Устройство для обнаружения программно-аппаратных воздействий на информационно-телекоммуникационные системы военного назначения

 

Предлагаемая полезная модель относиться к области вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использована для реализации эффективного процесса обнаружения программно-аппаратных воздействий (далее по тексту - ПАВ) на информационно-телекоммуникационные системы военного назначения (далее по тексту - ИТС ВН) в условиях информационного противоборства. Целью предлагаемого устройства является повышение скорости обнаружения программно-аппаратных воздействий за счет снижение вычислительной сложности алгоритма обнаружения на основе применения математического аппарата теории хэш-функций для представления индивидуального нормального профиля и текущего индивидуального профиля в виде многоуровневой совокупности хэш-функций. Устройство для обнаружения программно-аппаратных воздействий на информационно-телекоммуникационные системы военного назначения содержит блок памяти (1), диспетчер обновления индивидуальных нормальных профилей (2), блок данных (3), модуль анализа текущих индивидуальных профилей (4), состоящий из модуля обнаружения программно-аппаратных воздействий на 1 этапе реализации (4.1), модуля обнаружения программно-аппаратных воздействий на 2 этапе реализации (4.2) и модуля обнаружения программно-аппаратных воздействий на 3 этапе реализации (4.3), а также блок оповещения (5) и модуль хеширования ИНП и ТИП (6).

Предлагаемая полезная модель относиться к области вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использована для реализации эффективного процесса обнаружения программно-аппаратных воздействий (далее по тексту - ПАВ) на информационно-телекоммуникационные системы военного назначения (далее по тексту - ИТС ВН) в условиях информационного противоборства.

Известна система защиты рабочих станций, информационных и функциональных серверов вычислительных систем и сетей с динамическими списками санкционированных событий, включающая блок памяти, содержащий блок функционального программного обеспечения, блок данных, блок хранения контрольных сумм, M блоков хранения списков санкционированных событий, блок формирования текущих контрольных сумм, блок сравнения контрольных сумм, M блоков формирования списков текущих событий, M блоков сравнения списков текущих и санкционированных событий, M блоков выработки команд на прекращение текущего события, блок выработки сигнала сравнения контрольных сумм, М блока корректировки списка санкционированных событий (Пат. 2166792 Российская Федерация, МПК G06F 12/14, G06F 15/16, G06F 11/00. Система защиты рабочих станций, информационных и функциональных серверов вычислительных систем и сетей с динамическими списками санкционированных событий [Текст] / Щеглов Андрей Юрьевич; заявитель и патентообладатель Щеглов Андрей Юрьевич. - 99122295/09; заявл. 25.10.99; опубл. 10.05.01.).

Однако известное устройство на сегодняшний день не удовлетворяет требованиям, предъявляемым к средствам обнаружения ПАВ на информационно-телекоммуникационные системы военного назначения в части обеспечения требуемой вероятности и скорости обнаружения условно неизвестных типов воздействий.

Анализ качества обнаружения ПАВ на информационно-телекоммуникационные системы, проведенный на имитационной модели, созданной на основе описания известного устройства показал следующие характеристики (табл.1):

Таблица 1
Результаты имитационного моделирования устройства-прототипа
Характеристика Значение
Вероятность обнаружения известных типов ПАВ 0,95
Вероятность обнаружения неизвестных типов ПАВ 0,12
Количество ошибок первого рода (чужой как свой) 62%
Количество ошибок 2 рода (свой как чужой)18%
Уровень загрузки аппаратных ресурсов39%
Время обнаружения 1,01 с

На основании проведенного имитационного моделирования можно утверждать, что известное устройство на сегодняшний день не удовлетворяет требованиям, предъявляемым к средствам обнаружения программно-аппаратных воздействий на информационно-телекоммуникационные системы военного назначения, определенным в руководящих документах Министерства обороны Российской Федерации, в которых установлены следующие вероятности обнаружения ПАВ (табл.2):

Таблица 2
Требуемые вероятности обнаружения
ХарактеристикаЗначение
Вероятность обнаружения известных типов компьютерных атак
Вероятность обнаружения неизвестных типов информационных атак

Наиболее близким техническим решением к заявляемому и принятым за прототип является устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения, содержащее блок памяти, блок данных, модуль анализа текущего индивидуального профиля (далее по тексту - ТИП), диспетчер обновления индивидуального нормального профиля (далее по тексту - ИНП) и блок оповещения (Пат. 120792 Российская Федерация, МПК G06F 12/14, G06F 15/16, G06F 11/00. Устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения [Текст] / Исупов Антон Борисович, Юрков Владимир Александрович, Королев Игорь Дмитриевич; заявитель и патентообладатель Федеральное государственное военное образовательное учреждение высшего профессионального образования «Военная академия связи имени Маршала Советского Союза С.М. Буденного (г.Санкт-Петербург) Министерства обороны Российской Федерации. - 2011140039/08; заявл. 30.09.2011; опубл. 27.09.12.).

Известное устройство в полной мере удовлетворяет требованиям руководящих документов Министерства обороны Российской Федерации в части обеспечения требуемой вероятности обнаружения как известных, так и условно неизвестных типов ПАВ, однако не способно обеспечить требуемую скорость обнаружения воздействий, ввиду высокой вычислительной сложности алгоритма обнаружения, что резко снижает устойчивость функционирования информационно-телекоммуникационных систем военного назначения в условиях информационного противоборства.

Целью предлагаемого устройства является повышение скорости обнаружения программно-аппаратных воздействий за счет снижение вычислительной сложности алгоритма обнаружения на основе применения математического аппарата теории хэш-функций для представления индивидуального нормального профиля и текущего индивидуального профиля в виде многоуровневой совокупности хэш-функций.

Цель достигается тем, что в предлагаемом устройстве используется модуль хеширования ИНП и ТИП.

В известном техническом решении имеются признаки, сходные с признаками заявляемого устройства. Это наличие блока памяти, блока данных, модуля анализа текущего индивидуального профиля, диспетчера обновления индивидуального нормального профиля и блока оповещения.

В отличие от прототипа в заявляемом устройстве присутствует модуль хеширования ИНП и ТИП, обеспечивающий представление индивидуального нормального профиля и текущего индивидуального профиля в виде совокупности хэш-функций, что на этапе сравнения позволит в значительной мере снизить вычислительную сложность применяемого в устройстве алгоритма обнаружения, тем самым повысив скорость обнаружения программно-аппаратных воздействий в условиях информационного противоборства.

В связи с этим заявляемое техническое решение обладает существенными отличиями от известного прототипа. Заявитель не обнаружил аналогичных решений со сходными признаками заявляемого технического решения, в связи с чем заявитель делает вывод, что заявляемое решение обладает существенными отличиями.

В результате проведенного анализа предлагаемое устройство позволяет повысить скорость обнаружения ПАВ на информационно-телекоммуникационные системы военного назначения в условиях информационного противоборства.

На фиг.1 изображена структурная схема устройства для обнаружения программно-аппаратных воздействий на информационно-телекоммуникационные системы военного назначения. На ней показаны блок памяти (1), диспетчер обновления ИНП (2), блок данных (3), модуль анализа ТИП (4), состоящий из модуля обнаружения ПАВ на 1 этапе реализации (4.1), модуля обнаружения ПАВ на 2 этапе реализации (4.2) и модуля обнаружения ПАВ на 3 этапе реализации (4.3), блок оповещения (5) и модуль хеширования ИНП и ТИП (6).

Устройство содержит блок памяти, диспетчер обновления ИНП, блок данных, модуль анализа ТИП, блок оповещения и модуль хэширования ИНП и ТИП. Модуль анализа ТИП состоит из: модуля обнаружения ПАВ на 1 этапе реализации, модуля обнаружения ПАВ на 2 этапе реализации и модуля обнаружения ПАВ на 3 этапе реализации.

Устройство работает следующим образом:

1. Производится первоначальная настройка устройства, при которой в (3) создаются 3 части индивидуального нормального профиля (ИНП) защищаемого объекта ИТС ВН, а также для (4.1) устанавливается первоначальный порог чувствительности равный величине 3;

За каждым защищаемым объектом закрепляется 3 набора событий, которые составляют его индивидуальный нормальный профиль:

где xij - j-й процесс i-го объекта; n - общее число процессов, m - общее число объектов в ИТС ВН. Каждое событие представляется в виде символов конечного алфавита (N-битовых идентификационных кодов).

2. Далее в (6) происходит представление сформированных частей индивидуального нормального профиля в виде совокупности хэш-функций по следующему принципу: H1(Z1) - от всей длины 1 части индивидуального нормального профиля, от H2 (Z1) до Hn(Z1) - минус одно событие от предыдущей длины индивидуального нормального профиля (табл.3).

Аналогичным образом происходит представление в виде совокупности хэш-функций сформированных 2 и 3 частей индивидуального нормального профиля, а затем полученные хэш-функции записываются в (1).

Таблица 3
Представление частей ИНП в виде совокупности хэш-функций
Части ИНП Хеш-функция
H1H2H 3Hn-1 Hn
Z1
Z2
Z3

2.В (4.1) анализируются характеристики ИТС ВН, указывающие на проведение 1 этапа программно-аппаратного воздействия на ИТС ВН.

В процессе функционирования ИТС ВН анализируемые характеристики , которые составляют 1 часть ТИП ИТС ВН, полученные из (3), изменение которых указывает на 1 этап ПАВ, представляются в (6) в виде совокупности хэш-функций по описанному выше способу, а затем полученные хэш-функции сравниваются с хэш-функциями 1 части индивидуального нормального профиля объекта, хранящимися в (1). В случае несовпадения хэш-функций регистрируется программно-аппаратное воздействие на ИТС ВН и данные об обнаруженном ПАВ передаются в (5). В случае если на основании анализа устройство не может принять однозначного решения о наличии или отсутствии факта ПАВ, она автоматически понижает порог чувствительности в (4.2) до величины 5, передает данные из (4.1) в виде предупреждения в (4.2) и переходит к выполнению п.3 алгоритма.

3. В (4.2) анализируются характеристики ИТС ВН, указывающие на проведение 2 этапа программно-аппаратного воздействия на ИТС ВН.

В процессе функционирования ИТС ВН анализируемые характеристики , которые составляют 2 часть ТИП ИТС ВН, полученные из (3), изменение которых указывает на 2 этап ПАВ, представляются в (6) в виде совокупности хэш-функций по описанному выше способу, а затем полученные хэш-функции сравниваются с хэш-функциями 2 части индивидуального нормального профиля объекта, хранящимися в (1). В случае несовпадения хэш-функций регистрируется программно-аппаратное воздействие на ИТС ВН и данные об обнаруженном ПАВ передаются в (5). В случае если на основании анализа устройство не может принять однозначного решения о наличии или отсутствии факта ПАВ, она автоматически понижает порог чувствительности в (4.3) до величины 9, передает данные из (4.2) в виде предупреждения в (4.3) и переходит к выполнению п.4 алгоритма.

4. В (4.3) анализируются характеристики ИТС ВН, указывающие на проведение 3 этапа программно-аппаратного воздействия на ИТС ВН.

В процессе функционирования ИТС ВН анализируемые характеристики , которые составляют 3 часть ТИП ИТС ВН, полученные из (3), изменение которых указывает на 3 этап программно-аппаратного воздействия, представляются в (6) в виде совокупности хэш-функций по описанному выше способу, а затем полученные хэш-функции сравниваются с хэш-функциями 3 части индивидуального нормального профиля объекта, хранящимися в (1). В случае несовпадения хэш-функций регистрируется программно-аппаратное воздействие на ИТС ВН и данные об обнаруженном ПАВ передаются в (5).

Предлагаемое устройство для обнаружения программно-аппаратных воздействий на информационно-телекоммуникационные системы военного назначения позволяет повысить скорость обнаружения программно-аппаратных воздействий за счет снижение вычислительной сложности алгоритма обнаружения на основе применения математического аппарата теории хэш-функций для представления индивидуального нормального профиля в виде многоуровневой совокупности хэш-функций.

Имитационное моделирование предлагаемого устройства для обнаружения программно-аппаратных воздействий на информационно-телекоммуникационные системы военного назначения показало следующие результаты (табл.4):

Таблица 4
Результаты имитационного моделирования предлагаемого устройства
Характеристика Значение
Вероятность выявления известных типов ПАВ 0,99
Вероятность выявления неизвестных типов ПАВ 0,95
Количество ошибок первого рода (чужой как свой) 4%
Количество ошибок 2 рода (свой как чужой)1%
Уровень загрузки аппаратных ресурсов40%
Время обнаружения 0,15 с

Сравнивая значения таблиц 1 и 4 можно сделать однозначный вывод о том, что время обнаружения ПАВ на ИТС ВН в условиях информационного противоборства снизилось более чем в 6 раз, что убедительно доказывает прирост скорости обнаружения программно-аппаратных воздействий по сравнению с устройством-прототипом.

Устройство для обнаружения программно-аппаратных воздействий на информационно-телекоммуникационные системы военного назначения, содержащее блок памяти, диспетчер обновления индивидуального нормального профиля (ИНП), блок данных, модуль анализа текущего индивидуального профиля (ТИП) и блок оповещения, отличающееся тем, что в конструкции устройства предложено использовать модуль хеширования ИНП и ТИП, входы которого соединены с выходами диспетчера обновления ИНП и выходами блока данных, а выходы - с входами блока памяти и входами модуля анализа ТИП.



 

Наверх