Защита от доступа к функционально-логической структуре системы связи
содержание
Перечень условных обозначений
Введение
. АНАЛИЗ ЗАДАЧИ ЗАЩИТЫ
ФУНКЦИОНАЛЬНО-ЛОГИЧЕСКОЙ СТРУКТУРЫ СИСТЕМЫ СВЯЗИ ОТ ИССЛЕДОВАНИЯ
.1 Угрозы информационной
безопасности ОАЦСС ВС РФ
.2 Модель процесса вскрытия системы
связи при проведении противником несанкционированного мониторинга
.3 Модель конфликта в информационной
сфере Вооруженных Сил
Выводы
. МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ПО ЗАЩИТЕ
ОТ ИССЛЕДОВАНИЯ ФУНКЦИОНАЛЬНО-ЛОГИЧЕСКОЙ СТРУКТУРЫ СИСТЕМЫ СВЯЗИ
.1 Модель защиты от исследования
функционально-логической структуры системы связи
.1.1 Правила преобразований для
формирования защищенной функционально-логической структуры системы связи
.1.2 Правила преобразований
функционально-логической структуры системы связи с учетом информации о
направлениях и интенсивности информационных потоков
.2 Методика синтеза защищенной от
исследования функционально-логической структуры системы связи
.3 Результаты синтеза защищенной от
исследования функционально-логической структуры системы связи
Выводы
3. НАУЧНО-ТЕХНИЧЕСКИЕ ПРЕДЛОЖЕНИЯ ПО
ЗАЩИТЕ ФУНКЦИОНАЛЬНО-ЛОГИЧЕСКОЙ СТРУКТУРЫ СИСТЕМЫ СВЯЗИ ОТ ИССЛЕДОВАНИЯ
3.1 Способ защиты вычислительной
сети с выделенным сервером
.2 Специальное программное
обеспечение для формирования защищенной от исследования
функционально-логической структуры системы связи
.3 Оценка эффективности
научно-технических предложений по защите функционально-логической структуры
системы связи от исследования
Выводы
Заключение
Список литературы
Приложение
перечень условных
обозначений
АС - автоматизированная система
АСУ - автоматизированная система управления
АСУС - автоматизированная система управления
связью
БД - база данных
ВС - Вооруженные Силы
ДМП - демаскирующий признак
ЕСЭ - единая сеть электросвязи
ЗИ - защита информации
ИБ - информационная безопасность
ИП - информационный поток
ЛВС - локальная вычислительная сеть
ЛПР - лицо, принимающее решение
НДВ - недекларированные возможности
НСД - несанкционированный доступ
ОАЦСС -объединенная автоматизированная цифровая
система связи
ОС - операционная система
ПДВ - подавляющее воздействие
ПО - программное обеспечение
ПУ - пункт управления
ПЭВМ - персональная электронная
вычислительная машина
РФ - Российская Федерация
СС - система связи
СС ВН - система связи военного назначения
СУ - система управления
ТКС - телекоммуникационная сеть
УС - узел связи
УС ПУ - узел связи пункта управления
ФЛССС - функционально-логическая структура
системы связи
ВВЕДЕНИЕ
В течение последнего десятилетия в мире
произошел качественный скачок в совершенствовании средств обеспечения управления
и обмена информацией. Он обусловлен развитием информационных и
телекоммуникационных технологий, совершенствованием средств связи, обработки,
хранения и распределения информации.
Совершенствование форм и способов вооруженной
борьбы, оснащение армий экономически развитых стран новейшим вооружением и
военной техникой существенно повышают роль систем военной связи и автоматизации
управления в современной войне, а высокий уровень информационного обеспечения
боевых действий войск (сил) становиться определяющим фактором достижения
стратегического и оперативно-тактического превосходства над противником [1].
В комплексе мер по обеспечению
обороноспособности государства наряду с поддержанием высокой боевой готовности
войск (сил) приоритетным направлением является и совершенствование системы
военного управления ее технической основы - системы связи (СС) Вооруженных Сил
Российской Федерации (ВС РФ).
Генеральной линией развития системы связи как
части инфраструктуры управления ВС РФ должен стать переход к новой, более совершенной
форме и организации сетей (систем) связи путем цифровизации и интеграции их в
Единое телекоммуникационное пространство ВС РФ. Результатом данного перехода
должно стать создание объединенной автоматизированной цифровой системы связи
(ОАЦСС) ВС РФ, которая должна стать перспективной
информационно-телекоммуникационной (ИТКС) системой Вооруженных Сил.
Информационно-телекоммуникационная система
Вооруженных сил - организационно-техническое объединение сил и средств связи и
автоматизации, реализующее информационные процессы с использованием
информационных и сетевых технологий в рамках системы управления ВС [2].
Основными направлениями защиты в ИТКС являются:
защита информации от разглашения и хищения;
защита информации в линиях и каналах связи;
защита от несанкционированного доступа
непосредственно на объекты;
защита информации от утечки по техническим
каналам;
защита информации от несанкционированного и
непреднамеренного воздействия;
защита информации от несанкционированного
доступа с использованием штатных средств автоматизированной системы.
Данные вопросы защиты информации в ИТКС
достаточно проработаны и достигаются выполнением требований законов,
инструкций, руководящих документов. В то же время, несмотря на значительное
число работ, в которых уже рассматривались эти вопросы, существует достаточно
большое количество нерешенных задач [3, 4]. Существующие методы и средства
защиты предполагают лишь разграничение доступа к информации и в локальные
сегменты СС, т. е. осуществляется попытка установить границы на уровне
локальных сегментов, а информация о построении и развитии СС остается
незащищенной в виду незащищенности технологической информации (информации
развития) СС и отображения процессов ее обработки на информационном поле
исследования противника.
Интеграция средств автоматизации и систем
военной связи с существующими сетями общего пользования существенно увеличивают
возможности нарушителя по идентификации элементов систем военной связи и
вскрытию их структуры, в частности функционально-логической структуры системы
связи (ФЛССС) посредством несанкционированного мониторинга и осуществлению
преднамеренных деструктивных воздействий на их элементы. Построение сетей связи
общего пользования преимущественно на телекоммуникационном оборудовании
иностранного производства, обладающем недекларированными возможностями и
частными уязвимостями, приводят к тому, что средства несанкционированного
мониторинга уже присутствуют в информационной инфраструктуре.
При осуществлении информационного обмена
посредством сетей связи общего пользования, даже при эффективной защите
информационной части сообщений с помощью криптографических методов, информация
о наличии информационных потоков между узлами связи и их интенсивности остается
доступной нарушителю, осуществляющему анализ трафика. В связи с тем, что
элементы СС и процессы управления обладают демаскирующими признаками (ДМП),
обобщение и анализ такой информации позволяет вскрывать логическую структуру
системы связи, отражающую структуру системы управления.
Отмеченное выше позволяет выделить сложившееся
противоречие между возрастающими требованиями к защищенности СС в условиях
исследования противником и существующим недостаточным уровнем разработки
научно-методического обеспечения и практических рекомендаций, соответствующих современным
условиям безопасного функционирования систем военной связи.
Данное противоречие позволяет констатировать
проблему, заключающуюся в разработке методического обеспечения, а также
научно-технических предложений по защите систем военной связи от исследования
(несанкционированного мониторинга) в рамках комплексной защиты системы связи
(системы управления).
Выявленное противоречие и существующая проблема
обусловили выбор темы дипломного проекта: «Защита от исследования
функционально-логической структуры системы связи» и ее актуальность.
Цель исследования - разработка специального
программного обеспечения для формирования защищенной от исследования
функционально-логической структуры системы связи.
Объект исследования - Объединенная
автоматизированная цифровая система связи Вооруженных Сил Российской Федерации.
Предмет исследования - защищенность ОАЦСС ВС РФ
от исследования (вскрытия структуры системы связи).
Существующая проблема и сформулированная цель
исследования определили следующие задачи:
. Провести анализ угроз информационной
безопасности ОАЦСС ВС.
. Рассмотреть модель конфликта в
информационной сфере ВС РФ.
. Разработать методику синтеза защищенной
от исследования функционально-логической структуры системы связи.
. Разработать научно-технические предложения
по защите функционально-логической структуры системы связи от исследования.
Одним из возможных методов решения выявленной
проблемы защиты системы связи от исследования является управление
демаскирующими признаками УС, что позволяет управлять функционально-логической
структурой системы связи на информационном поле исследования противника.
В рамках решения поставленных задач разработано
методическое обеспечение и научно-технические предложения по защите
функционально-логической структуры системы связи от исследования. Основным
результатом является разработка специального программного обеспечения,
позволяющего целенаправленно масштабировать ФЛССС, защищая ее от исследования,
посредством введения противника в заблуждение относительно состава, структуры и
алгоритмов функционирования СС и заставляя принимать решения на проведение
деструктивных воздействий на систему связи в условиях неопределенности
обстановки.
Достоверность полученных научных результатов
обеспечена применением современных методов исследования, использованием
современных математических методов, апробированных на практике, и результатами
экспериментальных исследований.
Результаты исследования внедрены в НИР ФГУП «НИИ
«Рубин» (акт реализации от 27.05.2008 г.), Военной академии связи (акт реализации
от 3.03.2009 г., акт реализации от 6.03.2009 г.).
Основные научные результаты исследования
апробированы путем проведения их экспертизы на научно-технических конференциях:
инновационная деятельность в Вооруженных силах Российской Федерации и 62-й военно-научной
конференции слушателей и курсантов Военной академии связи, а также Межвузовской
военно-научной конференции авторов лучших научных работ 2009 года по разделу
«Организация связи и военная техника связи. Защита информации». Результаты
исследований опубликованы в двух статьях. Разработанное программное обеспечение
имеет свидетельства о регистрации программ для ЭВМ в Военной академии связи (№
0904 от 20.02.2009 г.).
1. анализ задачи защиты
функционально-логической структуры системы связи от исследования
.1 Угрозы
информационной безопасности объединенной автоматизированной цифровой системы
связи Вооруженных Сил Российской Федерации
В настоящее время развернута активная работа по
реализации Концепции создания единого информационного пространства ВС РФ. В его
основу положена ОАЦСС ВС РФ, которая будет включать в свой состав
интегрированную цифровую территориальную систему связи Вооруженных Сил,
цифровые полевые системы связи всех звеньев управления и средства связи
специализированных систем связи Вооруженных Сил [5].
Основными приоритетами развития ОАЦСС ВС РФ в
настоящее время является:
интеграция средств автоматизации и систем
военной связи;
создание единой межвидовой цифровой сети связи
общего пользования;
интеграция вторичных сетей связи межвидового
назначения на общих технологиях при обязательном согласовании развития АСУ и
связи;
предоставление органам управления современных
интегрированных услуг (служб) электросвязи с требуемыми оперативно-техническими
характеристиками;
создание межвидовой автоматизированной системой
управления связью;
проведение единой государственной политики
обеспечения комплексной безопасности информации и связи;
опережающее развитие нормативно-технической и
организационно-правовой базы ОАЦСС ВС РФ;
создание полевой системы связи Вооруженных Сил
на основе оснащения полевых войск связи современными цифровыми системами,
комплексами, средствами связи и автоматизации.
Анализ условий функционирования ОАЦСС в условиях
ведения исследования ФЛС показал, что в виду интеграции с ЕСЭ РФ ОАЦСС будет
представлять современную цифровую интегрированную телекоммуникационную систему,
которой присущи все угрозы информационной безопасности (ИБ) цифровых систем
связи и автоматизации.
Принято [6] выделять следующие группы угроз ИБ
СС ВН:
искажение информации, несвоевременность ее
доставки;
выявление демаскирующих признаков (ДМП)
источников сообщений;
получение семантической информации технической
разведкой и физическое уничтожение структурных элементов ТКС;
копирование, искажение информации в процессе ее
обработки и хранения на станциях (узлах) связи в результате
несанкционированного доступа (НСД) к информации;
нарушение конфигурации коммуникационного
оборудования в результате НСД к его операционным системам (ОС);
нарушение правил установления и ведения сеансов
связи, использование уязвимых сервисов, а также другие действия, ведущие к
отказу в обслуживании санкционированных абонентов, путем осуществления
удаленных компьютерных атак на коммуникационное оборудование, серверы и рабочие
станции (терминальное оборудование);
копирование, искажение информации, нарушение
правил установления и ведения сеансов связи, использование уязвимых сервисов, а
также другие действия, ведущие к отказу в обслуживании санкционированных
абонентов путем НСД к ОС серверов;
копирование, искажение информации, нарушение
правил установления и ведения сеансов связи, использование уязвимых сервисов, а
также другие действия, ведущие к отказу в обслуживании санкционированных
абонентов путем НСД к ОС рабочих станций (терминального оборудования);
копирование, искажение информации путем НСД к
базам данных (БД);
разглашение информации.
Следствием цифровизации СС ВН является повышение
зависимости от технологической составляющей, имеющей уязвимости и
функционирующей в условиях воздействия широкого диапазона дестабилизирующих
факторов (внутренних и внешних) со стороны системы внешней среды:
экономических, политических, информационных и др., которые определяют
совокупность требований к качеству СС ВН. Таким образом, СС ВН, интегрированная
в ЕСЭ РФ, обладает рядом особенностей, ранее не присущих выделенной СС ВН. В
проекте любой системы можно выделить три характерных уровня [7]: архитектура,
исполнение и реализация. В архитектуре современных телекоммуникационных систем
(ТКС) зачастую выдерживаются общепринятые принципы, которые противоречат
принципам их защиты и противодействия нарушителям, исследующим структуру
(архитектуру) объекта защиты: согласованность, ортогональность,
соответственность, экономность, прозрачность и общность.
Если архитектура согласована, то частичное
знание системы позволяет предсказать остальное. Ортогональность означает, что
функции должны быть независимы друг от друга, и специфицированы по отдельности.
Однако, наличие внутренних связей, не позволяющих расчленять систему на независимые
составляющие, приводит к тому, что при определении ее характеристик нельзя
изменять влияющие факторы «по одному». Такая система, рассматриваемая в целом,
обладает новыми качествами, несвойственными отдельным ее элементам.
Соответственность означает включение в архитектуру ТКС только тех функций,
которые соответствуют существенным требованиям к ТКС, т. е. в хорошей
архитектуре нет ненужных функций. Экономность приводит к исключению
дублирования функций в описании архитектуры ТКС. Прозрачность и общность
приводят к необходимости использования априорно известных протоколов обмена
данными (это необходимо для обеспечения возможности функционирования на основе
ЕСЭ) и функций (услуг и служб).
С точки зрения исполнения и реализации открытыми
остаются проблемы, связанные с недекларированными возможностями (НДВ)
аппаратного и программного обеспечения (ПО). Составляющие материальную основу
систем управления и связи элементы, построенные на зарубежной технологической
базе, всегда будут содержать встроенные НДВ, а с учетом их технологической
сложности существующие процедуры выявления таких программных и аппаратных
закладок, даже при наличии исходных кодов, оставляют желать лучшего.
Основными элементами СС ВН, нуждающимися в
защите от деструктивных воздействий являются информационные ресурсы (собственно
информация, информация непосредственного управления), процессы обработки
информации (обработки, хранения и передачи) и информационная инфраструктура СС
ВН. Причем если информацию непосредственного управления (оперативную) при
передаче защищают криптографическими методами, то информация развития СС ВН
(информация о составе, структуре и алгоритмах функционирования ее элементов)
будет востребована нарушителями всегда. Именно эта информация требуется для
вскрытия объекта защиты и реализации деструктивных воздействий. Причем
информация развития СС ВН может поступать и при отсутствии информации
непосредственного управления в СС ВН, что связано с постоянным наличием
технологического трафика современных цифровых систем связи. Наличие служебных
каналов (систем сигнализации и синхронизации), не передающих оперативной
информации, позволяет нарушителям, не решая задач вскрытия содержания
передаваемых сообщений, влиять на основные показатели качества СС ВН, т. е.
невыполнение требования безопасности в любом из его аспектов всегда создает
условия для нарушения процессов обработки (хранения, передачи) информации.
Интеграция СС ВН и ЕСЭ РФ, глобализация ТКС, не
позволяют корректно использовать традиционную концепцию контролируемых зон (и,
следовательно, пространственную защиту информации), а также корректно
определять границу внешней среды объекта защиты для общего случая.
Слияние СС ВН и АСУ породило феномен
несанкционированного мониторинга, не возможный в системах с ручной коммутацией,
условием существования которого является исправное функционирование
автоматизированной ТКС с определенными параметрами (определенный уровень
автоматизации, разветвленность, связность, пропускная способность).
Вышеизложенное обуславливает необходимость рассмотрения
модели процесса вскрытия СС при проведении противником несанкционированного
мониторинга.
1.2 Модель процесса
вскрытия системы связи при проведении противником несанкционированного
мониторинга
Объекты защиты (УС ПУ, СС), функционирующие в
рамках СС (рис. 1.1) и их деятельность обладают ДМП. Суть процесса вскрытия СС
заключается в построении модели СС по конечному набору ДМП.
Вскрытие СС представляет собой активный процесс,
при котором происходит непрерывный синтез моделей и их коррекция. Перестройка
моделей отвечает всем признакам управления, а в любом процессе управления
неизбежно возникает задача идентификации.
Анализ показывает, что адекватность модели
достигается за счет гомоморфного отображения объекта, т.е. подобного
отображаемому объекту лишь в отношениях, характерных и важных для процесса
моделирования. Это обосновывается тем, что построить и исследовать изоморфную
модель практически невозможно вследствие неполноты и несовершенства знаний о
реальной системе и недостаточной адекватности методов и средств такого
моделирования, а также возможным переполнением избыточной информацией в
процессе исследования, что снижает продуктивность вскрытия СС.
Таким образом, вскрытие противником СС
представляет собой процесс ограничения (редукции) разнообразия и порождает
инварианты объекта исследования. Интеллектуальный анализ и обобщение таких
инвариантов позволяет формировать конечный продукт исследования - модель СС.
Рисунок 1.1 Вариант функционирования
системы связи в условиях исследования противником
Любой объект или процесс
представляет собой ограничение разнообразия. Их устойчивые свойства, отношения
и т. п., сохраняющиеся в ходе каких-то преобразований, называют инвариантами.
По отношению к «разнообразию вообще» инварианты представляют собой результат
двойной редукции разнообразия: выделение из среды объекта исследования;
выделение устойчивых свойств и отношений (инвариантов) объекта. Например: ЕСЭ →
СС → Структура СС. В данном случае структура выступает как инвариантный
аспект СС.
Необходимо отметить, что такой
подход (с точки зрения теории познания) не противоречит тому, что вскрытие
системы связи - это ее обнаружение, местоопределение и идентификация
принадлежности УС ПУ к уровню иерархии.
В процессе исследования выделяют два
главных момента, имеющих смысл двух противоположных принципов познания:
ограничение (редукция) разнообразия;
порождение (генерация) разнообразия.
Редукция в процессе управления - это
акт выбора одного из вариантов управления. Генерация разнообразия проявляется
во множестве допустимых управлений. Под управлением в данном случае следует
понимать процесс формирования инвариантов и модели СС.
Модельный подход к процессу
исследования позволяет раскрыть некоторые стороны познавательной деятельности
противника и его взаимодействия с СС как гностической системы. Гностическая
система - это система, которая:
отражает объект познания в виде
некоторых исходных образов-моделей (инвариантов), каковыми являются первичные
образы - отображения СС в основном по прямым ДМП (первичный синтез).
осуществляет дальнейший синтез
моделей из инвариантов на уровне абстрактного мышления (вторичный синтез). При
вторичном синтезе в основном применяются механизмы интеллектуального анализа и
обобщения с использованием косвенных ДМП.
Модели второго уровня могут
создаваться только на основе первичных моделей. Процесс вторичного
синтезирования моделей представляет собой своеобразную композицию (как систему
операций) сложных моделей-образов из более простых.
Таким образом, в процессе поэтапного
исследования СС (рис. 1.2) возможно создание целого множества инвариантов
сложного объекта относительно различных его свойств. По отношению к различным
свойствам СС можно выделить несколько групп инвариантов, необходимых противнику
для синтеза адекватных моделей. Группы инвариантов позволяют противнику
получать различные гомоморфные отображения СС относительно ее общих свойств,
устойчивых к преобразованиям. Это связано с тем, что отдельные инварианты могут
иметь назначение, отличное от других, что позволяет при их построении отсекать
некоторые несущественные элементы отображения объекта в целях уменьшения
избыточности инварианта. Основными группами таких инвариантов являются (см.
рис. 1.2): инварианты состава СС, ее структуры и алгоритмов функционирования
[8].
К инвариантам состава СС можно
отнести: множества УС, оборудования, которым представлены УС и установленного
на узлах ПО.
Множество УС отображает элементы СС,
входящие в состав СС или ее отдельной части, прямыми ДМП которых являются их
идентификаторы (логические и/или физические адреса). Процесс формирования
такого множества может включать в себя: сканирование адресного пространства на
предмет отклика существующих узлов (например, при помощи утилиты ping); анализ
перехватываемых ИП на предмет выделения из заголовков пакетов сообщений
идентификаторов корреспондирующих субъектов или перехвата таблиц маршрутизации
(путем подмены адреса, перенаправления ИП или использования НДВ
телекоммуникационного оборудования).
Рисунок 1.2 Поэтапное исследование
системы связи
Множество оборудования отображает типы
физического оборудования, которым представлены УС (ПЭВМ, межсетевой экран,
маршрутизатор, коммутатор и т. п.), марки его производителя и версии
оборудования. Демаскирующими признаками оборудования УС являются ПО,
установленное на нем, запущенные на нем службы и открытые порты, отображаемые
оборудованием в ответ на запросы баннеры и приглашения, а также информационный
обмен УС. Процесс формирования такого множества подразумевает под собой
активное сканирование идентифицированных узлов и анализ их трафика (адреса
отправителей в IP-заголовках пакетов сообщений позволяют определить является ли
УС конечным или промежуточным, а другие поля заголовков - службы, порты и ПО).
Такая информация необходима для определения типа УС (терминал, сервер,
коммутационная платформа).
Множество программного обеспечения отображает
виды и версии ПО (прикладное и сетевое ПО, ОС), установленного на УС (как на
терминалах, так и на телекоммуникационном оборудовании). Множество ДМП, таких
как баннеры и приглашения на вход, запущенные службы и открытые порты, отзывы
на запросы и поля заголовков пакетов сообщений, позволяют с высокой
достоверностью определять тип ОС и используемое ПО, идентифицировать
конфигурационные настройки и уязвимости. Формирование множества ПО
подразумевает под собой активные методы исследования (сканирование) и включает
в себя информационные воздействия на объект, а также анализ трафика УС.
К инвариантам структуры СС можно отнести схему
информационных связей между УС, собственно структуру СС и ее топологию.
Схема информационных связей отображает наличие
ИП между УС ПУ. Прямыми ДМП информационных связей являются наличие ИП в канале
связи и идентификаторы корреспондирующих УС в заголовках пакетов сообщений.
Формирование схемы осуществляется путем перехвата ИП в различных точках СС (за
счет подмены адреса, перенаправления ИП или использования НДВ
телекоммуникационного оборудования) и дальнейшего выделения идентификаторов
корреспондирующих УС из заголовков пакетов сообщений.
Структура СС отражает собственно УС и связи
между ними. Множество УС и схема информационных связей могут заимствоваться из
соответствующих построенных ранее инвариантов. Помимо этого формирование
структуры СС возможно путем получения доступа к таблицам маршрутизации (НСД к
телекоммуникационному оборудованию или перехват ИП) и путем ведения активного
сетевого исследования. Активное исследование может вестись при помощи
стандартных, входящих в состав ОС, утилит ping, traceroute, pathping (например,
путем задания специальных параметров ping позволяет просмотреть маршрут -
список УС, по которому проходил пакет с запросом до указанного УС), при помощи
специализированных утилит, а также при помощи других методов исследования
(например, поиск информации о структуре в информационных ресурсах). Информация
о пройденном маршруте от активного исследования может также сопоставляться с
информацией об оборудовании, которым представлены УС.
Топология СС предоставляет информацию о топологическом
расположении УС, т. е. отражение структуры СС на местности (карте). Прямым ДМП
и в этом инварианте является идентификатор УС, по которому возможно отнести УС
к тому или иному населенному пункту и даже определить его местоположение в
населенном пункте. Так, например, информационные ресурсы сети Интернет
предоставляют полную информацию о принадлежности определенных диапазонов
IP-адресов конкретным операторам связи и городам. При помощи сетевого сервиса
whois можно по идентификатору УС получить информацию об адресе его расположения
(почтовый адрес организации, где расположен УС) и другую информацию - такую,
например, как телефон организации (см. пример в табл. 1.1) [9].
Таблица 1.1
Пример добывания информации об объекте
исследования из открытых источников
|
Информация
от сервиса IPWhois
|
Интерпретация
|
|
[IPv4
whois information for 91.191.178.20 ] inetnum: 91.191.178.0 - 91.191.178.255
|
IP-адрес,
для которого запрашивается информация и диапазон адресов, в который он входит
|
|
descr:
WocomNet Ltd
|
Название
организации, на которую зарегистрирован адрес
|
|
person:
Igor Pantuhov
|
Имя
и фамилия руководителя организации
|
|
address:
NAUKI STR 55 address: Saint-Petersburg, Russia
|
Адрес
организации
|
|
phone:
+78123333055 fax-no: +78123333055
|
Телефон
организации
|
|
e-mail:
igor@wocomnet.com
|
Адрес
электронной почты руководителя
|
Телефон организации также можно получить при
помощи анализа почтовых заголовков электронной почты, отправляемой с данного
УС. А по телефону можно узнать адрес организации. Таким образом, рассматриваемый
инвариант представляет собой отображение структуры СС на местности (карте) (см.
пример на рис. 1.3).
Рисунок 1.3 - Иллюстрация обнаружения и
местоопределения СС
И, наконец, к инвариантам алгоритмов
функционирования СС можно отнести: интенсивность информационного обмена УС и
протоколы их взаимодействия, множество функций УС и их иерархическую структуру.
Интенсивность информационного обмена УС
отображает информацию о сетевой активности отдельных УС и СС в целом (например,
в соответствии со временем суток). Первичным ДМП в этом случае также являются
идентификаторы корреспондирующих субъектов. Этот инвариант позволяет на схеме
информационных связей или на структуре СС отметить направления наиболее
интенсивного информационного обмена, выделяя тем самым наиболее важные и
наиболее активные УС. Также в данном инварианте учитывается интенсивность
информационного обмена в соответствии с оперативным фоном. Формирование
инварианта осуществляется путем перехвата и анализа ИП.
Протоколы взаимодействия УС - инвариант,
отображающий информацию о применяемых на УС протоколах информационного обмена
(управляющий трафик, передача данных, голоса, видео). Прямыми ДМП применяемых
протоколов взаимодействия являются, содержание полей заголовков и поля данных
пакетов сообщений, а формирование инварианта осуществляется путем перехвата и
анализа ИП. Так, например, поля «Порт отправителя» и «Порт получателя» в
TCP-заголовке пакета сообщений, или поле «Протокол верхнего уровня» в
IP-заголовке сообщают об используемой сетевой службе или ПО, о применяемом
протоколе прикладного уровня. А зашифрованная часть с данными в пакете говорит
о применении шифрования для скрытия конфиденциальной информации.
Функции УС - инвариант, отображающий особенности
УС относительно выполняемых ими в СС функций. Демаскирующими признаками функций
УС являются их сетевая активность, тип оборудования, количество сетевых служб и
применяемые протоколы взаимодействия, трафик УС. Например, наличие
информационных связей со многими УС в СС и большая сетевая активность,
управляющий трафик и частые циркулярные вызовы, а также определенные протоколы
взаимодействия отражают функциональное назначение узла. Чем важнее УС и чем
больше функций на него возлагается, тем более «продвинутое» оборудование на нем
установлено. О функциональном назначении УС много может сообщить установленное
на нем ПО, активные сетевые службы и открытые порты. В случае, когда УС
является промежуточным (транзитным) телекоммуникационным оборудованием это
можно выяснить путем анализа его трафика (выделения из него идентификаторов
отправителей пакетов). Если ИП, исходящие от узла имеют различные
идентификаторы отправителей, значит, УС не является конечным.
Уровни иерархии (ранги) УС отражают иерархию
отношений УС в СС. Демаскирующими признаками, по которым строится иерархическая
структура УС в СС, являются функции УС, наличие управляющего трафика и
информационных связей один ко многим, частые циркулярные (широковещательные)
вызовы и место в общей структуре СС. Данный инвариант является результатом
обобщения и интеллектуального анализа информации, получаемой при формировании
других инвариантов. Также этот инвариант отражает структуру СУ, в интересах
которой существует СС.
Помимо того, что формирование инвариантов имеет
своей целью отразить отдельные свойства изучаемой системы, инварианты также
дают возможность изучать ее по частям. Например, СС по отдельным регионам
(Москва и Санкт-Петербург см. рис. 1.3). А сопоставление нескольких инвариантов
в единую модель дает представление о свойствах и параметрах СС в целом.
Необходимо отметить, что процесс формирования
инвариантов СС и ее моделей включает в себя не только прямое отображение
параметров по ДМП, но также их обобщение и интеллектуальный анализ.
Например, не имея адекватного инварианта
множества УС и представления о физических или логических связях между ними
невозможно получить адекватную структуру СС, также как множества оборудования
или ПО могут быть построены только применительно к идентифицированным УС. Также
важно, что построение новых инвариантов позволяет уточнять уже существующие.
Следовательно, обобщение и интеллектуальный
анализ множества инвариантов состава СС позволяет сформировать соответствующую
модель - модель состава СС. Инварианты структуры СС позволяют сформировать
модель структуры СС. Инварианты алгоритмов функционирования позволяют
сформировать две модели: модель информационного обмена СС, отражающую
особенности информационного взаимодействия УС, и оперативную модель СС,
отражающую функциональные особенности и иерархию УС. Обобщение и анализ таких
моделей позволит сформировать конечную модель - результат познания, адекватное
отображение СС.
Из рис. 1.2 видно, что описанный процесс
вскрытия СС и построения ее модели в целом реализуется двумя подсистемами
исследования: активной и пассивной. Пассивное исследование осуществляет сбор
ДМП функционирования СС, тогда как активное исследование предпринимает
действия, необходимые для более глубокого познания СС. К числу действий,
предпринимаемых активным исследованием можно отнести удаленные запросы или
воздействия на элементы СС, поиск информации в открытых и закрытых БД.
Анализ существующих средств и методов защиты
позволил определить, что ДМП СС, выявляемые активным исследованием, могут быть
скрыты методами разграничения доступа (в частности межсетевого экранирования) и
криптографического закрытия семантической составляющей информационного обмена
узлов в СС. Однако на скрытие ДМП, выявляемых пассивным исследованием
существующие методы защиты никак повлиять не могут.
Таким образом, формировать модель СС на
информационном поле исследования противника необходимо исходя из ДМП
информационного обмена УС ПУ, которыми являются: идентификаторы отправителей и
получателей пакетов сообщений, интенсивность и направление ИП. Указанные ДМП
составляют признаки функционально-логической структуры системы связи.
В соответствии с [10] функционально-логическая
структура компьютерной сети - это совокупность логических элементов сети и
логических связей между ними. Хотя речь идет о ЛВС, для СС смысл
функционально-логической структуры остается тем же. Однако для того, чтобы
сузить объем понятия ФЛССС в дальнейшей работе предлагается следующее
определение.
Функционально-логическая структура системы связи
- структура системы связи, сформированная противником на основе логического
анализа перехваченных им в реальной системе связи информационных потоков,
отражающая идентифицированные сетевыми (IP) адресами узлы связи пунктов
управления, и логические связи между ними по признаку наличия взаимного информационного
обмена с указанием его интенсивности и направления.
Функционально-логическая структура может
отражать как чисто структурные свойства (элементы и связи) СС, так и свойства
ее ИП (интенсивность и направление).
Кроме того, ФЛССС может включать в себя
информацию о транзитных УС, входящих в состав транспортной сети (ТС ПСС, ЕСЭ
РФ), отображая, таким образом, информацию о маршрутах ИП, а может лишь
указывать на наличие ИП без уточнения его маршрута. Далее в работе
рассматривается ФЛССС без учета транспортной сети.
Из сказанного следует вывод, что инварианты
состава, структуры и алгоритмов функционирования, как результат редукции
разнообразия информации о СС, позволяют противнику построить адекватную модель
СС, которая отображает ее наиболее важные и устойчивые свойства (рис. 1.4). В
то же время модульный способ построения средств и комплексов связи и
автоматизации в совокупности с площадным разнесением УС, входящих в состав
системы связи, создают «серый фон» на информационном поле видовых разведок противника.
В объявленных исходных условиях обстановки, главенствующими становятся
радиотехническая и компьютерная разведки противника, вскрывающие при отработке
мероприятий разведки функционально-логическую структуру СС, которая в свою
очередь повторяет структуру системы управления войсками (силами).
Рисунок 1.4 Реконструированная по
результатам исследования система связи
Вышеизложенное определяет
необходимость исследования модели конфликта в информационной сфере ВС РФ.
1.3 Модель конфликта в
информационной сфере Вооруженных Сил
Источником (причиной) конфликта в информационной
сфере является наличие конкуренции (несовместимости претензий)
противоборствующих сторон - систем несанкционированного мониторинга и защиты -
по поводу ресурса (объекта), являющегося неделимым предметом спора, или
кажущегося таковым в глазах соперников. Таким объектом является защищаемая
информация. Наличие и характеристики предмета спора должны быть хотя бы
частично осознаны (формализованы) противоборствующими сторонами. Если же этого
не происходит, то противникам трудно осуществить агрессивное действие и
конфликта, как правило, не бывает.
Стремление нарушителя к удовлетворению
потребностей по добыванию информации и построению адекватной модели объекта
разведки неустранимо, его можно лишь временно подавить с перспективой будущих
деструктивных проявлений, либо уничтожить саму систему разведки. Конфликт -
столкновение, серьезное разногласие, спор. Природа конфликта такова, что каждое
агрессивное действие приводит к ответному, более сильному действию, чем
первоначальное (так называемая, эскалация конфликтов), причем его трудно
остановить. Любое использование принуждения, даже незначительным меньшинством,
приводит к конфликту в форме антагонизма для тех, над кем доминируют.
Предпосылки возникновения конфликта заключаются
в нарушении равновесия в связи с появляющейся потребностью и появлении значимой
цели. Восстановление равновесия и достижение цели называют консуммацией (рис.
1.5). При возникновении блокады потребностей противоборствующей стороны
осуществляется поиск причины блокады, переоценка ситуации, принятие
решения в условиях наличия нескольких
альтернатив действий, постановка новых целей и принятие нового плана действий.
Когда все попытки достичь желаемого оказываются тщетными, стороны
идентифицируют объект, мешающий достижению целей по удовлетворению
потребностей, и возможности противодействия.
Встречу с непреодолимым затруднением в
удовлетворении потребности называют фрустрацией потребностей. Реакцией на
фрустрацию может быть или отказ от удовлетворения потребности (отступление),
или агрессия. Агрессивные действия вызывают ответную агрессивную реакцию, и с
этого момента начинается конфликт. Если причина фрустрации скрыта (ее трудно
идентифицировать) или ее необходимо скрыть, возможен выбор объекта для
агрессии, который не имеет никакого отношения к блокированию потребности. Эта
ложная идентификация может привести к возникновению ложного конфликта. В случае
необходимости скрытия причины фрустрации ложная идентификация создается
искусственно, с целью отвлечения внимания от истинного источника фрустрации.
Ложные конфликты не устраняют причин, вызывающих столкновения, а только
усугубляют ситуацию, создавая возможности для распространения конфликтных взаимодействий.
Таким образом, для возникновения конфликта
необходимо, во-первых, чтобы причиной фрустрации потребностей разведки было
поведение другой стороны (процесс защиты), во-вторых, чтобы реакция на
фрустрацию была агрессивной и, в-третьих, чтобы на агрессивное действие
возникла ответная реакция. Если нарушитель «требует» информацию, а СЗИ лишает
его информации, разрешая или урегулируя конфликт посредством теории игр (поиска
соглашений), то речь идет о стадии непосредственного конфликта. Необходимо
устранять конфликт: ни одна сторона ничего не теряет и обе без компромисса
получают то, что хотели. Для того чтобы не допускать возникновение конфликтов в
информационной сфере, необходимо:
проводить анализ потребностей противодействующих
сторон на арене ТКС (в информационной сфере), степени их удовлетворения и
источников возникновения конфликта;
акцентировать внимание на устранении источников
возникновения конфликта, прогнозировать развитие событий и принимать такие
управленческие решения, которые исключают возникновение источников конфликтов в
будущем.
Конфликты в информационной сфере носят
межгрупповой (но все же, в основном, безличный) характер и имеют статус
информационных войн, когда установление контроля над жизненно важными
интересами все чаще будет осуществляться через проведение стратегии непрямых
действий. Осознание противоборствующими сторонами своих интересов и целей как
несовместимых приводит к возникновению конфликтной ситуации. Основная цель
противоборствующих сторон состоит в отстранении противников от эффективной
конкуренции путем ограничения их ресурсов, пространства принятия решений, в
снижении их статуса.
Стратегию непрямых действий осуществляют через
«технологию управлениями кризисами». Составной частью этой технологии является
проведение операций в условиях так называемого «отсутствия войны». Это приводит
к стиранию граней между формами и способами противоборства государств и их
коалиций. Стороны стремятся уже в мирное время дезорганизовать системы
управления противника, а также осуществлять направленное изменение
функционирования технических, социальных и других систем. Проявляется тенденция
к ориентации на скрытое воздействие как продолжение стратегии непрямых
действий. Причем предконфликтный период может затягиваться настолько, что
первопричина столкновения перестает играть роль.
Роль мониторинга особенно велика в
предконфликтный период, когда нарушитель формирует цели, стратегии и, наконец,
выбирает способы воздействия. Этот период представляет наибольший интерес,
поскольку при правильном выборе стратегии и способов действий можно
предотвращать возникновение фрустрации потребностей оппонента и, следовательно,
конфликты.
Период непосредственного конфликта
характеризуется наличием инцидентов - действий, направленных на изменение
поведения противника. Это активная, деятельная часть конфликта. Выделяют две
основные группы действий (рис. 1.6).
К первой группе относят действия, носящие
открытый характер. Такого рода действия идентифицируются как конфликтные
(агрессивные), они ясны, предсказуемы и расширяют арену конфликта за пределы
информационной сферы. Открытый острый конфликт характеризуется высокой
интенсивностью инцидентов, в результате которых в короткий промежуток времени
расходуется большое количество ресурсов. При достижении критической точки конфликтные
взаимодействия между противоборствующими сторонами достигают максимальной
остроты и силы, а вмешательство на пике конфликта бесполезно или даже опасно.
Воздействовать на ход развития конфликта нужно либо до критического состояния,
либо после него. После прохождения критической точки, когда число конфликтных
взаимодействий резко снижается, ситуация в наибольшей степени поддается
управлению.
Конфликт идет или к своему разрешению, или, если
не устранены причины фрустрации, к новой критической точке.
Ко второй группе относят скрытые действия
противников в конфликте. Эта скрытое, но, тем не менее, активное противоборство
преследует цель навязать противнику невыгодный ему образ действий и
одновременно выявить его стратегию. Основным образом действий в скрытом
конфликте является рефлексивное управление, под которым понимают [11] передачу
оснований для принятия (выгодных) решений.
Вместе с тем встречаются и ситуации прекращения
конфликта без достижения критической точки, несмотря даже на приток ресурсов извне.
Такая ситуация известна как разрядка, катарсис - снижение интенсивности
конфликтного процесса при минимуме изменений факторов, определяющих его
интенсивность. Наиболее вероятен успех того катарсиса, который создается
разрядкой агрессивности на эрзац-объект [12].
Рисунок 1.6 Этапы развития
конфликтной ситуации
Завершение инцидента - необходимое,
но недостаточное условие прекращения конфликта, который может возобновиться,
если стороны продолжают находиться во фрустрирующем состоянии и искать его
причину. Наиболее эффективным изменением конфликтной ситуации, позволяющим
погасить конфликт, является устранение причины конфликта. Однако в случае
высокой эмоциональной напряженности устранение причины конфликта обычно никак не
влияет на действия его участников или влияет, но очень слабо. Поэтому для
эмоционального конфликта наиболее важным моментом изменения конфликтной
ситуации следует считать изменение установок соперников относительно друг
друга. Разрешение конфликта возможно:
при изменении требований одной или
всеми сторонами, когда противники идут на уступки и изменяют цели своего
поведения в конфликте;
в результате истощения ресурсов
сторон;
в результате вмешательства третьей
силы, создающей подавляющий перевес одной из сторон;
в результате полного устранения
противника.
Для разрешения различных (социальных
и межгосударственных) конфликтов все чаще используется информационная сфера,
способствующая повышению эффективности способов воздействия на противника,
когда, с одной стороны, осуществляют воздействие на информационную сферу
«противника», а с другой - принимают ряд мер по защите элементов своей
информационной сферы от деструктивного и управляющего воздействия [13].
Применяемые при этом средства имеют своей целью, как правило, не
непосредственное физическое уничтожение противостоящей стороны, а управление
информационным обеспечением ее деятельности.
Проведенный анализ общей теории
конфликта и ее проекция на информационную сферу позволяют констатировать, что
модель конфликта в информационной сфере в свете общей теории конфликта имеет
следующие особенности и контекст. Причина конфликта неустранима, так как
неустранимы императивные стратегии государств (коалиций государств), играющих
ключевые роли на мировой арене. Если представить некой абстрактной константой
мирового баланс (потенциал), являющийся функцией политической, экономической и
др. составляющих, то его «значение» будет суммой потенциалов указанных
государств. В случае утраты позиций одним из государств его потенциал будет
«поделен» оставшимися. Если какое-либо государство желает увеличить свой
потенциал, то другое должно будет его лишиться. Таким образом, участников
конфликта можно считать обезличенными и также неустранимыми, а стадию
разрешения конфликта исключить из модели конфликта в информационной сфере.
Острота и длительность конфликта
взаимосвязаны (обратно пропорциональны). Если открытые столкновения
противоборствующих сторон не рассматривать, то конфликты в информационной сфере
между системами несанкционированного мониторинга и защиты являются конфликтами
значительными по длительности и незначительными по своей остроте. Наиболее
актуальными в рамках защиты являются конфликты со скрытыми действиями
соперников, когда основным способом действий является рефлексивное управление.
В случае достижения критической точки конфликтные взаимодействия между
противоборствующими сторонами выходят за рамки информационной сферы. Скорее
всего, стадия непосредственного конфликта будет использовать те преимущества в
информационной сфере, которые были созданы на предконфликтной стадии.
Предконфликтная стадия представляет наибольший научный и практический интерес,
поскольку при правильном выборе стратегии и способов действий можно
предотвращать возникающие конфликты и накапливать превосходство.
Конфликт в информационной сфере
относится к числу явлений, которые не могут быть корректно заданы в одном
системном представлении. Для его описания (моделирования) необходимо задать, по
меньшей мере, три различных системных представления (проекции) конфликта в
информационной сфере: как силового противодействия; как соотношения
информационно-управляющих систем противоборствующих сторон; как рефлексивного
взаимодействия противоборствующих сторон.
В первом случае конфликт
представляется как силовое взаимодействие массивов техники, где техническим
средствам реализации преднамеренных деструктивных воздействий (ПДВ) и
несанкционированного мониторинга противостоит средство (система) ЗИ. Средства
каждой из сторон задаются параметрами входящих в них единиц, их количеством и
типом. Средства защиты реализуют принцип силового блокирования защищаемой
информации и имеют некоторые потенциальные возможности по противодействию
деструктивным возможностям нарушителя. Особенностью такой модели является то,
что в ней не принимается в расчет квалификация лиц, эксплуатирующих технические
средства, тогда как реальное течение конфликта определяется не только
расстановкой сил и средств (позиционные возможности). Потенциал каждой единицы
соответствует, например, требованиям ФСТЭК по некоторому классу защищенности.
Однако классический принцип пропорциональности сил и средств в информационной
сфере не применим. Традиционное представление конфликта - силовое
противодействие сторон (эта модель - одна из принципиальных причин неразрешимости
ряда проблем в области защиты) и их информационно-управляющих систем.
В случае представления конфликта как
соотношения информационно-управляющих систем массивы технических средств должны
быть организованы в систему, элементы которой соединяются каналами связи. Для
описания конфликта необходима модель функционирования информационно-управляющих
систем, которая может быть создана независимо от представления конфликта как
силового противодействия. Это системное представление дает возможность сопоставить
противников по свойствам оперативности и своевременности принятия решений. Оно
позволяет исследовать выполнение требований, предъявляемых к
информационно-управляющей системе безотносительно к качеству выработанных
решений.
Представление конфликта как рефлексивного
взаимодействия противоборствующих сторон, когда рассматривают процессы принятия
решения противниками и их взаимодействие при принятии решений, все еще
недостаточно изучено. Такое представление может изучаться независимо от
выделения информационно-управляющих систем и их силового противодействия.
Для того чтобы задать полное
описание конфликта в информационной сфере, необходимо рассматривать описанные
различные системные представления (проекции) в комплексе, как единое целое, так
как несмотря на «внешне» правильное функционирование всех составляющих системы
автоматизации управления, можно влиять на результаты работы конкретных ее
подсистем в нужном направлении. Подобным образом можно было влиять на
функционирование системы управления и в то время, когда не использовались АС.
Однако в настоящее время такое явление получило гораздо большее распространение
в связи с повышенной уязвимостью АС, отставанием в разработке средств защиты
информации от развития информационно-телекоммуникационных технологий и средств
нападения и обусловленными этим возможностями осуществления скрытого
управления.
Таким образом, в условиях конфликта
в информационной сфере ВС РФ, целесообразно проводить защиту СС не дожидаясь
наступления острой фазы конфликта, посредством рефлексивного управления
противником на ранних стадиях конфликта, где имеет место исследование СС
посредством несанкционированного мониторинга.
В связи с вышеизложенным для решения
задачи защиты ФЛССС от исследования необходимо:
разработать методическое обеспечение
по защите от исследования ФЛССС, посредством введения противника в заблуждение
о составе, структуре и алгоритмах функционирования СС;
на основе методического обеспечения
разработать специальное ПО;
определить критерии (показатели)
оценки эффективности формирования защищенной от исследования ФЛССС;
определить показатели и провести
оценку эффективности разрабатываемого ПО.
Выводы
Таким образом, в рамках проведения анализа
задачи защиты ФЛССС от исследования было выявлено, что интеграция систем
военной связи с ЕСЭ РФ значительно повышают возможности вскрытия
функционально-логической структуры системы связи посредством проведения
несанкционированного мониторинга. При этом построение ЕСЭ РФ на
телекоммуникационном оборудовании преимущественно иностранного производства,
определяет наличие средств исследования в виде недекларированных возможностей и
скрытых уязвимостей аппаратуры связи.
Рассмотрение модели процесса вскрытия системы
связи противником при проведении несанкционированного мониторинга показало, что
противник имеет возможность, посредством поэтапного исследования СС, построить
адекватную модель системы связи, которая в свою очередь отражает систему
управления войсками (силами).
Исходя из этого, сделан вывод о необходимости
проведения мероприятий по защите ФЛССС в условиях проведения противником
несанкционированного мониторинга и исследования системы связи.
Также была рассмотрена модель конфликта в
информационной сфере ВС РФ, которая определила этап в процессе информационного
противоборства на котором мероприятия по защите СС от исследования будут иметь
максимальную эффективность, тем самым определяя место подсистемы защиты СС от
исследования в условиях конфликта в информационной сфере ВС РФ.
2. Методическое
обеспечение по защите от исследования функционально-логической структуры
системы связи
.1 Модель защиты от
исследования функционально-логической структуры системы связи
Задачи проектирования СС в большинстве случаев
сводятся к комбинаторным оптимизационным задачам большой размерности. В связи с
этим удобно использовать адаптивные методы организации поиска, при которых
композиция эвристических процедур формируется из заданного множества эвристик в
процессе решения задачи с учетом успешности использования создаваемых
композиций на предыдущих этапах поиска [14].
В таких условиях основное значение имеют
гипотезы или эвристические предположения о наиболее перспективных направлениях
поиска, в которых можно ожидать хорошее или оптимальное решение. Эти гипотезы
могут формулироваться лицом принимающим решение непосредственно в процессе
решения задачи или подготавливаться заранее в форме некоторых алгоритмически
реализуемых правил (эвристик), которые определяют процедуру машинного поиска.
Анализ литературы показал, что для решения задач
анализа и синтеза динамики структур, описываемых графами, в 70-х годах XX-го
века советские ученые разрабатывали теорию, к которой применяли термин
«графодинамика». Аппарат этот малоизвестен и на русском языке было выпущено
лишь несколько публикаций [15, 16, 17]. Графовые грамматики являются одним из
направлений графодинамики и берут свое начало от теории формальных грамматик и
языков. Их появление связано главным образом с описанием классов изображений.
Графовые грамматики бывают двух типов:
порождающая и трансформирующая. Порождающая графовая грамматика содержит
конечное множество исходных графов и конечное множество правил допустимых
локальных преобразований графов. Эта грамматика определяет класс графов (может
быть и бесконечный), содержащий все графы, выводимые из исходных при помощи
правил грамматики. Если набор исходных графов не задан, грамматика называется
трансформирующей. Она преобразует при помощи своих правил подстановки
предъявленный ей граф, когда такое преобразование возможно.
Этот способ описания классов графов и их изменений
в дискретном времени, в отличие от других направлений графодинамики, не
накладывает никаких ограничений на вид графов, что очень важно для решения
поставленных задач. Язык графовых грамматик является очень удобным средством
для описания преобразований графа (ФЛССС), если всякое изменение его структуры
сводится к независимым изменениям ее ограниченных частей, например в случае,
когда граф настолько велик, что описание его глобального преобразования
невозможно.
Формальные грамматики используются для порождения
(и преобразования) множеств цепочек символов (слов) из конечного набора
символов (алфавита). В нашем случае такой выходной цепочкой будет граф. В
формальной грамматике заданы конечный алфавит V и система правил подстановки
вида
(2.1)
Множество цепочек символов, выводимых по этим
правилам из заданного начального символа, называется языком, порождаемым этой
грамматикой.
Порождающей грамматике можно придать следующую
графовую трактовку: каждую цепочку символов, например a1a3a10a2, можно
трактовать как граф-цепочку, у которого вершины помечены указанными символами,
а дуги указывают порядок вхождения символов в цепочку. Система правил
подстановки рассматривается как система правил замены подграфов в графах-цепочках.
Порождение грамматикой цепочек символов трактуется как порождение
графов-цепочек.
Более позднее направление в теории графов
представляет собой естественное обобщение указанной выше трактовки порождающих
грамматик, но при этом имеются в виду не графы-цепочки, а графы произвольного
вида и рассматриваются правила замены одних подграфов другими. Однако, если в
случае графов-цепочек способ замены некоторого i-го подграфа на j-й всегда
очевиден (так как i-й и j-й подграфы-цепочки, имеющие не больше двух связей с
остальной частью графа, - два свободных ребра), то для графов более общего вида
способ включения нового подграфа не очевиден и должен быть доопределен в
правилах подстановки. Такие способы включения могут быть различными в каждом
конкретном случае, однако имеются стандартные формы графовых грамматик, в
которых вводятся однотипные, стандартные правила включения за счет, возможно,
увеличения числа правил подстановки.
Графовой грамматикой, согласно [15, 16]
называется тройка <V, I, R>, где V - конечный алфавит, являющийся
объединением двух непересекающихся алфавитов V=VNÈVT
(VT называется терминальным, а VN - нетерминальным алфавитом), I - исходный
(начальный) граф, R - конечное множество «графовых» правил подстановки.
Каждое правило подстановки содержит два графа -
заменяемый (левая часть правила) и заменяющий (правая часть правила), вершины
которых несут метки из алфавита V, описание алгоритма погружения,
определяющего, каким образом следует включать заменяющий подграф вместо
заменяемого.
Каждый шаг порождения (вывода) графа состоит в
том, что на порожденном за предыдущие шаги графе, вершины которого несут метки
из алфавита V, находится какой-либо из подграфов, совпадающий с левой частью
одного из правил, и этот подграф заменяется другим, совпадающим с правой частью
того же правила при помощи алгоритма погружения.
Процесс порождения начинается с исходного графа
I и заканчивается, как только будет построен граф, у которого среди меток
вершин не осталось символов из алфавита VN. Если на каком-либо шаге вывода ни
одно правило неприменимо, а на графе имеются метки из VN, процесс порождения
обрывается.
Грамматика, работающая описанным способом,
называется порождающей графовой грамматикой. С каждой порождающей графовой
грамматикой связывается класс графов, которые она порождает из исходного графа
I.
Наряду с порождающей графовой грамматикой может
быть построена сходная конструкция, описывающая способ преобразования графов.
Эта конструкция отличается от порождающей графовой грамматики лишь тем, что в
ней не задается исходный граф, а правила подстановки применяются к любому графу
из некоторого класса. В частности, такую грамматику можно построить так, что
вывод в ней можно закончить после любого (в том числе и нулевого) числа
применений правил. Для этого достаточно, чтобы в грамматике были заданы
правила, позволяющие заменить любую метку вершины из VN на метку из VT,
независимо от вида графа.
Пусть теперь задан какой-либо граф. Вообще
говоря, к нему могут быть применимы несколько правил из заданного набора,
причем каждое из них может быть применено в разных «местах» графа, так как граф
может содержать несколько одинаковых подграфов, любой из которых можно
заменить. К каждому из полученных так графов могут быть вновь применены те же
правила и т. д. Подобная конструкция задает как бы «уравнение изменения графа»
в форме преобразований, которые в исключительных случаях (возникающих, когда на
каждом шаге единственным образом применяется только одно правило подстановки)
порождают единственную траекторию - последовательность графов.
Конструкцию, работающую таким образом, далее
будем называть трансформирующей графовой грамматикой.
Модели графовых грамматик делятся на два класса,
каждый из которых связан с одной из трактовок термина «граф», а именно граф
можно рассматривать как множество ребер, имеющих общие узлы, или как множество
вершин, связанных ребрами. В обычной теории графов обе трактовки дают
одинаковые формальные результаты, различия возникают при рассмотрении более
сложных объектов, таких, например, как гиперграфы. В графовых грамматиках от
трактовки термина «граф» зависит способ замены подграфа на данный граф.
В вершинной графовой грамматике при замене в
графе одного подграфа на другой из исходного графа удаляются все вершины,
принадлежащие заменяемому подграфу, и все ребра (или дуги, если граф
ориентированный), у которых хотя бы один конец инцидентен вершине из
заменяемого подграфа.
Таким образом, для решения сформулированных
задач защиты ФЛССС от исследования необходимо разработать трансформирующую
вершинную графовую грамматику, включающую набор правил преобразования элементов
графа ФЛССС, исходящие из теоретических предпосылок защиты от исследования и
применимые к любому графу СС.
2.1.1 Правила
преобразований для формирования защищенной функционально-логической структуры
системы связи
Поскольку графовые грамматики оперируют
правилами подстановки подграфов, целесообразно отображать их в виде рисунка,
включающего заменяемый и заменяющий подграф, комментирующей его формулы, а
также словесных описаний и формул, накладывающих требования и ограничения к
замене.
Условимся использовать следующие обозначения:
вершина Unr - вершина с номером n, и степенью -
r (количеством инцидентных ей ребер);
подграф {Unr (Ul, Um, Uk)} - вершина Unr
которого является основной (той вершиной, в рамках которой управление ДМП
позволяет достигать преобразования), а в скобках указываются вершины, с
которыми связана основная вершина подграфа (количество указанных в скобках
вершин соответствует степени r основной вершины);
степень rmax - максимальная степень вершины
(нескольких вершин) в исходном графе;
номер вершины nmax - максимальный номер вершины
в текущем (исходном или преобразованном графе до применения очередного
правила), необходимый для обозначения номеров новых вершин графа;
правило U73 (U4, U5, U6) ®
U74 (U4, U5, U6, U10), описываемое, как и в формальных грамматиках, будет
означать, что вершина U7 переходит в саму себя, но при этом ее степень r
повышается на единицу, и она получает дополнительное ребро, связывающее ее с
вершиной U10.
Здесь и далее под основной вершиной понимается
вершина, отображающая такой УС, на котором должны быть выполнены действия,
позволяющие достичь задаваемых правилами преобразований.
Например, на рис. 2.1 графически изображено
правило преобразования, описанное выше.
Рисунок 2.1 - Правило преобразования графовой
грамматики
Далее графически и в символьном виде
сформулированы основные правила преобразований, необходимые для решения задач
защиты ФЛССС от исследования, а также будут даны ограничения и физический смысл
использования таких правил.
Правило преобразования 1(Ul, Um, Uk, …) ®
Unr (Ul, Um, Uk, …) + Unmax+1r (Ul, Um, Uk, …) - правило, изображенное на рис.
2.2, и заключающееся в добавлении в исходный граф дополнительной вершины
Unmax+1, полностью дублирующей основную вершину Unr заменяемого подграфа по ее
связям с остальными вершинами графа.
Физически такое правило можно интерпретировать
созданием в СС ложного УС, который будет связан ИП с теми же УС, что и УС,
интерпретируемый в графе вершиной Un, что может быть вызвано необходимостью
усложнения ФЛССС на информационном поле исследования противника.
Рисунок 2.2 - Правило преобразования ФЛССС №1
Правило преобразования 2(Ul, Um, Uk, …) ®
Unr (Ul, Um, Uk, …) + Unmax+1r-i (Um, …) - правило, изображенное на рис. 2.3, и
заключающееся в добавлении в исходный граф дополнительной вершины Unmax+1, с
уменьшенной на величину i (например, на единицу), где i≤(r-1), степенью
(количеством связей с другими вершинами), т. е. не полностью дублирующей
основную вершину Unr заменяемого подграфа по ее связям с остальными вершинами
графа.
Рисунок 2.3 - Правило преобразования ФЛССС №2
Физический смысл правила 2 почти не отличается
от правила 1. Однако совместное использование первого и второго правил позволит
внести разнообразие в преобразуемую ФЛССС, а также сэкономить ресурс,
необходимый на формирование ложных ИП от ложного УС.
Правило преобразования 3(Ul, Um, Uk, …) ®
Unr-i (Ul, …) - правило, изображенное на рис. 2.4, и заключающееся в понижении
степени r основной вершины заменяемого подграфа на величину i (удалении
некоторых связей между вершинами). При этом сами вершины, связи с которыми
удаляются, остаются в преобразованном графе.
Рисунок 2.4 - Правило преобразования ФЛССС №3
Физический смысл этого преобразования
заключается в скрытии части связей какого-либо УС на информационном поле
исследования противника за счет скрытия ИП, их отражающих. Например, путем
обеспечения канала связи, недоступного для противника, от этого УС к другим
[18].
Правило преобразования 4
а) Unr (Ul, …), Uj, … ®
Unr+i (Ul, Uj, …) - правило, изображенное на рис. 2.5а, заключающееся в
повышении степени r вершины Un на величину i и добавлении в исходный граф
дополнительных связей с другими вершинами для указанной вершины [(r+i) ³
rmax]. При этом новые связи могут быть инцидентны уже существующим в графе
вершинам (т.е. связать основную вершину подграфа с другими вершинами исходного
графа), а могут быть добавлены вместе с новыми вершинами как на рис. 2.5б.
б) Unr (Ul, …) ® Unr+i (Ul,
Unmax+1, …)
Физический смысл такого преобразования
заключается в повышении уровня иерархии узла СС, интерпретируемого в графе
вершиной Un, и усложнения структуры СС. Повышение уровня иерархии узла СС
вызвано необходимостью смещения акцента с наиболее важных в СС УС, на
второстепенные УС.
а
Рисунок 2.5а - Правило преобразования ФЛССС №4
(а)
б
Рисунок 2.5б - Правило преобразования ФЛССС №4
(б)
Кроме того, при добавлении новой вершины в
исходный граф, она может быть связана не только с основной вершиной, но и с
другими вершинами графа, как это показано на рис. 2.6:
в) Unr (Ul, …), Uj, Uhr1 (Ug, …) ®
Unr+i (Ul, Uj, Unmax+1, …), Unmax+1r1+1 (Ug, …)
Рисунок 2.6 - Правило преобразования ФЛССС №4
(в)
Правило преобразования 5(Ul, Um, Uk, Uj, Uh, …) ®
Unrmax-i (Ul, …) + Unmax+1j (Uk, …) + … - правило, изображенное на рис. 2.7, и
заключающееся в понижении степени r вершины Un на величину i (i=j+…) и
добавлении в исходный граф новых вершин, забирающих часть связей основной
вершины заменяемого подграфа на себя. Наибольший смысл применение этого правила
имеет в случае, когда степень r вершины Un наибольшая в СС (rmax), однако в
ряде случаев можно заменить в правиле Unrmax на Unr (т.е. понизить степень не
только вершины с максимальной степенью, но и других вершин).
Рисунок 2.7 - Правило преобразования ФЛССС №5
Физический смысл такого преобразования обратен
физическому смыслу преобразования путем правила 4 и заключается в понижении
уровня иерархии УС, интерпретируемого в графе вершиной Un, и усложнения
структуры СС. Понижение уровня иерархии УС также вызвано необходимостью
смещения акцента с наиболее важных УС на второстепенные (отвлечение противника
на другие цели). Такая необходимость является следствием того, что количество
связей УС с другими узлами равное rmax с наибольшей вероятностью будет у УС,
занимающего высший уровень иерархии в СС.
Правило преобразования 6(Ul, …) ®
Unr (Ul, …) + Unmax+1r+i (Uf, Ug, Uk, Uj, Uh, …) - правило, изображенное на
рис. 2.8, и заключающееся в добавлении в исходный граф дополнительной вершины
Unmax+1 с увеличенной на величину i степенью (количеством связей с другими
вершинами), и при этом не имеющей дублирующих по сравнению с заменяемым
подграфом связей основной вершины Unr. Наибольший смысл такая процедура имеет в
случаях, когда степень вершины Unr мала (стремится к единице).
Рисунок 2.8 - Правило преобразования ФЛССС №6
Суть этого преобразования играет важную роль при
смещении акцентов противником на второстепенные УС. Физический его смысл
заключается в создании ложного УС высокого уровня иерархии (с большим
количеством связей с другими УС), играющего перед противником отвлекающую роль.
Важно, что все представленные правила
преобразований позволяют исказить и усложнить ФЛССС на информационном поле
исследования противника. Последние же три правила (4, 5, 6), применяемые
одновременно к разным узлам, позволят существенно исказить информацию об
оперативно-тактической принадлежности УС, входящих в ФЛССС, формируемую на
информационном поле исследования противника. Одно из них будет снижать уровень
иерархии УС, а другие два будут повышать его для других УС. В случае применения
описанных преобразований в СС ПДВ будут направлены на второстепенные УС.
2.1.2 Правила
преобразований функционально-логической структуры системы связи с учетом
информации о направлениях и интенсивности информационных потоков
До сих пор рассматривались только правила
преобразования ФЛССС без учета информации о направлениях и интенсивности ИП.
Необходимо разработать дополнительные правила
преобразований, которые в сочетании с уже разработанными позволят
преобразовывать ориентированный граф с учетом информации об интенсивности и
направлениях ИП.
Из представленных в п. 2.1.1 правил 1 - 6
преобразования ФЛССС видно, что связи (ИП) в правилах бывают трех типов:
связи, копирующие уже существующие в графе;
новые связи, для которых не проводится прямая
аналогия с уже существующими;
скрываемые в результате преобразования связи.
Введем следующие обозначения:
lij - связь (ребро графа) между i-ой и j-ой
вершинами (УС);
lmax - связь графа, имеющая максимальную
интенсивность.
Каждая связь l в графе ФЛССС и в
матрице интенсивностей ИП численно отображает интенсивность информационного
обмена между парой корреспондирующих УС. Для каждого из типов связей далее
сформулированы правила преобразования интенсивностей ИП.
Копирующие связи
Правило 1 (копирующее)
lij = lkj ,
где lij - копируемая
связь, lkj
- копирующая связь.
Данное правило говорит о том, что новая связь,
получаемая в результате преобразования и копирующая уже существующую, по
направлениям и интенсивностям ИП полностью аналогична копируемой.
Технологически дополнительная интенсивность обеспечивается маскирующим обменом.
Правило 2 (подражающее)
lkj = a ´ lij,
где a - коэффициент, отображающий степень
подражания (должен быть меньше единицы). Для возможности внесения разнообразия
в качестве коэффициента для правила могут быть одновременно заданы и выбираться
случайным образом при осуществлении преобразований три значения: а = 1/2, а =
1/3, a = 1/4.
Необходимо отметить, что в 1 и 2 правилах
копируемая связь не подвергается никаким изменениям.
Правило 3 (дробящее)
lkj = a ´ lij,
lij
= lij
´
(1-а).
Физический смысл этого правила заключается в
том, что информационный обмен i-го узла с j-м в результате преобразования
делится на две части - на информационный обмен i-го узла с j-м и k-ого узла с
j-м. Коэффициенты а и (1 - а) показывают, в каком соотношении происходит
деление, а интенсивность вычисляется от исходной интенсивности до преобразования.
Другой вариант этого же правила lij
= a ´
lij,
lkj
= lij
´
(1 -а ) позволяет внести дополнительное разнообразие.
Новые связи
Правило 4
lij = lmax,
где lij - новая связь.
Смысл этого правила заключается в том, что интенсивность новой связи выбирается
равной максимальной интенсивности в графе.
Правило 5
lij = а ´ lmax.
Этим правилом подразумевается, что интенсивность
новой связи будет вычислена как некоторая часть от максимальной в графе
интенсивности.
При этом для обоих правил следует учесть
возможность разных интенсивностей в разных направлениях:
lij = lji - интенсивность
информационного обмена от i-го УС к j-му равна интенсивности обмена в обратном
направлении;
lij = 0, lji = а ´
lmax,
или lji
= lmax.
В направлении от i-го УС к j-ому информационного обмена нет, а в обратном
направлении есть;
lij = а ´ lmax,
lji
= lmax
´
(1 - а). Информационный обмен есть в обоих направлениях, но разный по
интенсивности. Соотношение интенсивностей задается коэффициентом а.
Скрываемые связи
Правило 6
lij = 0. Единственное правило, говорящее о
скрываемой связи предписывает для скрытой связи установить интенсивность равную
нулю.
Если считать, что в первой группе правил
преобразования (неориентированного графа) определено, какая связь какого типа,
то выбор правила преобразования из этой группы будет определять какие правила
из второй группы необходимо использовать для преобразований ориентированного
графа с учетом информации о направлениях и интенсивности ИП.
2.2 Методика синтеза
защищенной от исследования функционально-логической структуры системы связи
Необходимо конкретизировать, что же понимается
под описанными преобразованиями ФЛССС, и какими средствами оно будет
осуществляться.
До настоящего момента уже разрабатывались методы
управления структурой СС [19]. Однако разрабатывались они применительно к
аналоговым СС. Суть методов сводилась к управлению маршрутами ИП в транспортной
сети с целью снижения разведдоступности; созданию ложных элементов СС реальными
силами, осуществляющими ложный информационный обмен, с целью отвлечения
противника на ложные цели; перемещению аппаратных из одного УС ПУ в другой с
целью создания у противника впечатления передвижения ПУ. На сегодняшний день в
цифровых СС появились новые ДМП, новые условия их получения противником, и вообще
новые условия для СС.
Задача синтеза защищенной от исследования ФЛССС
сводится к решению задачи структурного синтеза посредством применения
разработанных в п. 2.1 правил преобразования графа исходной структуры СС.
Итогом решения задачи структурного синтеза, должно стать получение графа
защищенной ФЛССС, который будет описывать состав СС, вскрываемой противником в
процессе исследования.
Для формирования защищенной ФЛССС возможно
использование одного из методов структурного синтеза (рис. 2.9)
Рисунок 2.9 - Применение методов
структурного синтеза для решения задачи формирования защищенной от исследования
ФЛССС
Прямой синтез защищенной ФЛССС представляет
собой формирование из исходной структуры массива вариаций преобразованных
структур, посредством последовательного применения, разработанных в п. 2.1,
правил преобразования ФЛССС. При этом выбор последовательности применения
правил, а также момента окончания синтеза возлагается на ЛПР. После окончания
формирования массива структур, необходимо произвести выбор наиболее защищенной
ФЛССС по критериям, которые будут описаны в п. 2.3.
Кроме прямого синтеза, может быть применен
обратный синтез (синтез через анализ). В отличие от прямого синтеза, синтез
через анализ подразумевает проведение оценки эффективности искажения структуры
перед выполнением каждой итерации формирования защищенной ФЛССС, т.е. выбор
правила преобразования происходит на основе анализа предыдущих преобразований.
В результате окончание итерационного цикла преобразования ФЛССС задается ЛПР в
виде значений параметров оценки эффективности синтеза ФЛССС, по достижении
которых полученная ФЛССС считается наиболее защищенной.
Таким образом, защищенную от исследования ФЛССС
можно получить с помощью прямого синтеза, либо посредством синтеза через
анализ. Также стоит отметить, что для прямого синтеза выполнение указываемых
ЛПР правил графовых преобразований и выбор из полученного массива структур
наиболее защищенную ФЛССС, целесообразно возложить на средства вычислительной техники,
разработав соответствующее ПО. Для синтеза ФЛССС через анализ целесообразно
автоматизировать весь процесс синтеза защищенной ФЛССС, с заданием ЛПР значений
параметров оценки эффективности в качестве исходных данными функционирования
ПО.
Исходя из вышеизложенного необходимо определить
критерии оценки эффективности синтеза (формирования) защищенной от исследования
ФЛССС.
2.3 Результаты синтеза
защищенной от исследования функционально-логической структуры системы связи
Разработано обеспечение, позволяющее
осуществлять практически бесконечное количество преобразований ФЛССС. Однако
для того, чтобы не превысить свои возможности (например, по наличию защитного
ресурса на преобразования в реальной СС), следует выполнить лишь достаточное и
необходимое количество преобразований.
Поскольку применение разработанного аппарата
позволяет получить множество вариантов такого преобразования, представляется
необходимым разработать методы, позволяющие количественно оценить эффективность
получаемых вариантов с целью выбора из них наиболее эффективного.
В первую очередь для получения обоснованного
решения необходимо обеспечить возможность выбора, т. е. с помощью
разработанного аппарата преобразований ФЛССС сформировать некоторое множество
вариантов преобразования. Во вторую очередь необходимо оценить эффективность
предлагаемых вариантов с целью выбора наилучшего.
Очевидно, что с целью снижения сходства реальной
ФЛССС и получаемой противником в результате исследования, оценку эффективности
целесообразно производить методами, позволяющими оценить это сходство [20].
Такая оценка может быть получена следующим
образом. Параметры ФЛССС могут быть приняты в качестве координат многомерного
пространства. При этом реальной ФЛССС, отражающей СУ, можно привести в
соответствие вектор S (Н1,…,НN), где H1, …,HN - параметры, количественно
характеризующие свойства ФЛССС, а логическую структуру, получаемую противником,
будет характеризовать вектор S', который в самом благоприятном для противника
случае (без осуществления преобразований ФЛССС и в случае полного вскрытия СС),
равен вектору S.
В этих условиях необходимо определение меры
близости реальной ФЛССС (вектор S), и ФЛССС, получаемой противником (вектор
S'). Мера близости - характеристика различимости двух гипотез, а также качества
имитации истинного объекта с помощью ложного. В математической статистике
известны несколько подходов к вычислению мер близости.
Анализ литературы [15, 16] показал, что наиболее
часто для количественных шкал в качестве меры близости применяется Евклидово
расстояние:
,(2.2)
где Нi и Н'i - компоненты признакового описания
реальной ФЛССС и ФЛССС, получаемой противником, соответственно.
Кроме того, проведенные в ходе исследования
эксперименты показали, что применение других известных мер близости, таких как
корреляция Пирсона, обобщенное степенное расстояние Минковского и расстояние Козина
в целом дает аналогичные (близкие к Евклидову расстоянию) результаты. А именно
- сохраняется тенденция, т. е. при изменении в большую или меньшую сторону
одного расстояния другое изменяется в ту же сторону.
Необходимо отметить, что для еще более качественной
и наглядной оценки эффективности необходимо выполнить классификацию всех
вариантов преобразования ФЛССС и выделить, таким образом, множество наиболее
эффективных вариантов из всех предлагаемых. То есть необходимо разбить
предлагаемые варианты преобразования на два множества эффективных и
неэффективных вариантов. Для выполнения такой классификации наиболее подходит
математический аппарат кластерного анализа (кластер-анализа).
Кластер-анализ - это способ группировки
многомерных объектов, основанный на представлении результатов отдельных
наблюдений точками подходящего геометрического пространства с последующим
выделением групп как «сгустков» этих точек [20]. Другие названия этого аппарата
(распознавание образов без учителя, таксономия, классификация) говорят о том,
что он позволяет решать задачу автоматически, без привлечения знаний человека,
а, следовательно, исключает возможность ошибочного решения задачи вследствие
влияния личных предпочтений оператора.
Кластер-анализ позволит нам разбить множество предлагаемых
вариантов преобразования ФЛССС на заданное число групп. Для решения этой задачи
необходимо применить иерархический алгоритм классификации ко всем вариантам
преобразования, включая и исходный вариант, отражающий реальную ФЛССС.
Иерархические алгоритмы классификации
выполняются по следующей схеме (рис. 2.10). Первоначально каждый объект из
множества объектов {An} считается отдельным кластером (бл. 1 и 2 на рис. 2.10).
Строится матрица расстояний размера n´n (n - количество
классифицируемых объектов), каждый элемент которой вычисляется с помощью
выбранной меры близости (бл. 4 на рис. 2.10). На следующем шаге объединяются
два кластера, которые образуют новый класс (бл. 5 на рис. 2.10). Далее
определяются расстояния от этого класса до всех остальных кластеров, и
размерность матрицы расстояний D сокращается на единицу.
Рисунок 2.10 - Обобщенный алгоритм иерархической
классификации
На p-ом шаге повторяется та же процедура на
матрице D(n-p) ´ (n-p), до тех пор, пока все
объекты не объединятся в один класс. В результате классификации строится
дендрограмма, отображающая последовательность включения исходных объектов в
кластеры и расстояния между классами. На рис. 2.11 представлен пример
дендрограммы.
Рисунок 2.11 - Пример дендрограммы, получаемой в
результате иерархической классификации
Слева указаны номера исходных объектов. Снизу
расположена шкала расстояний между кластерами. Вертикальная связь обозначает
объединение кластеров. Например, в соответствии с алгоритмом классификации
объекты 1 и 5 были первыми объединены в кластер, а вычисленная мера близости
между ними равна 1.
В работе [21] описано большое количество таких
алгоритмов. Однако в [21] показано, что конкретные алгоритмы кластеризации
отличаются друг от друга лишь шагом 4 алгоритма - способом вычисления близости
между кластерами. Кроме того, в этой же работе сказано, что задача
иерархической кластеризации может рассматриваться в рамках общей задачи
структурного анализа систем, что позволяет установить связи этой задачи с
другими задачами анализа структуры систем. И это как нельзя лучше подчеркивает
возможность применения этого аппарата для решения поставленных в исследовании
задач.
Анализ литературы [21, 22, 23] показал, что
наиболее часто используемыми методами вычисления расстояния между классами
являются метод ближнего соседа, метод дальнего соседа и метод средней связи.
Метод ближнего соседа предполагает вычисление
близости между кластерами как минимального из исходных расстояний между
отдельными элементами разных кластеров. Недостаток метода заключается в
цепочечном эффекте включения объектов в кластеры.
Метод средней связи предполагает, что близость
между кластерами определяется как среднее значение исходных расстояний между
элементами, принадлежащими этим двум классам. Такой метод не имеет четкой
физической интерпретации.
Метод дальнего соседа заключается в том, что
объединяются кластеры, в которых минимально расстояние между самыми далекими
друг от друга объектами. Этот метод позволяет разбить объекты на два кластера
таким образом, что они будут представлять из себя густые скопления объектов, но
при этом между собой кластеры будут достаточно далеки.
Кроме того, анализ, проведенный в ходе
исследований, показал, что наиболее адекватные результаты достигаются именно
методом дальнего соседа.
Для того чтобы получить наилучшее разбиение на k
частей, следует из числа связей дендрограммы, упорядоченных по убыванию длины
удалить k-1 связей [24]. Поэтому для получения двух кластеров следует из
дендрограммы удалить одну самую длинную связь. Один из этих кластеров будет
содержать исходный вариант ФЛССС, и соответственно все варианты преобразования
близкие к нему. Следовательно, сделав вывод о том, что все эти варианты
малоэффективны, следует их исключить из рассмотрения. Дальнейший же анализ
необходимо проводить только для вариантов преобразования вошедших во второй
кластер.
Целесообразно выполнять классификацию вариантов
преобразований отдельно по матрице связности графа ФЛССС и отдельно по матрице
интенсивностей. Из двух множеств наиболее эффективных вариантов обоих случаев
необходимо выделить для дальнейшего рассмотрения все варианты, входящие в
пересечение этих множеств.
Таким образом, представляется возможность
существенно сократить список анализируемых вариантов преобразования ФЛССС.
Кроме того, для каждого из наилучших вариантов существует два показателя
эффективности: показатель близости к исходной ФЛССС без учета информации о
направлениях и интенсивностях ИП rстр и показатель близости к исходной ФЛССС с
ее учетом rстрИП.
(2.3)
(2.4)
Чем выше указанные показатели у конкретного
варианта преобразования, тем меньше сходство между получаемой в результате
преобразования ФЛССС и исходной (т.е. больше отличий в этих структурах). Т.е. критерием
эффективности является
(2.5)
Показатель близости не имеет единицы измерения и
верхнего (максимального) значения, что требует его нормировки к единице:
(2.6)
Кроме того, необходимо оценить возможности реализации
ПДВ противником при формировании им искаженной ФЛССС. Сделать это можно
следующим образом.
Каждый УС в СС имеет определенную важность для
противника, отражающую принадлежность ПУ к уровню иерархии, которому он
принадлежит. При этом ПДВ противник будет осуществлять на наиболее важные УС, а
осуществление ПДВ с большой вероятностью лишит ПУ связи. Однако задача
преобразования ФЛССС направлена на введение противника в заблуждение
относительно оперативно-тактической принадлежности УС ПУ. В результате формирования
защищенной ФЛССС противник в случае осуществления ПДВ должен в первую очередь
воздействовать на второстепенные для системы управления УС. Следовательно, мы
имеем возможность выполнить оценку потерь в случае реализации предлагаемых мер
защиты и в их отсутствии.
Для этого, необходимо ввести показатель,
отражающий доступность пунктов управления в случае реализации противником ПДВ с
учетом их важности для СУ (их принадлежности к уровню иерархии) [19]:
,(2.7)
где rпу - показатель доступности пунктов
управления в случае реализации противником ПДВ;- коэффициент важности i-ого ПУ,
который зависит от его оперативно-тактической принадлежности;Î
[0, 1] - индикатор состояния УС i-ого ПУ, ki = 1, если i-ый УС ПУ функционирует,
ki = 0 - в противном случае.
Вычислять показатель доступности ПУ при
реализации конкретного преобразования, необходимо задав, например, количество
УС ПУ, на которые противник будет осуществлять ПДВ. При этом в случае, когда
противник не реализует ПДВ, все УС ПУ функционируют, т.е. показатель
доступности имеет свое максимальное значение, а в зависимости от количества УС
ПУ, подавляемых противником, и их важности, показатель будет уменьшаться.
Следовательно, в качестве показателя устойчивости ПУ для j-го варианта
целесообразно использовать отношение его rпу в случае реализации противником
ПДВ (rпуПДВj) к rпу в исходном состоянии (rпуИСХ):
(2.8)
Таким образом, мы получаем еще один показатель
эффективности для применяемого преобразования - показатель доступности ПУ.
Критерием эффективности в этом случае является:
(2.9)
В виду сложности ФЛССС и возможности различных
комбинаций правил ее преобразования, возможны такие варианты преобразований,
которые при больших затратах защитного ресурса имеют меньшую эффективность, и
этот факт необходимо учитывать при выборе наиболее эффективного варианта.
Следовательно, для оценки эффективности вариантов преобразования ФЛССС
необходимо оценивать и затраты ресурсов на нее. Так в виду ограниченной
пропускной способности линий связи в СС, при равной (относительно равной)
эффективности по остальных показателям следует выбирать вариант преобразования
ФЛССС, требующий меньших затрат по информационному обмену.
Для этого необходимо при наличии информации об
исходной ФЛССС рассчитать суммарные затраты на осуществление каждого из
вариантов преобразований ФЛССС. Суммарные затраты должны включать в себя
следующие составляющие:
ΔN - количество
добавленных по сравнению с исходным вариантом ФЛССС узлов (адресов узлов);
ΔM - добавленная по
сравнению с исходным вариантом интенсивность информационного обмена (объем
маскирующего обмена);
Δn - номинал затрат
на один адрес;
Δm - номинал затрат
на единицу трафика.
Номиналы затрат на адреса и трафик могут быть
заданы в виде неких весовых коэффициентов, отражающих важность параметра.
В результате суммарные затраты Z на реализацию
j-го варианта преобразования должны вычисляться следующим образом:
(2.10)
Очевидно, что по этому показателю наиболее
эффективным вариантом преобразования ФЛССС будет вариант, у которого Zварj
минимален, т.е. критерием эффективности является:
(2.11)
Таким образом, сформулированы 4 показателя и
критерии для оценки эффективности вариантов преобразования ФЛССС:стрj -
показатель эффективности j-го варианта преобразования ФЛССС без учета
информации о направлениях и интенсивности ИП, rстр ®
1;стрИПj - показатель эффективности j-го варианта преобразования ФЛССС с учетом
информации о направлениях и интенсивности ИП, rстрИП ®
1;пуj - показатель эффективности j-го варианта преобразования в смысле
доступности ПУ в случае реализации противником ПДВ на УС, rпу ®
1;варj - суммарные затраты, необходимые для реализации j-го варианта
преобразования ФЛССС, Zварj ® min.
Следовательно, необходимо решить
многокритериальную задачу оптимизации, позволяющую по 4 заданным показателям
выбрать наиболее эффективный вариант преобразования ФЛССС.
С содержательной точки зрения решение
многокритериальной задачи оптимизации представляет собой некоторый компромисс
между переменными, отвечающими локальным оптимальным точкам элементов. Это
решение количественно отражает факт предпочтения интересов одних элементов
системы интересам других [25].
В зависимости от степени формализации процедуры
добывания дополнительной информации (как иногда говорят, раскрытия
неопределенности задачи), необходимой для определения меры сравнения частных
критериев, методы решения многокритериальных задач оптимизации делят на
эвристические и формальные [25]. Принципиальное отличие заключается в
предположении возможности получения необходимой для решения информации из самой
задачи (формальный подход) или только за ее пределами (эвристический подход).
В рамках эвристического подхода дополнительная
информация добывается за счет привлечения к задаче выбора эксперта (ЛПР).
Применение эвристического подхода может быть
оправдано либо тогда, когда математическая модель в задаче выбора отсутствует,
либо когда этапы применения математической модели и экспертных оценок четко
разделены.
Смысл применения формальных методов заключается
в том, чтобы обеспечить выделение информации, объективно содержащейся в самой
задаче, в количестве, необходимом для раскрытия ее неопределенности. В связи с
этим общая схема формального решения многокритериальной задачи предполагает
построение развитой математической модели с последующим использованием
полученной с помощью ее информации.
В рамках описанных методов оценки эффективности
вариантов преобразования ФЛССС нет однозначного взаимного влияния одних
показателей эффективности на другие. Так, например, невозможно точно и
однозначно оценить вклад применения конкретного правила преобразований в
изменение показателя доступности ПУ, кроме того, применение различных правил
влечет за собой различные затраты защитного ресурса. В целом влияние применения
правила будет зависеть от многих факторов, таких как: сложность структуры
исходного объекта, выбор правила преобразования, точка приложения правила и т.
д.
Кроме того, отбор наиболее эффективных по
сходству вариантов преобразования позволяет существенно сократить количество
вариантов для оценки. При этом необходимо учесть, что общее количество
вариантов преобразования ФЛССС должно быть ограничено сверху за счет введения
ограничений на затраты и ограниченных возможностей самой СС (например
пропускной способности линий связи).
Следовательно, на этом этапе решения задачи было
бы целесообразным возложить задачу окончательного выбора на ЛПР, т. е. решить
задачу эвристическими методами. Для принятия решения в таких условиях можно
применить метод, базирующийся на выведении всех, за исключением какого-либо
одного, частных критериев в ограничения, или установлении предпочтения на
частных критериях.
Например, при осуществлении выбора для ЛПР может
оказаться наиболее важным максимизация показателя доступности ПУ. Смысл выбора
такого показателя достаточно прост: необходимо выбрать такой вариант
преобразования, который позволит в условиях противоборства с противником не
потерять возможности управления войсками (силами). В таком случае не взирая на
остальные показатели эффективности, будет выбран вариант преобразования ФЛССС,
позволяющий достигнуть максимизации этого показателя. То есть будет решена
однокритериальная задача оптимизации с предварительным отбором вариантов,
подаваемых на вход для этой задачи, выполненным на этапе иерархической
классификации вариантов преобразования ФЛССС.
В качестве другого варианта решения задачи можно
предложить подход многокритериального позиционирования, который не является
методом в полном смысле этого слова. Скорее это некая технология представления
информации для облегчения принятия решения.
В поведенческом плане многокритериальное
позиционирование позволит увидеть сильные и слабые стороны различных вариантов
преобразований.
Для достижения цели модель позиционирования
должна отвечать следующим требованиям:
результаты моделирования должны быть наглядными
и позволять ясно интерпретировать взаимное расположение сравниваемых (конкурирующих)
альтернатив на демонстрационном поле;
позиционирование в векторном виде должно
выполняться в таком масштабе, который бы не только приводил все частные
критерии к безразмерным шкалам, но и отражал интуитивное понимание ЛПР их
сравнительной важности;
формирование критериев позиционирования должно
осуществляться на базе относительно однородных или связанных каким-либо
логическим основанием факторов.
Наглядность результатов достигается путем
построения векторной диаграммы сравнения вариантов преобразования ФЛССС по всем
показателям эффективности и по показателю затрат. Пример такой диаграммы
представлен на рис. 2.12. Получив диаграмму сравнения, ЛПР может принимать
решение о наиболее эффективном варианте преобразований из трех, представленных
на диаграмме. Учитывая, что возможны варианты, когда небольшой выигрыш в
эффективности сопровождается существенными затратами, ЛПР может это увидеть из
диаграммы и принять к сведению при осуществлении выбора.
Рисунок 2.12 - Пример векторной диаграммы
сравнения вариантов преобразования ФЛССС
Поскольку на диаграмме выбирается удобный для
отображения масштаб, ее можно сопроводить и табличными данными (табл. 2.1).
связь сервер защищенный
вычислительный
Таблица 2.1
Значения показателей эффективности
|
Пок-ли
эфф-ти
|
Номера
вариантов
|
|
1
|
2
|
3
|
|
rстр
|
0,887
|
0,481
|
0,618
|
|
rстрИП
|
0,736
|
0,47
|
0,47
|
|
rпу
|
0,9
|
0,78
|
0,5
|
|
Zвар
|
7830
|
7820
|
1830
|
Естественным при таком представлении информации
ЛПР является требование, ограничивающее количество вариантов, из которых
необходимо сделать выбор. В худшем случае это количество не должно превышать 10
вариантов. В лучшем случае от 3 до 5.
В целом необходимо отметить, что в зависимости
от того, сколько вариантов будет рассматриваться изначально, возможны некоторые
вариации действий для осуществления выбора. Например, для того, чтобы не
перегружать диаграмму многокритериального позиционирования большим количеством
вариантов может быть произведен отбор заданного количества наилучших вариантов
преобразования ФЛССС предыдущими описанными методами. То есть при проведении
этапа иерархической классификации можно делить дендрограмму, оставляя только
кластеры, содержащие лучшие варианты до тех пор, пока в кластере не останется
заданное количество вариантов. Либо после классификации может быть отдано
предпочтение одному из показателей эффективности и для представления ЛПР может
быть отобрано заданное количество наилучших по этому показателю вариантов
преобразования. Более того, могут быть последовательно выполнены и тот и другой
этапы.
Выводы
В рамках разработки методического обеспечения:
опираясь на теорию графов сформулированы правила
преобразования исходной ФЛССС;
разработана методика формирования защищенной от
исследования ФЛССС;
определены критерии оценки сформированной
защищенной от исследования ФЛССС.
Таким образом, описанное методическое
обеспечение в сочетании с особенностями перспективных цифровых СС ВН, позволяет
осуществлять управление структурой СС на информационном поле исследования
противника, не воздействуя на ее физическую составляющую, т. е. добавлять
ложные УС, осуществляющие ложный (маскирующий) обмен, не добавляя ни одной
аппаратной в СС. Для этого достаточно всего лишь управлять ДМП УС, проявляемыми
в ИП, которые анализирует противник, осуществляя исследование ФЛССС.
Поскольку в цифровой СС (в том числе и ОАЦСС ВС
РФ) каждый УС проявляет себя в информационном обмене персональным
идентификатором (сетевым адресом), использование тем же УС двух и более
идентификаторов и осуществление реального и маскирующего обмена со всех
идентификаторов позволит создать видимость присутствия в СС нескольких УС [26,
27]. Криптографическое закрытие информационной составляющей информационного
обмена позволяет скрыть от противника факт наличия маскирующего информационного
обмена, т. к. и реальная информация и случайный набор данных в зашифрованном
виде выглядят для противника одинаково, в случае если ему не удастся
декодировать их.
Таким образом, преобразования ФЛССС, получаемой
противником в результате ведения исследования, необходимо реализовывать путем
расширения адресного пространства УС ПУ и осуществления реального и
маскирующего информационного обмена с использованием всего адресного
пространства.
Вышеизложенное определяет необходимость
разработки научно-технических предложений, позволяющих осуществлять
формирование защищенной ФЛССС.
3. Научно-технические
предложения по защите функционально-логической структуры системы связи от
исследования
.1 Способ защиты
вычислительной сети с выделенным сервером
Способ защиты вычислительных сетей с выделенным
сервером, заключающийся в том, что предварительно задают N > 1 адресов
серверов, функции выбора адресов сервера FN(i) и выбора адреса для отправки
ложного пакета сообщений GN(i), где i = 1, 2, 3, … - шаг выбора адреса, а также
назначают текущий адрес сервера АТС, адрес клиента АК, а номерам шагов выбора
адресов сервера iC и клиента iК присваивают значения iC = 1 и iК = 1, при
отсутствии у клиента данных для передачи генерируют ложный информационный пакет
сообщений, кодируют и преобразуют его в формат TCP/IP, включают в ложный пакет
сообщений текущий адрес сервера, выбранный в соответствии с заданной функцией
GN(i), и передают его, при наличии у клиента данных для передачи формируют
пакет сообщений, кодируют и преобразуют его в формат TCP/IP, затем включают в
него текущий адрес сервера АТС, выбранный в соответствии с функцией FN(i) и
передают его на сервер, где выделяют адреса АТС и АК и сравнивают АТС с
адресом, выбранным по заданной функции FN(i), при их несовпадении принятый пакет
сообщений игнорируют, а при совпадении принятый из принятого пакета сообщений
выделяют кодированные данные и декодируют их, присваивают iC = iC + 1 и iК = iК
+ 1 и продолжают обмен пакетами сообщений до окончания у клиента данных для
передачи, отличающийся тем, что дополнительно задают К ≥ 1 адресов
клиентов, требующих кодирования информации при ее передаче, адрес АВС сервера
для восстановления связи, временной интервал ТС - контроля сервером состояния
соединения и максимально допустимую длину D пакета сообщений, а также задают
типы пакетов сообщений ложный, информационный и восстановительный, после
преобразования ложного пакета сообщений в формат TCP/IP в случае, если его
длина превышает максимально допустимую длину D, пакет сообщений фрагментируют и
дополнительно включают в него адрес клиента, при наличии у клиента данных
предварительно выбирают тип пакета сообщений, и в случае выбора информационного
типа формируют информационный пакет сообщений, причем преобразованный
информационный пакет сообщений, в случае его длины, превышающей максимально
допустимую длину D, фрагментируют, а после включения в информационный пакет
сообщений адреса сервера АТС дополнительно включают в пакет сообщений адрес
клиента АК, причем при неполучении от сервера запроса контроля сервером
состояния соединения в течение ТС и выборе типа пакета сообщений восстановления
связи у клиента формируют пакет сообщений с запросом на восстановление связи,
кодируют и преобразуют его в формат TCP/IP, и, в случае превышения его длины
предельного значения D его фрагментируют и включают в него адреса сервера
восстановления АВС и клиента АК, после чего передают пакет сообщений серверу,
после декодирования у клиента выделенных данных, идентифицируют тип полученного
пакета сообщений, и в случае информационного типа пакета сообщения
обрабатывают, а при завершении информационного обмена пакет сообщения на
восстановление связи игнорируют, а при продолжении информационного обмена
устанавливают iC = 1 и отправляют клиенту уведомление о восстановлении связи, после
чего у клиента устанавливают iC = iC + 1.
3.2 Специальное
программное обеспечение для формирования защищенной от исследования
функционально-логической структуры системы связи
В целях реализации методов формирования
защищенной ФЛССС необходимо разработать специальное программное обеспечение,
реализующее выполнение задач по защите ФЛССС от исследования, использование
которого на УС ПУ позволит управлять адресным пространством и ИП УС в ОАЦСС ВС
РФ по измененным алгоритмам.
Для передачи информации между корреспондирующими
УС ИТКС (ЛВС) посредством протоколов взаимодействия устанавливают соединение,
под которым понимают информационный поток от отправителя к получателю.
Для безопасной передачи (обеспечения
конфиденциальности и целостности информации) данных через сеть связи общего
пользования применяют криптографическую защиту информационной части пакетов
сообщений (рис. 3.1).
Рисунок 3.1 Обобщенная структура
пакета сообщений
При использовании таких механизмов в
открытом виде передают только IP-заголовок пакета сообщений (рис. 3.2). На рис.
Х штриховкой выделены поля адресов отправителя и получателя пакета сообщений.
Рисунок 3.2 Структура IP-заголовка
Исходя из вышеизложенного, необходимо
разработать программное обеспечение, позволяющее изменять адресную часть
IP-заголовка по заранее определенному алгоритму, тем самым добиваясь
динамического управления одним из ДМП УС ИТКС, а именно сетевым
идентификатором.
В виду того, что задача формирования защищенной
ФЛССС в рамках ОАЦСС ВС РФ в целом слишком сложна, возникает необходимость
макетирования, сохранив при этом основные аспекты решаемой задачи. Одним из
возможных решений задачи макетирования является развертывание ЛВС, в которой
будет возможность проведения перехвата и анализа циркулирующего трафика.
Так как основные аспекты программной реализации
задачи защиты ФЛССС от исследования - это изменение адресного пространства УС
ПУ и управление направлением и интенсивностью их ИП, в качестве атомарного
элемента СС следует выбрать пару корреспондирующих УС, которые в рамках
создаваемого макета будут представлять собой ПЭВМ с установленным на них
необходимым программным обеспечением. Логическая структура такого атомарного
элемента будет представлять собой совокупность из двух элементов и связи между
ними.
Таким образом возникает необходимость создания
испытательного стенда (макета) с целью разработки специального программного
обеспечения и оценки эффективности его внедрения в ОАЦСС ВС РФ. Основными
задачами создания испытательного стенда являются:
разработка специального программного
обеспечения, показывающего принципиальную возможность реализации разработанного
методического обеспечения;
оценка эффективности применения разрабатываемого
специального программного обеспечения для защиты ФЛССС от исследования;
оценка возможности внедрения разработанного
специального программного обеспечения в ОАЦСС ВС РФ;
оценка целесообразности разработки аппаратного
комплекса на основе криптомаршрутизатора (сетевого адаптера) решающего задачу
защиты от исследования ФЛССС.
Так как разработанное методическое обеспечение
предполагает участие ЛПР только лишь на этапе формирования графа защищенной
ФЛССС, то программное обеспечение, реализующее защиту ФЛССС от исследования
целесообразно выполнить в виде службы ОС МСВС 3.0, исходными данными для
которой будет являться представление защищенной ФЛССС, записанное в файл
конфигурации. Выбор ОС определяется наличием сертификата ФСТЭК, а также широким
внедрением данной ОС в ВС РФ, в том числе и в войсках связи.
Таким образом, разрабатываемое ПО должно
выполнять следующие задачи:
расширение адресного пространства ПЭВМ;
захват исходящего трафика и обработка заголовков
ПС;
динамическую фильтрацию входящего трафика;
Исходя из поставленных задач, разрабатываемое ПО
(служба) будет иметь модульную структуру (рис. 3.3).
Рисунок 3.3 - Модульная структура службы защиты
ФЛССС от исследования
Модуль конфигурирования (листинг 1 приложения)
выполняет чтение конфигурационного файла (таблица 3.1, 3.2), формирует ключевую
таблицу сети (программное представление защищенной ФЛССС), а также
конфигурирование службы при запуске. При запуске передает необходимые считанные
данные ядру службы.
Таблица 3.1
Структура конфигурационного файла
|
№
строки
|
Значение
|
|
1
|
Количество
узлов сети, на которых запущен (будет запущен) макет (N)
|
|
2
|
IP-адрес
собственного узла
|
|
3
|
Количество
дополнительных IP-адресов собственного узла (M)
|
|
4..(M+3)
|
Дополнительные
IP-адреса собственного узла
|
|
далее
|
Остальные
(N-1) узел по принципу собственного узла
|
Таблица 3.2
Пример составления конфигурационного файла
|
№
строки
|
Значение
|
Комментарий
|
|
1
|
2
|
количество
узлов, на которых запущена программа
|
|
2
|
192.168.0.10
|
собственный
IP-адрес (адрес 1-го узла)
|
|
3
|
3
|
Количество
дополнительных IP-адресов
|
|
4
|
192.168.0.11
|
1-й
дополнительный IP-адрес
|
|
5
|
192.168.0.12
|
2-й
дополнительный IP-адрес
|
|
6
|
192.168.0.13
|
3-й
дополнительный IP-адрес
|
|
7
|
192.168.0.5
|
IP-адрес
2-го узла, на котором запущена программа
|
|
8
|
4
|
Количество
дополнительных IP-адресов
|
|
9
|
192.168.0.6
|
1-й
дополнительный IP-адрес
|
|
10
|
192.168.0.7
|
2-й
дополнительный IP-адрес
|
|
11
|
192.168.0.8
|
3-й
дополнительный IP-адрес
|
|
12
|
192.168.0.9
|
4-й
дополнительный IP-адрес
|
Алгоритм функционирования конфигурационного
модуля отражен на рис. 3.4
Рисунок 3.4 - Алгоритм функционирования модуля
конфигурирования
Модуль управления адресным пространством
(листинг 2 приложения), производит расширение (свертывание) адресного
пространства УС (ПЭВМ), т.е. добавляет, либо удаляет IP-адреса сетевого
адаптера по команде ядра службы. Алгоритм работы модуля представлен на рис. 3.5
Рисунок 3.5 - Алгоритм функционирования модуля
управления адресным пространством
Модуль сопряжения с сетевым адаптером (листинг 3
приложения), используя библиотеку libcap, выполняет динамическую фильтрацию
входящего трафика, а также захват пакетов входящего трафика для его последующей
обработки. Алгоритм функционирования модуля отображен на рис. 3.6
Рисунок 3.6 - Алгоритм функционирования модуля
сопряжения с сетевым адаптером
Модуль обработки данных (листинг 4 приложения)
отвечает за организацию псевдослучайного выбора адресов взаимодействия, ведения
данных ключевой таблицы сети в части, касающейся счетчиков выбора
взаимодействующих адресов, а также обработку транспортного и сетевого
заголовков ПС. В процессе функционирования, непосредственно связан с
генератором чисел Фибоначчи (листинг 5 приложения). Алгоритм функционирования
модуля изображен на рис. 3.6
Рисунок 3.7 - Алгоритм функционирования модуля
обработки данных
Ядро службы (листинг 6) осуществляет
непосредственно организацию работы и взаимодействие всех модулей службы.
Алгоритм ядра службы представлен на рис. 3.8
Рисунок 3.8 - Алгоритм функционирования ядра
службы защиты ФЛССС от исследования
Исходя из модульного построения службы (см. рис.
3.3) принцип функционирования службы представляет собой последовательность
действий, описанных ниже.
При запуске службы, ядро запускает модуль
конфигурирования службы, который производит чтение файла конфигурации
(/etc/flsd.conf), заполняя ключевую таблицу сети. Далее ядро службы организует
расширение адресного пространства, передавая управление соответствующему
модулю. После проведения настройки службы и расширения адресного пространства,
управление передается модулю сопряжения с сетевым адаптером, который совместно
с модулем обработки данных производит динамическую фильтрацию входящего трафика
и передачу исходящего трафика, используя расширенное адресное пространство.
Динамическая фильтрация входящего трафика
обеспечивает получение приложениями ОС пакетов сообщений только от тех узлов,
на которых известен алгоритм изменения адресов (т.е. с активной службой защиты
ФЛССС), при этом отправка пакетов сообщений с необходимого адреса отправителя
на нужный адрес получателя обеспечивает прохождение пакетов сообщений через
фильтр входящего трафика.
Таким образом, служба защиты ФЛССС от
исследования выполняет поставленные перед ней задачи путем ввода противника,
осуществляющего анализ проходящего в СС трафика, в заблуждение, относительно
состава, структуры и алгоритмов функционирования СС, формируя на информационном
поле исследования противника искаженную ФЛССС, тем самым производя рефлексивное
управление противником, заставляя его принимать решение на осуществление ПДВ на
УС в условиях неопределенности обстановки.
Исходя из вышеизложенного, разработанная служба
защиты ФЛССС, во время функционирования, позволяет выполнять задачи по защите
элементов СС от ПДВ противника на этапе выбора цели для подавления. В связи с
этим необходимо произвести оценку эффективности применения разработанного ПО.
.3 Оценка эффективности
научно-технических предложений по защите функционально-логической структуры
системы связи от исследования
С целью оценки эффективности разработанного ПО,
на базе НИЦ Военной академии связи создан испытательный стенд. Для наиболее
точного макетирования условий функционирования СС в условиях исследования
противником ФЛССС в состав испытательного стенда вошли:
ПЭВМ корреспондирующих УС ОАЦСС ВС РФ, ведущих
информационный обмен, с установленной ОС МСВС 3.0, а также службой защиты
ФЛССС;
ПЭВМ противника, производящий сбор и анализ
циркулирующего в СС трафика программой «Wireshark» под управлением ОС Windows
XP (рис. 3.9);
коммутационное оборудование Hub 3Com
транслирующий поступающий трафик на все порты (с целью имитации наличия НДВ
аппаратуры связи УС ЕСЭ РФ);
В п. 2.3 были определены показатели оценки
эффективности преобразований ФЛССС, одним из которых является rпуj - показатель
эффективности j-го варианта преобразования в смысле доступности ПУ в случае
реализации противником ПДВ на УС, rпу ® 1. Аналогом
данного критерия для оценки эффективности разработанного ПО является отношение
интенсивностей обмена между корреспондирующими УС, формируемая разработанным ПО
на информационном поле исследования противника. Для этого выбранное программное
обеспечение анализа трафика позволяет динамически формировать список
корреспондирующих узлов СС с расчетом интенсивности трафика УС по отношению к
общей интенсивности трафика, циркулирующего в СС, принятую за 200 %.
С целью оценки эффективности применения
разработанного ПО для выполнения задач по защите СС от исследования было
проведено 2 испытания:
расчет интенсивностей трафика корреспондирующих
УС без применения ПО защиты ФЛССС от исследования;
расчет интенсивностей трафика с применением
разработанного ПО.
Выводы
В рамках разработки научно-технических
предложений по защите ФЛССС от исследования предложен способ защиты
вычислительной сети с выделенным сервером, позволяющий повысить защищенность
функционирования вычислительной сети с выделенным сервером, посредством
введения нарушителя в заблуждение, используя расширенное адресное пространство
для информационного обмена.
Также разработано ПО в виде службы ОС МСВС 3.0,
позволяющее решать задачи защиты ФЛССС от исследования, посредством ведения
информационного обмена через расширенное адресное пространство, в том числе в
совокупности с динамической фильтрацией входящего трафика позволяет повысить
защищенность УС ПУ от ПДВ (информационные потоки с IP-адреса нарушителя не
будут обрабатываться).
Проведена оценка разработанного ПО, которая показала
повышение защищенности СС от исследования при практическом применении по
критерию интенсивности трафика УС ПУ на информационном поле исследования
противника.
заключение
На основе анализа угроз ИБ ОАЦСС ВС РФ, а также
условий её функционирования в условиях проведения несанкционированного
мониторинга было выявлено, что противник путем перехвата ИП и их анализа имеет
возможность вскрывать СС, что позволяет противнику в свою очередь получать
информацию о структуре СУ, в рамках которой она функционирует.
В целях защиты от исследования было разработано
методическое обеспечение, позволяющее осуществить способы защиты ФЛССС путем
формирования на информационном поле исследования противника искаженной ФЛССС,
вводя его в заблуждение относительно структуры СС и, заставляя принимать
решение в условиях неопределенности обстановки.
С целью исследования проблемы защиты
функционально-логической структуры системы связи от исследования, а также
разработки научно-технических предложений в данной области, на базе НИЦ Военной
академии связи создан испытательный стенд «Исследование возможностей
мониторинга информационной безопасности АСУС ОАЦСС ВС РФ».
В результате проведенных исследований создана
служба ОС МСВС 3.0, использующая алгоритмы расширения адресного пространства УС
ПУ и управления направлением и интенсивностью ИП, выполняющая задачи по защите
ФЛССС от исследования (несанкционированного мониторинга).
По результатам оценки эффективности применения
разработанного ПО была построена сводная диаграмма, которая отражает
эффективность решения задачи защиты ФЛССС от исследования при использовании.
Полученные результаты отражают формирование на информационном поле исследования
противника искаженной ФЛССС, в том числе формирование «серого фона»
интенсивности циркулирующего трафика, что вполне удовлетворяет модульному
принципу построения УС ПУ и позволяет формировать «адекватное» рефлексивное
управляющее воздействие на противника, при этом акценты принятия решения на ПДВ
смещаются на ложные IP-адреса УС ПУ, что также повышает защищенность СС в
условиях информационного противоборства.
Также результатом данной работы можно считать
практическое доказательство возможности повышения защищенности СС в условиях
информационного противоборства посредством защиты ФЛССС от исследования на
этапе исследования СС и подготовки противника к проведению ПДВ.
Таким образом, дальнейшее направление развития
проблемы защиты ФЛССС от исследования определяет следующие задачи:
разработка руководящих документов по
предъявлению требований к защищенности СС ВН по критерию защиты ФЛССС от
исследования;
реализация разработанного методического
обеспечения в аппаратно-программном комплексе на основе криптомаршрутизатора
(сетевого адаптера);
автоматизация процесса преобразования исходной
ФЛССС в защищенную от исследования, посредством разработки специального
программного обеспечения.
Считаю, что задание на дипломное проектирование
выполнено качественно и в полном объеме на высоком научном уровне с
использованием современных методов исследования.
Список литературы
1. Карпов
Е.А. Место и роль системы связи и комплексов средств автоматизированного
управления ВС РФ. Перспективы их развития на основе внедрения современных
информационных технологий // Связь в Вооруженных Силах Российской Федерации.
Под ред. А.В. Сиденко - М. Компания «Информационный мост», 2008. С. 16-19.
. Карпов
Е. А. От каналов связи до мультисервисных сетей// Электросвязь. №3, 2007. С.
2-4.
. Максимов
Р. В. Концепция защиты систем связи, использующих ресурсы и услуги единой сети
электросвязи. Труды всеармейской НПК «Инновационная деятельность в ВС РФ». СПб,
2006. С. 3.
. Павловский
А.В., Кожевников Д.А., Максимов Р.В. Методы и алгоритмы защиты ведомственных
систем связи при использовании ресурсов Единой сети электросвязи. Труды
всеармейской НПК «Инновационная деятельность в ВС РФ». СПб, 2006. С. 4.
. Карпов
Е.А. Состояние и перспективы развития системы и войск связи ВС РФ // Связь в
Вооруженных Силах Российской Федерации. Под ред. А.В. Сиденко - М. Компания
«Информационный мост», 2007. С. 17-22.
. Коцыняк
М. А., Максимов Р. В. Концепция решения проблемы защиты информации в
автоматизированных системах // Системы связи. Анализ. Синтез. Управление.
Выпуск 13. Под ред. В. П. Постюшкова. - СПб.: Тема, 2004. С. 35-43.
. Blaauw,
G. A., von, Computer architecture // Elektronishe Rechenanlagen, 14, No. 4,
1972, С. 154-159.
. Павловский
А. В., Максимов Р. В. Модель процесса вскрытия системы связи и взаимосвязь
основных его этапов. Труды всеармейской НПК «Инновационная деятельность в ВС
РФ». СПб. 2006. С. 4.
. Сбор
критических данных без вторжения // http://bugtraq.ru/library/ security….
31.12.03 г.
. Олифер
В.Г., Олифер Н.А. «Компьютерные сети. Принципы, технологии, протоколы», учебник
для Вузов, 2-изд.; - СПб: Питер, 2003. С. 497
. Лефевр
В. А. Конфликтующие структуры. М.: Сов.радио, 1973. - 158 с.
. Лоренц
К. Агрессия (так называемое «зло»): Пер. с нем. М.: Издательская группа
«Прогресс», 1994. - С. 272.
. Модестов
С. А. Информационное противоборство как фактор геополитической конкуренции. -
М.: Издательский центр научных и учебных программ; М.: Московский общественный
научный фонд, 1999. - С. 80.
. Максимов
Р. В., Павловский А. В., Стародубцев Ю. И. Защита информации от технических
средств разведки в системах связи и автоматизации - СПб.: ВАС, 2007, С. 34.
. Петров
С.В. Графовые грамматики и задачи графодинамики // Автоматика и телемеханика.
№10, 1977. С.133
. Петров
С.В. Нормальная форма графовых грамматик// Автоматика и телемеханика. №6, 1977.
С.153
. Айзерман
М.А., Гусев Л.А., Петров С.В., Смирнова И.М., Тененбаум Л.А. Динамический
подход к анализу структур, описываемых графами (Основы графодинамики). Сборник
научных трудов Академии наук СССР «Исследования по теории структур». - М.:
Наука, 1988
. Павловский
А.В., Кожевников Д.А., Максимов Р.В. Выбор безопасного маршрута информационного
обмена в инфокоммуникациях. Труды всеармейской НПК «Инновационная деятельность
в ВС РФ». СПб, 2006. С. 4.
. Барашков
П. Н., Родимов А. П., Ткаченко А. М., Чуднов А. М. Модель системы связи с
управляемыми структурами в конфликтных условиях. - Л.: ВАС, 1986, С. 52.
. Павловский
А. В. Информационная безопасность и управление структурой цифровых систем
связи. Труды всеармейской НПК «Инновационная деятельность в ВС РФ». СПб, 2007.
С. 456-458.
. Мандель
И. Д. Кластерный анализ. - М.: Финансы и статистика. 1988. - С. 176.
. Жамбю
М. Иерархический кластер-анализ и соответствия: Пер. с фр.-М.: Финансы и
статистика, 1988. - С. 300.
. Вагин
В. Н. Дедукция и обобщение в системах принятия решений. - М.: Наука. Гл. ред.
физ. - мат. Лит. 1988. - С. 384.
. Веслав
Плюта, Сравнительный многомерный анализ в экономических исследованиях: Методы
таксономии и факторного анализа/Пер. с пол. В.В. Иванова; Науч. ред. В.М.
Жуковской. - М.: Статистика, 1980. - С. 151.
. Захаров
И. Г. Обоснование выбора. Теория практики. - СПб: Судостроение, 2006. - С. 526.
. Павловский
А. В., Максимов Р. В. Информационная безопасность и управление структурой
цифровых систем связи. Труды всеармейской НПК «Инновационная деятельность в ВС
РФ». СПб, 2006. С. 344-347.
. Павловский
А. В., Кожевников Д. А., Колбасова Г. С. Новые направления в обеспечении
безопасности информационного обмена. Труды конференции «Высокие технологии,
фундаментальные и прикладные исследования, образование» Т.7,2006, СПб, С.
189-191.
ПРИЛОЖЕНИЕ
Листинг 1
Модуль конфигурированияread_ini_file(char*
filename)
{fd;((fd = open(filename, O_RDONLY, 0700)) ==
-1)
{("%s open error\n", filename);(1);
}count;buf[2048];((count = read(fd, &buf,
sizeof(buf))) == -1)
{("Reading %s error\n", filename);(1);
}i = 0;j = 0;count_buf[3];(i < count)
{(buf[i] != '\n')
{_buf[j] = buf[i];++;
}
{_count = atoi(count_buf);++;;
}++;
}k;n;(k = 0; k < main_count; k++)
{[k].fib_ip_send_index =
1;[k].fib_ip_receive_index = 1;= 0;(i < count)
{(buf[i] != '\n')
{[k].main_ip[j] = buf[i];++;
}
{++;;
}++;
}= 0;(count_buf, "", 3);(i < count)
{(buf[i] != '\n')
{_buf[j] = buf[i];++;
}
{[k].add_ip_count = atoi(count_buf);++;;
}++;
}(n = 0; n < net[k].add_ip_count; n++)
{= 0;(i < count)
{(buf[i] != '\n')
{[k].add_ip[n][j] = buf[i];++;
}
{++;;
}++;
}
}
}(fd);0;
}
Листинг 2
Модуль управления адресным
пространствомwidering_adresses(struct net_key key, char alias)
{cmd[256];*stream;i;(i = 0; i <
key.add_ip_count; i++)
{(cmd, "", 256);(alias == '+')(cmd,
"ifconfig eth0:%d inet %s 255.255.255.0", i, key.add_ip[i]);(alias ==
'-')(cmd, "ifconfig eth0:%d down",i, key.add_ip[i]);= popen(cmd,
"w");(stream);
};
}
Листинг 3
Модуль сопряжения с сетевым адаптером=
pcap_lookupdev(errbuf_pcap);(dev != NULL)("Device %s is ready for
capturing\n", dev);("No devices for capturing!\n");_t *fp;((fp =
pcap_open_live(dev, 65536, 1, 20, errbuf_pcap)) != NULL)("%s was started
live capturing!\n", dev);
Листинг 4
Модуль обработки данныхanaliz (u_char *stuff,
const struct pcap_pkthdr *hdr, const u_char *packet)
{ip_hdr *ip_header;_header = (struct ip_hdr *)
(packet+14);udp_hdr *udp_header;tcp_hdr *tcp_header;_ptag_t ip4, tcp, udp;_char
*data;payload_s;errbuf_libnet[LIBNET_ERRBUF_SIZE];= libnet_init(LIBNET_RAW4,
NULL, errbuf_libnet);_open_raw4(lc);flag;i, j;= 0;(strncmp(inet_ntoa(ip_header->saddr),
net[0].main_ip, strlen(inet_ntoa(ip_header->saddr))) == 0)= 1;(i = 0; i <
net[0].add_ip_count-1; i++)
{(strncmp(inet_ntoa(ip_header->saddr),
net[0].add_ip[i], strlen(inet_ntoa(ip_header->saddr))) == 0)
{= 1;;
}
}(flag == 1)
{index;= 0;(i = 1; i < main_count-1; i++)
{(strncmp(inet_ntoa(ip_header->daddr),
net[i].main_ip, strlen(inet_ntoa(ip_header->daddr))) == 0)
{= i;;
}(j = 0; j < net[i].add_ip_count-1; j++)
{(strncmp(inet_ntoa(ip_header->daddr),
net[i].add_ip[j], strlen(inet_ntoa(ip_header->daddr))) == 0)
{= i;;
}
}(index != 0);
}fib_ip_send_index;fib_ip_receive_index;_ip_send_index
= generate_index(fibonachi(net[index].fib_ip_send_index),
net[0].add_ip_count);_ip_receive_index =
generate_index(fibonachi(net[index].fib_ip_receive_index),
net[index].add_ip_count);_header->saddr.s_addr = libnet_name2addr4(lc,
net[0].add_ip[fib_ip_send_index], LIBNET_DONT_RESOLVE);_header->daddr.s_addr
= libnet_name2addr4(lc, net[index].add_ip[fib_ip_receive_index],
LIBNET_DONT_RESOLVE);(ip_header->protocol == 6)
{_header = (struct tcp_hdr *) (ip_header +
sizeof(struct ip_hdr));= (u_char *) (tcp_header + sizeof(struct tcp_hdr));=
libnet_build_tcp(tcp_header->source,_header->dest,_header->seq,_header->ack_seq,_header->bits,_header->window,_header->check,_header->urg_ptr,>len-sizeof(struct
ip_hdr)-sizeof(struct tcp_hdr)-14,,>len-sizeof(struct ip_hdr)-sizeof(struct
tcp_hdr)-14,,
);=
libnet_build_ipv4(ip_header->tot_len,_header->tos,_header->id,_header->frag_off,_header->ttl,_header->protocol,
,_header->saddr.s_addr,_header->daddr.s_addr,sizeof(struct
tcp_hdr),>len-sizeof(struct ip_hdr)-14,,
);
}(ip_header->protocol == 17)
{_header = (struct udp_hdr *) (ip_header +
sizeof(struct ip_hdr));= (u_char *) (udp_header + sizeof(struct udp_hdr));=
libnet_build_udp(udp_header->source,_header->dest,_header->len,_header->check,,>len-sizeof(struct
ip_hdr)-sizeof(struct udp_hdr)-14,,
);=
libnet_build_ipv4(ip_header->tot_len,_header->tos,_header->id,_header->frag_off,_header->ttl,_header->protocol,
,_header->saddr.s_addr,_header->daddr.s_addr,sizeof(struct
tcp_hdr),>len-sizeof(struct ip_hdr)-14,,
);
}
}
}
Листинг 5
Генератор чисел Фибоначчиfibonachi(int
fib_index)
{fib;(fib_index == 0)
{("fib must be greater then 0!\n");-1;
}(fib_index == 1) return 1;(fib_index == 2)
return 1;(fib_index > 2) fib = fibonachi(fib_index-2) +
fibonachi(fib_index-1);fib;
}
Листинг 6
Модуль службыmain(int argc, char* argv[])
{*dev,
errbuf_pcap[PCAP_ERRBUF_SIZE];s;_ini_file("/etc/flsd.conf");_adresses(net[0],
'+');= pcap_lookupdev(errbuf_pcap);(dev != NULL)("Device %s is ready for
capturing\n", dev);("No devices for capturing!\n");_t *fp;((fp =
pcap_open_live(dev, 65536, 1, 20, errbuf_pcap)) != NULL)("%s was started
live capturing!\n", dev);pcap_pkthdr header;u_char *packet;*filter;
//sprintf(filter, "ip src 192.168.0.2 and
ip dst 192.168.0.1");bpf_program prg;_u_int32 netmask;= 0xffffff;
//pcap_compile(fp, &prg, filter, 1,
netmask);
//pcap_setfilter(fp, &prg);_loop(fp, -1,
analiz, NULL);_close(fp);(0);
}