Устройство для контроля защищенности рабочей станции комплекса средств автоматизации военного назначения от удаленных сетевых атак

Авторы патента:

G06F12/14 - защита от обращений к памяти посторонних пользователей

Предлагаемая полезная модель относиться к области вычислительной техники, а именно к информационным вычислительным системам и сетям, и может быть использована для реализации высокоэффективного процесса обнаружения и идентификации компьютерных атак на комплексы средств автоматизации военного назначения (далее по тексту - КСА ВН), с одновременным контролем в режиме реального времени защищенности рабочих станций комплекса от удаленных сетевых атак. Целью предлагаемого устройства является расширение функциональных возможностей по обеспечению безопасности функционирования КСА ВН в условиях информационного противоборства при воздействии компьютерных атак за счет создания подсистемы контроля защищенности рабочей станции КСА ВН от удаленных сетевых атак. Устройство содержит блок памяти, диспетчер обновления ИНП, блок данных, модуль анализа ТИП, блок оповещения и модуль анализа защищенности. Модуль анализа ТИП состоит из модуля обнаружения атак на 1 этапе реализации, модуля обнаружения атак на 2 этапе реализации и модуля обнаружения атак на 3 этапе реализации.

Наиболее близким техническим решением к заявляемому и принятым за прототип является устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения, содержащее блок памяти, блок данных, модуль анализа текущего индивидуального профиля (ТИП), диспетчер обновления индивидуального нормального профиля (ИНП) и блок оповещения (Пат.120792 Российская Федерация, МПК G06F 12/14, G06F 15/16, G06F 11/00. Устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения [Текст] / Исупов Антон Борисович, Юрков Владимир Александрович, Королев Игорь Дмитриевич; заявитель и патентообладатель Федеральное государственное военное образовательное учреждение высшего профессионального образования «Военная академия связи имени Маршала Советского Союза С.М. Буденного (г. Санкт-Петербург) Министерства обороны Российской Федерации. - 2011140039/08; заявл. 30.09.2011; опубл. 27.09.12.).

Известное устройство в полной мере удовлетворяет требованиям руководящих документов Министерства обороны Российской Федерации в части обеспечения качества обнаружения и идентификации компьютерных атак на КСА ВН, однако не способно использовать полученную в ходе работы информацию для контроля защищенности рабочей станции КСА ВН от удаленных сетевых атак.

Целью предлагаемого устройства является расширение функциональных возможностей по обеспечению безопасности функционирования КСА ВН в условиях информационного противоборства при воздействии компьютерных атак за счет создания подсистемы контроля защищенности рабочей станции КСА ВН от удаленных сетевых атак.

Цель достигается тем, что в предлагаемом устройстве используется модуль анализа защищенности.

В известном техническом решении имеются признаки, сходные с признаками заявляемого устройства. Это наличие блока памяти, блока данных, модуля анализа текущего индивидуального профиля (ТИП), диспетчера обновления индивидуального нормального профиля (ИНП) и блока оповещения.

В отличие от прототипа в заявляемом устройстве присутствует: модуль анализа защищенности, обеспечивающий в режиме реального времени контроль состояния защищенности рабочей станции комплекса средств автоматизации военного назначения от удаленных сетевых атак.

В связи с этим заявляемое техническое решение обладает существенными отличиями от известного прототипа. Заявитель не обнаружил аналогичных решений со сходными признаками заявляемого технического решения, в связи с чем заявитель делает вывод, что заявляемое решение обладает существенными отличиями.

На фиг. 1 изображена структурная схема устройства для контроля защищенности рабочей станции комплекса средств автоматизации военного назначения от удаленных сетевых атак. На ней показаны блок памяти (1), диспетчер обновления ИНП (2), блок данных (3), модуль анализа ТИП (4), состоящий из модуля обнаружения атак на 1 этапе реализации (4.1), модуля обнаружения атак на 2 этапе реализации (4.2) и модуля обнаружения атак на 3 этапе реализации (4.3), блок оповещения (5) и модуль анализа защищенности (6).

Устройство содержит блок памяти, диспетчер обновления ИНП, блок данных, модуль анализа ТИП, блок оповещения и модуль анализа защищенности. Модуль анализа ТИП состоит из модуля обнаружения атак на 1 этапе реализации, модуля обнаружения атак на 2 этапе реализации и модуля обнаружения атак на 3 этапе реализации.

Устройство работает следующим образом:

Производится первоначальная настройка устройства, при которой в (3) создаются 3 части индивидуального нормального профиля (ИНП) защищаемого объекта КСА ВН, а также для (4.1) устанавливается первоначальный порог чувствительности равный величине ₃;

За каждым объектом закрепляется 3 последовательности событий, которые составляют его индивидуальный нормальный профиль:

где - j-е событие первого набора i-го объекта; n - общее число событий, m - общее число объектов в КСА ВН;

где - j-е событие второго набора i-го объекта;

где - j-е событие третьего набора i-го объекта;

Каждое событие представляется в виде символов конечного алфавита (N-битовых идентификационных кодов).

В (4) формируется и анализируется текущий индивидуальный профиль КСА ВН.

В (4.1) формируется и анализируется 1 часть текущего индивидуального профиля КСА ВН.

В процессе функционирования КСА ВН формируется 1 часть текущего индивидуального профиля которая затем сравнивается с 1 частью индивидуального нормального профиля (1). В случае несовпадения с (1), регистрируется компьютерная атака на КСА ВН.

В случае если на основании анализа невозможно принять однозначного решения о наличии или отсутствии факта компьютерной атаки, т.е. когда присутствует частичное несовпадение 1 части ИНП и 1 части ТИП, но порог чувствительности не превышен, порог чувствительности понижается до величины ₅, и происходит переход к выполнению следующего этапа алгоритма.

В (4.2) формируется и анализируется на уровне ₅ порога чувствительности 2 часть текущего индивидуального профиля КСА ВН.

В процессе функционирования КСА ВН формируется 2 часть текущего индивидуального профиля , которая затем сравнивается со 2 частью индивидуального нормального профиля (2). В случае несовпадения с (2), регистрируется компьютерная атака на КСА ВН.

В случае если на основании анализа невозможно принять однозначного решения о наличии или отсутствии факта компьютерной атаки, т.е. когда присутствует частичное несовпадение 2 части ИНП и 2 части ТИП, но порог чувствительности не превышен, порог чувствительности понижается до величины ₉, и происходит переход к выполнению следующего этапа алгоритма.

В (4.3) формируется и анализируется на уровне ₉ порога чувствительности 3 часть текущего индивидуального профиля КСА ВН.

В процессе функционирования КСА ВН формируется 3 часть текущего индивидуального профиля , которая затем сравнивается с 3 частью индивидуального нормального профиля (3). В случае любого несовпадения с (3), регистрируется компьютерная атака на КСА ВН.

Сравнение частей ИНП и ТИП осуществляется методом простого побитового сравнения.

В случае изменения условий функционирования КСА ВН в (2) производится подстройка ИНП защищаемого объекта КСА ВН.

Используя полученную в ходе работы по вышеизложенному алгоритму информацию в качестве исходных данных, модуль анализа защищенности заявляемого устройства контролирует уровень защищенности рабочей станции комплекса средств автоматизации военного назначения от удаленных сетевых атак.

Работа модуля анализа защищенности рабочей станции комплекса средств автоматизации военного назначения основывается на сравнении показателей защищенности без применения ТЗИ и с применением ТЗИ в условиях нечеткого представления о степени опасности комплекса антропогенных и техногенных угроз.

Оценка эффективности ТЗИ возможна:

1) на основе сравнения значения показателя защищенности с нормативным (пороговым) значением;

2) на основе сравнения показателей защищенности информации без ТЗИ и в условиях ТЗИ.

Защищенность комплекса оценивается показателем ₀(t) без принятия мер защиты и _ТЗИ(t) в условиях ТЗИ, а эффективность ТЗИ оценивается относительным показателем:

Поскольку известны возможные угрозы безопасности КСА ВН (исходные данные) и любая из этих угроз проявляется и реализуется за рассматриваемый период t с некоторой вероятностью P_реал.u(t), то ущерб D_u от реализации u-й угрозы является величиной случайной, распределенной в интервале [0, D_пр], где D_пр - уровень ущерба, превышение которого неприемлемо.

Если ущерб от реализации угрозы превышает D_пр, то он принимается равным D_пр.

Отношение D_u/D_пр характеризует уровень опасности u-й угрозы и вероятность, что ущерб будет не более D_u. Вероятность, что уровень ущерба при реализации совокупности n из D возможных угроз не превысит величину D_n определяется как:

или

где - вспомогательный параметр, K_n и K_u - отношения соответственно D_n и D_u к D_пр называется коэффициентами опасности угроз, так как они соответствуют уровню наносимого ущерба, вплоть до неприемлемого.

В режиме комплексной оценки, т.е. когда рассматриваются все U угроз и учитывается, что коэффициенты опасности являются функциями времени, то:

Мера опасности угрозы - четко заданная величина либо нечеткая величина, характеризующая суждение эксперта (администратора безопасности) об опасности угрозы. В первом случае защищенность КСА ВН оценивается показателем - «степень защищенности»:

Данный показатель позволяет оценить эффективность ТЗИ как по всему множеству угроз, так и подмножеству угроз, составляющих определенную направленность: нарушение целостности, доступности или конфиденциальности информации. Достоинство показателя - полиморфизм, исключающий корректировку расчета в зависимости от состава угроз.

Определение коэффициентов опасности угроз в виде четких значений основано на аналитических соотношениях, связывающих эти коэффициенты с показателями ценности информации. Такие показатели в виде коэффициентов важности могут быть определены на основе эвристического анализа и категорирования информации в КСА ВН по важности. При этом все угрозы разделяются на 3 группы: нарушение целостности, доступности и конфиденциальности информации. На этапе ввода КСА ВН и заявляемого устройства в эксплуатацию администратор безопасности КСА ВН эвристически определяет коэффициенты важности f-го файла Vz(t,f)<1, относящегося к z-й категории.

Применительно к нарушению конфиденциальности информации коэффициент опасности u-й угрозы определяется как:

а для угроз, направленных на нарушение целостности и доступности информации, или для комплексных угроз коэффициент опасности будет определен как:

где Z_u - количество категорий важности информации, для которой u-я угроза представляет опасность; F_z - количество подлежащих защите файлов в системе, имеющих z-ю категорию важности; P_вост.f(t) - вероятность восстановления за рассматриваемый период времени t целостности (доступности) информации, содержащейся в f-м файле (если файл не подвержен воздействию или коэффициент важности содержащейся в нем информации равен нулю, то эта вероятность тождественно равна 1).

Коэффициент опасности каждой угрозы описывается функцией принадлежности треугольной формы. То есть представляется тройкой чисел, определяющих левую и правую границу области определения, а также значение, соответствующее максимальной истинности коэффициента опасности угрозы. Значения функции принадлежности µ_A(x) для этих точек задаются так, что для средней точки это значение наибольшее, а остальные два являются нулевыми.

В соответствии с теорией нечетких множеств операции над значениями коэффициентов опасности K_u заменяются операциями над их функциями принадлежности µ_Ku (K_ui). При обработке результатов функция принадлежности может потерять треугольный вид.

Для случая задания на этапе ввода устройства в эксплуатацию коэффициентов опасности угроз нечеткими числами показатель «степень защищенности» будет определяться как:

где операция ° умножения нечетких чисел производится по следующему правилу:

Если между коэффициентом опасности множества угроз и показателем «степень защищенности» КСА ВН имеется четкая зависимость, то она представляется в простом виде:

Часто соотношение между коэффициентом опасности совокупности угроз и степенью защищенности КСА ВН оказывается приблизительным. В этом случае необходимо определить причинные отношения между значениями этого коэффициента (предпосылками) и конечным результатом - степенью защищенности (заключениями).

Для этих целей в модуле анализа защищенности заявляемого устройства используется матрица нечетких отношений R размерностью n×m. В матрица нечетких отношений заключены правила, определяющие причинные отношения между каждым членом предпосылок K и каждым членом заключений (t).

Элементы матрицы r_ij=µ_R (K,) отражают нечеткие отношения между K и _i. Величина R рассматривается как нечеткое пространство на прямом произведении K× полного пространства предпосылок K и полного пространства заключений , а процесс получения нечеткого результата с использованием данных K и знания K^эт^эт (эталонного преобразования) представляется в виде:

где знак · определяет операцию «max-min» композиции в качестве композиционного правила нечеткого вывода и операции взятия минимума в качестве нечеткой импликации:

Размерность матрицы нечетких отношений определяется количеством заданных числовых градаций коэффициента опасности и порогов функции принадлежности.

В заявляемом устройстве используется набор правил, основанный на определении связи коэффициента K и показателя защищенности КСА ВН в виде пропорциональной зависимости с равномерным уменьшением достоверности оценки. Значения элементов матрицы нечеткого вывода определяются как:

Таким образом, после проведения всех математических операций и преобразований в модуле анализа защищенности (6) на входы блока оповещения (5) поступит информация, отражающая численную оценку защищенности комплекса средств автоматизации военного назначения от удаленных сетевых атак.

Имитационное моделирование заявляемого устройства показало, что время, необходимое для получения итоговой информации, отражающей степень защищенности КСА ВН от удаленных сетевых атак не превышает пределов реального времени и составляет диапазон от 10 до 30 секунд для каждой рабочей станции КСА ВН.

Устройство для контроля защищенности рабочей станции комплекса средств автоматизации военного назначения от удаленных сетевых атак, содержащее блок памяти, диспетчер обновления индивидуального нормального профиля (ИНП), блок данных, модуль анализа текущего индивидуального профиля (ТИП) и блок оповещения, отличающееся тем, что в конструкции устройства предложено использовать модуль анализа защищенности, входы которого соединены с выходами диспетчера обновления ИНП, с выходами блока данных и выходами блока памяти, а выходы - с входами блока оповещения.