программного обеспечения автоматизированных информационно-управляющих систем: дис. на соиск. учен. степ. канд. техн. наук: (05.25.05) / Александр Иванович Крапчатов; РГГУ. – Москва, 2009. – 136 с.
9. Клейнрок Л. Теория массового обслуживания / Л. Клейнрок. – М.: Книга по Требованию, 2013. – 429 с.
10. Вентцель Е.С. Теория случайных процессов и ее инженерные приложения: учебное пособие / Е.С. Вентцель, Л.А. Овчаров. – 5-е изд., стер. – М.: КноРус, 2016. – 448 с.
11. Маталыцкий М.А. Системы и сети массового обслуживания: анализ и применения: монография / М.А. Маталыцкий, О.М. Тихоненко, Е.В. Колузаева. – Гродно: ГрГУ, 2011. – 816 с.
12. Вишневский В.М. Теоретические основы проектирования компьютерных сетей / В.М. Вишневский. – М.: Техносфера, 2003. – 512 с.

Эффективная эксплуатация систем защиты информации (СЗИ) корпоративных сетей передачи данных (КСПД), их проектирование и модернизация невозможны без оценки характеристик процесса по обнаружению вредоносных воздействий, процесса восстановления зараженных узлов сети и планирования работ по профилактике заражения. Проблема защиты цифровой информации от вредоносных программ (ВП), таких как компьютерные вирусы, шпионские и троянские программы, сетевые черви, программы-шантажисты и др., является актуальной и значимой в настоящее время [1, 2] несмотря на то, что первый известный вирус был написан в далеком 1981 г., а современный рынок информационных технологий предлагает множество решений по антивирусной защите. Но ни одна система защиты информации не способна блокировать проникновение вредоносного программного обеспечения (ПО) в корпоративную сеть на 100 %. Современная СЗИ, включающая систему обнаружения и предотвращения атак и вторжений IPS/IDS, не может гарантировать обнаружения 70 % информационных атак, что периодически приводит к значительному возрастанию вредоносного трафика (ВТ) [3, 4].

По данным компании Positive Technologies [5] самым распространенным методом атак стало использование вредоносного программного обеспечения: в I квартале 2018 г. вредоносное ПО применялось в 63 % уникальных кибератак (+27 % по сравнению с аналогичным периодом 2017 г. [6]). Большую популярность получила троянская программа WannaMine, заразившая по всему миру более 500 000 устройств.

Цель исследования: разработать математическую модель процесса устранения вредоносных воздействий, использование которой обеспечит возможность оценки качества работы СЗИ и функционирования КСПД в различные моменты времени в зависимости от начального числа вредоносных воздействий (вредоносных программ), используемых методов обнаружения и противодействия.

Под вредоносным воздействием будем понимать распространение вредоносных программ в КСПД, любые их действия, которые могут привести к нарушению работоспособности как отдельных узлов, так и сети в целом.

Математическая модель. Для моделирования процесса устранения вредоносных воздействий в узлах КСПД возьмем за основу математическую модель процесса отладки программного обеспечения, предложенную в книге [7] исследователями А.Г. Мамиконовым, В.В. Кульба, А.Б. Шелковым и получившую дальнейшее развитие в диссертации А.И. Крапчатова [8].

Пусть КСПД состоит из множества узлов (компьютерных систем, КС – S), в каждом из которых протекает марковский процесс [9, 10] по устранению вредоносных воздействий. Система S может находиться в одном из дискретных состояний: s0, s1,…, sN, где N – количество вредоносных воздействий (как частный случай, N может быть равно числу вредоносных программ в узле сети), а s0 – поглощающее состояние, означающее, что все вредоносные воздействия устранены и процесс сканирования узла окончен.

Под устранением вредоносного воздействия (или вредоносной программы) в узле сети будем понимать его обнаружение и моментальное восстановление КС. Интенсивность устранения вредоносных воздействий будем считать пропорциональным их количеству.

Определим результативность сканирования системы S величиной pij – вероятностью того, что после сканирования в КС, содержащей i gruz01.wmf вредоносных воздействий, останутся необнаруженными j (j ≥ i или j < i), gruz02.wmf, где N – количество вредоносных воздействий до начала сканирования. Зададим распределение pij в виде матрицы:

gruz03.wmf (1)

Модель базируется на предположении, что после устранения вредоносного воздействия (вредоносной программы) в узле сети появиться вновь оно уже не может, то есть КС приобретает к нему иммунитет. Система может иметь несколько поглощающих состояний, означающих, что процесс сканирования может быть остановлен, но не все вредоносные воздействия устранены.

Методы и средства исследований. Анализ предложенной модели позволил сделать вывод, что наиболее важными характеристиками процесса устранения вредоносных воздействий в условиях ограниченности времени (ресурсов) являются [7, 8]:

1) математическое ожидание (МО) времени устранения j вредоносных воздействий (j ≥ i или j < i), gruz04.wmf:

gruz05.wmf

где n – количество циклов обнаружения вредоносных воздействий;

2) МО времени устранения всех вредоносных воздействий в компьютерной системе:

gruz06.wmf

где ε – единичный вектор-столбец;

3) вероятность устранения всех вредоносных воздействий в компьютерной системе:

gruz08.wmf;

4) МО времени, в течение которого в компьютерной системе существует постоянное число вредоносных воздействий:

gruz09.wmf;

5) вероятность того, что в компьютерной системе находится j вредоносных воздействий:

gruz10.wmf,

где gruz11.wmf – элементы матрицы H(n).

При последовательном устранении вредоносных воздействий (или вредоносных программ) в узлах компьютерной сети в режиме неограниченного времени можно определить следующие наиболее важные характеристики трудоемкости процесса [7, 8]:

1) МО времени устранения всех вредоносных воздействий в компьютерной системе:

gruz12.wmf

где gruz13.wmf – вероятность того, что после одного сканирования в КС будет i – 1 вредоносных воздействий;

2) дисперсия времени устранения всех вредоносных воздействий в компьютерной системе:

gruz14.wmf;

3) вероятность устранения всех вредоносных воздействий в компьютерной системе:

gruz15.wmf,

то вероятность устранения всех вредоносных воздействий стремится к единице;

4) МО времени, в течение которого в компьютерной системе существует постоянное число вредоносных воздействий:

gruz16.wmf;

5) дисперсия времени, в течение которого в компьютерной системе существует постоянное число вредоносных воздействий:

gruz17.wmf;

6) вероятность того, что в КС находится j вредоносных воздействий:

gruz18.wmf.

На основе представленной математической модели процесса устранения вредоносных воздействий в узлах компьютерной сети можно получить характеристики процесса распространения вредоносных программ.

Рассмотрим компьютерную сеть передачи данных как сеть массового обслуживания [11, 12], в которой циркулируют пакеты в соответствии с маршрутной матрицей gruz19.wmf, где pij – вероятность пересылки пакета из i-го в j-й узел, причем gruz20.wmf и gruz21.wmf gruz22.wmf.

Пусть в качестве пакета в КСПД попадает вредоносная программа, тогда в сети будет протекать случайный процесс распространения ВП. Сеть может находиться в одном из дискретных состояний: gruz23.wmf, где gruz24.wmf означает, что ВП находится в i-м узле.

Важными с практической точки зрения являются следующие вопросы:

1. Сколько шагов будет совершено до остановки процесса распространения ВП, то есть поглощения в том или ином состоянии?

2. Каково время распространения вредоносной программы в сети?

3. Какой узел будет заражен раньше остальных?

Продемонстрируем ответы на поставленные вопросы на примере сети, состоящей из пяти узлов, пакеты в которой пересылаются в соответствии с матрицей:

gruz25.wmf (2)

С помощью преобразований приведем матрицу (1) к блочной форме:

gruz26.wmf (3)

На основании (3) получена матрица, называемая фундаментальной:

gruz27.wmf (4)

где I – единичная матрица;

Q – квадратная подматрица переходов:

gruz28.wmf.

Каждый элемент матрицы (4) соответствует среднему числу раз попадания системы в то или иное состояние до остановки процесса распространения ВП. Умножение справа матрицы M на единичный вектор e позволяет получить общее среднее количество раз попадания системы в то или иное состояние до поглощения:

gruz29.wmf

Зная время пребывания системы в каждом состоянии, можно вычислить общее время до поглощения gruz30.wmf:

gruz31.wmf

где вектор t – время пребывания системы в каждом невозвратном состоянии.

Матрица (2) описывает переходы сети, имеющей два поглощающих состояния. Обозначим через bij вероятность того, что процесс завершится в некотором поглощающем состоянии sj при условии, что начальным было состояние si gruz32.wmf. Вероятности bij образуют матрицу B, строки которой соответствуют невозвратным состояниям, а столбцы – всем поглощающим состояниям:

gruz33.wmf, (5)

где gruz34.wmf.

Анализ матрицы (5) позволяет оценить и сравнить вероятности заражения восприимчивых узлов и при построении защиты обезопасить наиболее уязвимые.

Для наглядности произведем вычисления для системы, переходы в которой заданы следующей матрицей:

gruz35.wmf

По формуле (5) получим матрицу:

gruz36.wmf

Таким образом, если процесс распространения ВП начался из третьего узла сети, то вероятность заражения первого узла равна 0,608, а второго – 0,392.

Для оценки характеристик процесса устранения вредоносных воздействий в КСПД разработана математическая модель, базирующаяся на теории сетей массового обслуживания. На основе предложенной модели возможна не только оценка характеристик процесса устранения вредоносных воздействий, но и процесса распространения ВП в сети. Применение модели наиболее целесообразно для определения вероятности и времени тотального инфицирования корпоративной сети. Предсказание данных характеристик информационных атак, реализуемых с помощью вредоносного программного обеспечения, и трудоемкости по устранению вредоносных воздействий позволит более эффективно использовать средства противодействия и уменьшать последствия данных воздействий.


Библиографическая ссылка

Груздева Л.М. МОДЕЛЬ ОЦЕНКИ ТРУДОЕМКОСТИ УСТРАНЕНИЯ ВРЕДОНОСНЫХ ВОЗДЕЙСТВИЙ В КОРПОРАТИВНЫХ СЕТЯХ ПЕРЕДАЧИ ДАННЫХ // Современные наукоемкие технологии. – 2018. – № 8. – С. 73-77;
URL: http://top-technologies.ru/ru/article/view?id=37122 (дата обращения: 27.11.2020).

Предлагаем вашему вниманию журналы, издающиеся в издательстве «Академия Естествознания»
(Высокий импакт-фактор РИНЦ, тематика журналов охватывает все научные направления)

«Фундаментальные исследования» список ВАК ИФ РИНЦ = 1.074