RU2573267C2 - Method for comparative evaluation of information computer network structures - Google Patents

Method for comparative evaluation of information computer network structures Download PDF

Info

Publication number
RU2573267C2
RU2573267C2 RU2014120108/08A RU2014120108A RU2573267C2 RU 2573267 C2 RU2573267 C2 RU 2573267C2 RU 2014120108/08 A RU2014120108/08 A RU 2014120108/08A RU 2014120108 A RU2014120108 A RU 2014120108A RU 2573267 C2 RU2573267 C2 RU 2573267C2
Authority
RU
Russia
Prior art keywords
information
nodes
service control
control nodes
routes
Prior art date
Application number
RU2014120108/08A
Other languages
Russian (ru)
Other versions
RU2014120108A (en
Inventor
Владимир Владимирович Бухарин
Владимир Владимирович Дворядкин
Сергей Юрьевич Карайчев
Петр Юрьевич Стародубцев
Алексей Анатольевич Мишаткин
Константин Ильич Проценко
Original Assignee
Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) filed Critical Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России)
Priority to RU2014120108/08A priority Critical patent/RU2573267C2/en
Publication of RU2014120108A publication Critical patent/RU2014120108A/en
Application granted granted Critical
Publication of RU2573267C2 publication Critical patent/RU2573267C2/en

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

FIELD: information technology.
SUBSTANCE: method further includes specifying a set of M service control nodes; after receiving response messages from the service control nodes, selecting and storing identifiers and addresses of service control nodes, as well as a plurality of L messaging routes, followed by calculating the critical ratio of previously stored "hazardous" and "safe" nodes p i l
Figure 00000009
 for each of the lth messaging routes between a subscriber and all service control nodes, where information exchange is impossible in information computer networks, for which the initial ratio of "hazardous" and "safe" nodes pl is calculated, and the value thereof is consecutively increased by a value Δp until a condition is satisfied, where information exchange between a subscriber and service control nodes of information computer networks is impossible; selecting from the formed plurality of L messaging routes, routes with the maximum value p i l
Figure 00000010
 to all available service control nodes of information computer networks from said subscriber, followed by selecting therefrom the messaging route for which the route length is minimal.
EFFECT: high reliability of results of comparative evaluation of information computer networks structures in conditions exposed to random and deliberate interference by forming alternative routes to service control nodes included in the information computer network structure and determining a safer route.
3 dwg

Description

Изобретение относится к области информационной безопасности информационно-вычислительных сетей (ИВС) и систем связи и может быть использовано при сравнительной оценке структур ИВС на предмет их устойчивости к отказам, вызванным воздействиями случайных и преднамеренных помех.The invention relates to the field of information security of information and computer networks (IVS) and communication systems and can be used in a comparative assessment of the structures of an IVS for their resistance to failures caused by the effects of random and deliberate interference.

Известен способ обеспечения корректировки маршрутов к абонентам сети, реализованный в «Способе корректировки маршрутов в сети передачи данных» по патенту РФ №2220190, МПК H04L 12/28, опубл. 10.10.1998 г.There is a method of providing adjustment of routes to network subscribers, implemented in the "Method of adjusting routes in the data network" according to the patent of the Russian Federation No. 2220190, IPC H04L 12/28, publ. 10/10/1998

Способ заключается в том, что поиск маршрутов доставки сообщений к абоненту осуществляют по сетевому адресу узла коммутации его текущей привязки. Выбор маршрутов к абоненту осуществляют на узлах коммутации по служебному корректирующему сообщению, содержащему сетевые адреса абонента, узла коммутации и код признака корректировки «запись», «стирание».The method consists in the fact that the search for message delivery routes to the subscriber is carried out at the network address of the switching node of its current binding. The choice of routes to the subscriber is carried out at the switching nodes by an official corrective message containing the network addresses of the subscriber, the switching node and the code of the sign of adjustment “record”, “erase”.

Недостатком данного способа является также отсутствие адаптации к изменениям структуры сети связи. Это вызвано тем, что корректировка осуществления маршрутов децентрализовано и охватывает не всю сеть связи, а ее отдельные локальные участки. Отсутствие параметров выбора маршрутов к абоненту часто приводит к выбору маршрута низкого качества.The disadvantage of this method is the lack of adaptation to changes in the structure of the communication network. This is because the adjustment of the implementation of routes is decentralized and does not cover the entire communication network, but its individual local sections. The lack of options for choosing routes to the subscriber often leads to the choice of a route of poor quality.

Известен также способ выбора маршрута в ИВС, реализованный в «Способе выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети» по заявке на изобретение РФ №2004111798, МПК H04L 1/00, опубл. 10.05.2005 г.There is also known a method of selecting a route in the IVS, implemented in the "Method for choosing the expediently used route in the router for uniform distribution in the switching network" according to the application for the invention of the Russian Federation No. 2004111798, IPC H04L 1/00, publ. 05/10/2005

Способ заключается в том, что предварительно задают исходные данные, содержащие критерии качества маршрутов. Запоминают в маршрутизаторе информацию о структуре сети связи, включающую адреса узлов сети и наличие связи между ними. Формируют совокупность возможных маршрутов связи. После получения сообщения для целевого адреса сети выбирают один маршрут в соответствии с предварительно заданными критериями качества маршрутов и передают по выбранному маршруту сообщения.The method consists in pre-setting the initial data containing the quality criteria of the routes. The information about the structure of the communication network, including the addresses of the network nodes and the presence of communication between them, is stored in the router. Form a set of possible communication routes. After receiving the message for the target network address, one route is selected in accordance with the predefined criteria for the quality of routes and messages are sent along the selected route.

Недостатком данного способа является относительно низкая скрытность связи при использовании выбранного маршрута информационного обмена абонентов в сети связи. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети.The disadvantage of this method is the relatively low stealth of communication when using the selected route of information exchange of subscribers in the communication network. The presence of transit network nodes with a low level of security creates the prerequisites for interception by cybercriminals of the information exchange of network subscribers.

Известен способ сравнительной оценки структуры сети, реализованный в «Способе сравнительной оценки структур ИВС» по патенту РФ №2331158, MПК H04L 12/28, опубл. 10.08.2008 г.The known method of comparative assessment of the network structure, implemented in the "Method of comparative assessment of the structure of the ITT" according to the patent of the Russian Federation No. 2331158, IPC H04L 12/28, publ. 08/10/2008

Способ заключается в том, что предварительно задают параметры ИВС и формируют ее топологическую схему, вычисляют комплексный показатель безопасности каждого узла ИВС. Подключают к ИВС абонентов, у которых формируют сообщения, включающие адреса абонентов и их идентификаторы. Передают сформированные сообщения, принимают их, из принятых сообщений выделяют и запоминают идентификаторы и адреса абонентов, а также запоминают информацию о наличии связи между абонентами и узлами ИВС, по которым осуществляют информационный обмен. Используя полученные результаты, осуществляют выбор наиболее безопасных маршрутов в ИВС из совокупности всех возможных маршрутов связи между абонентами и доведение безопасных маршрутов до абонентов ИВС.The method consists in preliminarily setting the parameters of the IVS and forming its topological scheme, calculating a comprehensive safety indicator for each node of the IVS. Connected to the IVS of subscribers, which form messages including the addresses of subscribers and their identifiers. The generated messages are transmitted, received, the identifiers and addresses of the subscribers are allocated and stored from the received messages, and information about the existence of communication between the subscribers and the IVS nodes through which information is exchanged is stored and stored. Using the results obtained, the most secure routes in the IVS are selected from the totality of all possible communication routes between the subscribers and the safe routes are brought to the IVS subscribers.

Недостатком данного способа является относительно низкая достоверность результатов сравнительной оценки структур ИВС при увеличении количества узлов связи. Низкая достоверность обусловлена большими временными и ресурсными затратами, необходимыми для получения исходных данных по большому количеству узлов ИВС, снижением чувствительности показателя безопасности маршрута, вызванное тем, что при увеличении количества узлов ИВС будет расти число маршрутов с близким значением показателя безопасности маршрута.The disadvantage of this method is the relatively low reliability of the results of a comparative assessment of the structures of the IVS with an increase in the number of communication nodes. The low reliability is due to the large time and resource costs necessary to obtain initial data on a large number of TDF nodes, a decrease in the sensitivity of the route safety index, due to the fact that with an increase in the number of TDF nodes, the number of routes with a similar value of the route safety index will increase.

Кроме этого, способ имеет узкую область применения, так как не предусматривает адаптации маршрута к изменениям структуры ИВС.In addition, the method has a narrow scope, since it does not provide for adaptation of the route to changes in the structure of the IVS.

Наиболее близким по технической сущности к предлагаемому способу является способ сравнительной оценки структур ИВС по патенту RU №2408928, МПК G06F 12/14, H06F 12/22, опубл. 10.01.2011 г., бюл. №1. Способ заключается в следующих действиях. Из топологической схемы ИВС выделяют и запоминают альтернативные маршруты пакетов сообщений для каждой пары альтернативных подключений к ИВС абонентов. Сравнивают значение комплексного показателя безопасности ПKi i-го узла ИВС, где i=1, 2, 3, …, с предварительно заданным минимальным допустимым значением Пmin. По результатам сравнения запоминают узел как «опасный» или как «безопасный». Вычисляют критическое соотношение «опасных» и «безопасных» узлов p k j

Figure 00000001
для каждого j-го варианта подключения абонентов, при котором смежные «опасные» узлы образуют цепочки, исключающие обмен между абонентами. Для этого выбирают случайным образом из каждого ранее запомненного варианта подключения абонентов pj часть узлов из общего их количества и запоминают их как «опасные». Из смежных «опасных» узлов формируют связанные цепочки и запоминают их, последовательно увеличивают долю «опасных» узлов на величину Δp и повторяют формирование связанной цепочки до выполнения условий p j = p k j
Figure 00000002
 . Ранжируют альтернативные варианты подключения абонентов ИВС по значению величины p k j
Figure 00000003
 и выбирают из них вариант с максимальным значением p k j
Figure 00000003
 .Closest to the technical nature of the proposed method is a method of comparative assessment of the structures of the IVS according to patent RU No. 2408928, IPC G06F 12/14, H06F 12/22, publ. 01/10/2011, bull. No. 1. The method consists in the following steps. Alternative routes of message packets for each pair of alternative connections to the IVS of subscribers are extracted and stored from the topological scheme of the IVS. The value of the complex safety indicator PK i of the i-th IVS node is compared, where i = 1, 2, 3, ..., with a predetermined minimum acceptable value of P min . According to the results of the comparison, the node is remembered as “dangerous” or as “safe”. The critical ratio of “dangerous” and “safe” nodes is calculated p k j
Figure 00000001
 for each j-th option of connecting subscribers, in which adjacent “dangerous” nodes form chains that exclude exchange between subscribers. To do this, randomly select from part of each previously stored subscriber connection option p j part of the nodes from the total number of nodes and remember them as “dangerous”. Connected chains are formed from adjacent “dangerous” nodes and stored, sequentially increase the share of “dangerous” nodes by Δp and repeat the formation of a connected chain until conditions are met p j = p k j
Figure 00000002
 . Alternate options for connecting IVS subscribers by value p k j
Figure 00000003
 and choose from them the option with the maximum value p k j
Figure 00000003
 .

Недостатком способа-прототипа является относительно низкая достоверность сравнительной оценки структур ИВС, обусловленная отсутствием включения в структуру ИВС узлов управления сервисами, приводящее при воздействии случайных и преднамеренных помех к появлению альтернативных маршрутов с одинаковыми значениями показателями безопасности от одного абонента к нескольким узлам управления сервисами и соответственно к увеличению временных и ресурсных затрат при определении безопасного маршрута.The disadvantage of the prototype method is the relatively low reliability of the comparative assessment of the IVS structures, due to the lack of inclusion of service control nodes in the IVS structure, which, when exposed to random and deliberate interference, leads to the emergence of alternative routes with the same safety metrics from one subscriber to several service control nodes and, accordingly, to increase in time and resource costs when determining a safe route.

Целью заявленного технического решения является разработка способа сравнительной оценки структур ИВС, обеспечивающего повышение достоверности результатов сравнительной оценки структур ИВС в условиях воздействия случайных и преднамеренных помех за счет формирования альтернативных маршрутов к включенным в структуру ИВС узлам управления сервисами и определения более безопасного маршрута, с учетом прогнозирования отказов входящих в него узлов.The purpose of the claimed technical solution is to develop a method for the comparative assessment of IVS structures, providing increased reliability of the results of a comparative assessment of IVS structures under the influence of random and deliberate interference due to the formation of alternative routes to the service control nodes included in the IVS structure and determining a safer route, taking into account failure forecasting its nodes.

Поставленная цель достигается тем, что в известном способе сравнительной оценки структур ИВС, заключающемся в том, что предварительно задают параметры ИВС и формируют ее топологическую схему, вычисляют комплексный показатель безопасности ПK для каждого узла ИВС, подключают к информационно-вычислительной сети абонентов, у которых формируют сообщения, включающие адреса абонентов и их идентификаторы, передают сформированные сообщения, принимают их, задают минимальное допустимое значение комплексного показателя безопасности Пmin для узлов информационно-вычислительной сети и сравнивают значение комплексного показателя безопасности ПKi i-го узла ИВС, где i=1, 2, 3, …, с предварительно заданным минимальным допустимым значением Пmin и при ПKimin запоминают i-й узел как «опасный», в противном случае, при ПKi≥Пmin, запоминают узел как «безопасный», дополнительно задают совокупность М узлов управления сервисами, которая учитывается при формировании топологической схемы ИВС. После приема ответных сообщений от узлов управления сервисами выделяют и запоминают идентификаторы и адреса узлов управления сервисами, а также множество L маршрутов передачи сообщений, где l=1, 2, 3, …, и информацию о наличии связи между абонентом и узлами управления сервисами ИВС. После чего вычисляют критическое соотношение ранее запомненных «опасных» и «безопасных» узлов p к l

Figure 00000004
для каждого l-го маршрута передачи сообщения между абонентом и всеми узлами управления сервисами, при котором невозможен информационный обмен в ИВС, для чего вычисляют первоначальное соотношение «опасных» и «безопасных» узлов pl и последовательно увеличивают его на величину Δp до выполнения условия, при котором невозможен информационный обмен между абонентом и узлами управления сервисами ИВС. Затем выбирают из сформированного множества L маршрутов передачи сообщений маршруты с максимальным значением p к l
Figure 00000005
 ко всем имеющимся узлам управления сервисами ИВС от данного абонента. После чего выбирают из них тот маршрут передачи сообщений, у которого значение длины маршрута минимально.This goal is achieved by the fact that in the known method of comparative assessment of the structure of the IVS, which consists in preliminarily setting the parameters of the IVS and forming its topological scheme, calculating a comprehensive safety indicator P K for each node of the IVS, connecting to the computer network of subscribers who form messages including the addresses of subscribers and their identifiers, transmit the generated messages, receive them, set the minimum acceptable value of a comprehensive safety indicator P min for the node s of the computer network and compare the value of the complex safety indicator P Ki of the i-th IVS node, where i = 1, 2, 3, ..., with the pre-set minimum permissible value of P min and with P Ki <P min remember the i-th node as “dangerous”, otherwise, at П Ki ≥П min , the node is remembered as “safe”, an additional set of M service control nodes is taken into account, which is taken into account when forming the topological scheme of the IVS. After receiving response messages from service control nodes, identifiers and addresses of service control nodes, as well as a set of L message transmission routes, where l = 1, 2, 3, ..., and information on the existence of communication between the subscriber and the IVS service control nodes are allocated and stored. After that, the critical ratio of previously stored “dangerous” and “safe” nodes is calculated p to l
Figure 00000004
 for each l-th message transmission route between the subscriber and all service control nodes, in which information exchange in the IVS is not possible, for which the initial ratio of “dangerous” and “safe” nodes p l is calculated and successively increased by Δp until the condition is met, in which information exchange between the subscriber and the IVS service control nodes is impossible. Then, routes with the maximum value are selected from the generated set L of message transmission routes p to l
Figure 00000005
 to all available IVS service management nodes from this subscriber. Then they select the message transmission route from which the value of the route length is minimal.

Благодаря новой совокупности существенных признаков в заявленном способе достигается указанный технический результат за счет формирования альтернативных маршрутов к включенным в структуру ИВС узлам управления сервисами и определения более безопасного маршрута с учетом прогнозирования отказов входящих в него узлов.Thanks to the new set of essential features in the claimed method, the indicated technical result is achieved by forming alternative routes to the service control nodes included in the structure of the IVS and determining a safer route, taking into account the failure forecasting of the nodes included in it.

Заявленный способ поясняется чертежами, на которых показаны:The claimed method is illustrated by drawings, which show:

на фиг. 1 - схема, поясняющая построение рассматриваемой ИВС;in FIG. 1 is a diagram explaining the construction of the IVS under consideration;

на фиг. 2 - блок-схема алгоритма способа сравнительной оценки структур ИВС;in FIG. 2 is a flowchart of a method for comparative evaluation of IVS structures;

на фиг. 3 - взаимосвязь вероятности наличия информационного обмена между абонентом и узлами управления сервисами Робм от количества узлов ИВС на маршруте передачи сообщения m.in FIG. 3 - correlation of the probability of the presence of information exchange between the subscriber and the service control nodes P rm from the number of TDF nodes on the message transmission route m.

Реализация заявленного способа объясняется следующим образом.The implementation of the claimed method is explained as follows.

В настоящее время при рассмотрении структуры современных ИВС (телекоммуникационных сетей), учитывая тенденции их развития, необходимо отметить появление такого важного компонента структуры, как узлы управления сервисами (информационные центры) [В.Г. Олифер, Н.А. Олифер. Компьютерные сети. Принципы, технологии, протоколы (3-е издание), СПб. - 2009 г., стр.158]. Наличие в структуре ИВС узлов управления сервисами требует формирование нового подхода для их сравнительной оценки и особенно в условиях воздействия случайных и преднамеренных помех.At present, when considering the structure of modern IVS (telecommunication networks), taking into account the trends of their development, it is necessary to note the emergence of such an important component of the structure as service management nodes (information centers) [V.G. Olifer, N.A. Olifer. Computer networks. Principles, technologies, protocols (3rd edition), St. Petersburg. - 2009, p. 158]. The presence of service control nodes in the IVS structure requires the formation of a new approach for their comparative assessment, and especially under the conditions of random and deliberate interference.

При этом возрастающая роль узлов управления сервисами (информационных центров), определяется тем, что они реализуют информационные услуги сети. В таких центрах может храниться информация двух типов: пользовательская информация, то есть информация, которая непосредственно интересует конечных пользователей сети; вспомогательная служебная информация, помогающая поставщику услуг предоставлять услуги пользователям.At the same time, the growing role of service management nodes (information centers) is determined by the fact that they implement information services of the network. Two types of information can be stored in such centers: user information, that is, information that directly interests end users of the network; supporting service information to help the service provider provide services to users.

Примером информационных ресурсов первого типа могут служить веб-порталы, на которых расположена разнообразная справочная и новостная информация, информация электронных магазинов и т.п.An example of information resources of the first type is web portals, on which a variety of reference and news information, information of electronic stores, etc. are located.

К информационным центрам, хранящим ресурсы второго типа, можно отнести, например, различные системы аутентификации и авторизации пользователей, с помощью которых организация, владеющая сетью, проверяет права пользователей на получение тех или иных услуг; системы биллинга, которые в коммерческих сетях подсчитывают плату за полученные услуги; базы данных учетной информации пользователей, хранящие имена и пароли, а также перечни услуг, на которые подписан каждый пользователь [В.Г. Олифер, Н.А. Олифер. Компьютерные сети. Принципы, технологии, протоколы (3-е издание). СПб. - 2009 г., стр.160].Information centers that store resources of the second type include, for example, various user authentication and authorization systems, with the help of which the organization owning the network checks the rights of users to receive certain services; billing systems, which in commercial networks calculate the fee for services received; user account information databases storing names and passwords, as well as lists of services that each user subscribes to [V.G. Olifer, N.A. Olifer. Computer networks. Principles, technologies, protocols (3rd edition). SPb. - 2009, p. 160].

Таким образом, учитывая функциональные особенности узлов управления сервисами, в ИВС при воздействии случайных и преднамеренных помех могут быть определены не только альтернативные маршруты между абонентом и узлом управления сервисами, но и альтернативные маршруты от данного абонента к другим узлам управления сервисами, предоставляющие идентичные информационные услуги сети.Thus, taking into account the functional features of the service control nodes, in the IVS under the influence of random and deliberate interference, not only alternative routes between the subscriber and the service control node can be determined, but also alternative routes from this subscriber to other service control nodes providing identical network information services .

Реализация заявленного способа можно пояснить на схеме ИВС, показанной на фиг. 1.The implementation of the inventive method can be explained on the IVS diagram shown in FIG. one.

Показанная ИВС состоит из магистральной сети, сетей доступа, узлов управления сервисами (информационные центры) и терминального оборудования абонентов [В.Г. Олифер, Н.А. Олифер. Компьютерные сети. Принципы, технологии, протоколы (3-е издание). СПб. - 2009 г., стр.158]. Магистральная сеть состоит из маршрутизаторов 3, к которым подключаются сети доступа и узлы управления сервисами 4. Сети доступа в свою очередь состоят из коммутаторов 21-2N, к которым подключается терминальное оборудование абонентов 1l-1N. В этом случае информационный обмен в ИВС с построением маршрутов передачи возможен не только между абонентами 1l-1N, но и между абонентами 1l-1N и узлами управления сервисами 4. При этом во втором случае многократно увеличивается количество альтернативных маршрутов передачи пакетов сообщений, что влечет за собой снижение достоверности результатов сравнительной оценки структур ИВС в условии воздействия случайных и преднамеренных помех и соответственно увеличение ресурсоемкости определения безопасного маршрута из всей совокупности имеющихся альтернативных маршрутов.The IVS shown consists of a backbone network, access networks, service control nodes (information centers) and terminal equipment of subscribers [V.G. Olifer, N.A. Olifer. Computer networks. Principles, technologies, protocols (3rd edition). SPb. - 2009, p. 158]. The backbone network consists of routers 3, to which access networks and service control nodes are connected 4. Access networks, in turn, consist of switches 2 1 -2 N , to which the terminal equipment of subscribers 1 l -1 N is connected. In this case, information exchange in the IVS with the construction of transmission routes is possible not only between subscribers 1 l -1 N , but also between subscribers 1 l -1 N and service control nodes 4. In the second case, the number of alternative routes for transmitting message packets increases significantly , which entails a decrease in the reliability of the results of a comparative assessment of the structures of temporary detention facilities under the influence of random and deliberate interference and, accordingly, an increase in the resource consumption of determining a safe route from the whole set yuschihsya alternative routes.

Структурная схема алгоритма сравнительной оценки структур ИВС показана на фиг. 2.The block diagram of the algorithm for the comparative assessment of IVS structures is shown in FIG. 2.

На начальном этапе задают исходные данные (блок 1, фиг. 2), включающие количество абонентов 1, количество узлов сети (маршрутизаторов 3, коммутаторов 2 и узлов управления сервисами 4), наличие линий связи между ними, параметры безопасности узлов сети. На основе исходных данных формируется начальная топология схемы ИВС (блок 2, фиг. 2). Кроме того, задается минимальное допустимое значение комплексного показателя безопасности Пmin для узлов ИВС (блок 3, фиг. 2). Значение Пmin задают директивно с учетом реализованных функций безопасности, как это регламентировано в ГОСТ Р ИСО/МЭК 15408-3-2002 года «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности», как минимальный уровень доверия к производителю оборудования. Экспериментальные исследования и опыт эксплуатации ИВС показали, что значение Пmin должно задаваться в интервале 0,5<Пmin<1.At the initial stage, initial data is set (block 1, Fig. 2), including the number of subscribers 1, the number of network nodes (routers 3, switches 2 and service control nodes 4), the presence of communication lines between them, the security parameters of network nodes. Based on the source data, the initial topology of the IVS circuit is formed (block 2, Fig. 2). In addition, the minimum permissible value of the complex safety indicator P min is set for the IVS nodes (block 3, Fig. 2). The value of P min is set by directive, taking into account the implemented security functions, as regulated by GOST R ISO / IEC 15408-3-2002, Information Technology. Security methods and tools. Criteria for assessing the security of information technology. Part 3. Requirements of trust in security ”as the minimum level of trust in the equipment manufacturer. Experimental studies and the experience of operating the IVS showed that the value of P min should be set in the range of 0.5 <P min <1.

Затем определяется комплексный показатель безопасности ПKi для каждого i-го узла ИВС (блок 4, фиг. 2). Под комплексным показателем i-го, где i=1, 2, 3, …, узла ИВС ПKi понимается нормированное численное значение свертки параметров безопасности, характеризующее способность узла ИВС противостоять угрозам безопасности. Порядок вычисления ПKi известен и описан, например, в патенте РФ №2331158. Далее сравнивают значение вычисленного комплексного показателя безопасности ПKi (блок 5, фиг. 2) с предварительно заданным минимальным допустимым значением Пmin. При ПKimin запоминают i-й узел как «опасный», а в противном случае, то есть при ПKi≥Пmin, запоминают узел как «безопасный» (блок 6-7, фиг. 2).Then, a comprehensive safety indicator P Ki is determined for each i-th IVS node (block 4, Fig. 2). Under the integrated indicator of the i-th, where i = 1, 2, 3, ..., of the IVS node Ki, we mean the normalized numerical value of the convolution of security parameters characterizing the ability of the IVS node to withstand security threats. The calculation procedure P Ki is known and described, for example, in the patent of the Russian Federation No. 2331158. Next, the value of the calculated complex safety indicator P Ki (block 5, Fig. 2) is compared with a predetermined minimum acceptable value P min . When P Ki <P min, the i-th node is remembered as “dangerous”, and otherwise, that is, when P Ki ≥ P min , the node is remembered as “safe” (block 6-7, Fig. 2).

Затем в сформированную схему ИВС вносятся изменения с учетом полученных показателей безопасности (блок 8, фиг. 2) и подключают абонентов (блок 4, фиг. 2), у которых формируют сообщения, включающие адреса абонентов и их идентификаторы. После этого имитируется информационный обмен между абонентами и узлами управления сервисами (блок 5, фиг. 2) в результате определяется множество альтернативных маршрутов передачи пакетов сообщений L (блок 11, фиг. 2).Then, changes are made to the generated IVS scheme taking into account the obtained safety indicators (block 8, Fig. 2) and the subscribers are connected (block 4, Fig. 2), for which messages are formed, including the addresses of the subscribers and their identifiers. After this, the information exchange between subscribers and service control nodes is simulated (block 5, Fig. 2), as a result, many alternative routes for transmitting message packets L (block 11, Fig. 2) are determined.

В дальнейшем определяется первоначальное соотношение «опасных» и «безопасных» узлов pl и проводится проверка на наличие информационного обмена между абонентом и узлами управления сервисами (блок 12-13, фиг. 2). В случае возможности информационного обмена производится увеличение pl на величину Δp. Величину Δp задают исходя из требуемой точности результатов расчетов в интервале Δр=0,01-0,2. После этого определяется текущее соотношение «опасных» и «безопасных» узлов управления сервисами pl (блок 15, 17, фиг. 2). В случае выполнения условия невозможности информационного обмена определяются критическое соотношение «опасных» и «безопасных» узлов p к l

Figure 00000006
для каждого l-го маршрута передачи сообщения из всех альтернативных маршрутов L (блок 14, фиг. 2).In the future, the initial ratio of “dangerous” and “safe” nodes p l is determined and a check is made for the presence of information exchange between the subscriber and the service control nodes (block 12-13, Fig. 2). If information exchange is possible, p l is increased by Δp. The value Δp is set based on the required accuracy of the calculation results in the range Δp = 0.01-0.2. After that, the current ratio of “dangerous” and “safe” service control nodes p l is determined (block 15, 17, Fig. 2). If the condition of impossibility of information exchange is fulfilled, the critical ratio of “dangerous” and “safe” nodes is determined p to l
Figure 00000006
 for each l-th route of message transmission from all alternative routes L (block 14, Fig. 2).

Затем осуществляется выбор и запоминание маршрутов с максимальным значением p к l

Figure 00000007
ко всем имеющимся узлам управления сервисами ИВС от данного абонента (блок 16, фиг. 2), которые соответствуют максимальному значению показателю безопасности без учета возможной тенденции увеличения воздействий. Учитывая необходимость прогноза воздействия случайных и преднамеренных помех на узлы ИВС, производится выбор безопасного маршрута из имеющихся альтернативных в соответствии с критерием, которым является минимальное значение длины (минимальное количество транзитов на маршруте). Определенный по данному критерию маршрут передачи сообщения запоминается и считается наиболее безопасным в данных условиях (блок 18, фиг. 2).Then the selection and storage of routes with the maximum value p to l
Figure 00000007
 to all available ICT service management nodes from this subscriber (block 16, Fig. 2), which correspond to the maximum value of the safety indicator without taking into account the possible trend of increased impacts. Given the need to predict the effects of random and deliberate interference on the IVS nodes, a safe route is selected from the available alternative ones in accordance with the criterion, which is the minimum length value (minimum number of transit routes). The message transmission route determined by this criterion is remembered and considered the most secure in these conditions (block 18, Fig. 2).

Возможность реализации сформулированного технического результата была проверена путем машинного моделирования на ИВС, состоящей из 30-и ЭВМ с общеизвестным программным обеспечением (ОС Microsoft Windows, приложения Microsoft Office, Internet Explorer). С помощью моделирования получена взаимосвязь вероятности наличия информационного обмена между абонентом и узлами управления сервисами Робм от количества узлов в маршруте передачи сообщения m.The feasibility of the implementation of the formulated technical result was tested by machine simulation on an IVS, consisting of 30 computers with well-known software (Microsoft Windows, Microsoft Office applications, Internet Explorer). Using modeling, the relationship between the probability of the presence of information exchange between the subscriber and the service control nodes P rm from the number of nodes in the message transmission route m is obtained.

Достижение технического результата поясняется следующим образом. Для способа-прототипа определение наличия информационного обмена между абонентом и узлами управления сервисами P1 осуществлялось только с учетом значения критического соотношения «опасных» и «безопасных» узлов на маршруте передачи сообщения. Для предлагаемого способа значение наличия информационного обмена между абонентом и узлами управления сервисами P2 получены с учетом прогноза воздействия случайных и преднамеренных помех на узлы ИВС путем определения безопасного маршрута из имеющихся альтернативных в соответствии с минимальным значение длины (минимальное количество транзитов на маршруте).The achievement of the technical result is illustrated as follows. For the prototype method, the determination of the presence of information exchange between the subscriber and the service control nodes P 1 was carried out only taking into account the critical ratio of “dangerous” and “safe” nodes on the message transmission route. For the proposed method, the value of the presence of information exchange between the subscriber and the service control nodes P 2 is obtained taking into account the forecast of the impact of random and deliberate interference on the IVS nodes by determining the safe route from the available alternative ones in accordance with the minimum length value (minimum number of transit routes).

При этом разница в вероятности наличия информационного обмена между абонентом и узлами управления сервисами с учетом определения безопасного маршрута передачи сообщения в данных условиях имеет наибольшие значения в диапазоне 3-7 транзитных маршрутизаторов на пути передачи сообщения (фиг. 3). Максимальная разница получена на величине, равной 5-и маршрутизаторам, что является средним значением реального количества транзитов на пути передачи пакетов сообщений при размере ИВС в 1000 узлов [В.Г. Олифер, Н.А. Олифер. Компьютерные сети. Принципы, технологии, протоколы (3-е издание). СПб. - 2009 г., стр.608-611] и определяется выражением ΔР=Р12=0,3, чем и достигается сформулированный технический результат при реализации заявленного способа.Moreover, the difference in the likelihood of information exchange between the subscriber and the service control nodes, taking into account the definition of a safe message transmission route under these conditions, has the greatest values in the range of 3-7 transit routers on the message transmission path (Fig. 3). The maximum difference was obtained at a value equal to 5 routers, which is the average value of the real number of transits on the transmission path of message packets with an IVS size of 1000 nodes [V.G. Olifer, N.A. Olifer. Computer networks. Principles, technologies, protocols (3rd edition). SPb. - 2009, p. 608-611] and is determined by the expression ΔP = P 1 -P 2 = 0.3, which is achieved by the formulated technical result when implementing the claimed method.

Таким образом, заявленный способ за счет формирования альтернативных маршрутов к включенным в структуру ИВС узлам управления сервисами и определения более безопасного маршрута с учетом прогнозирования отказов входящих в него узлов позволяет повышение достоверности результатов сравнительной оценки структур ИВС в условиях воздействия случайных и преднамеренных помех.Thus, the claimed method, through the formation of alternative routes to the service control nodes included in the IVS structure and the determination of a safer route, taking into account the failure forecasting of the nodes included in it, allows increasing the reliability of the results of a comparative assessment of the IVS structures under the influence of random and deliberate interference.

Claims (1)

Способ сравнительной оценки структур информационно-вычислительной сети, заключающийся в том, что предварительно задают параметры информационно-вычислительной сети и формируют ее топологическую схему, вычисляют комплексный показатель безопасности ПK для каждого узла информационно-вычислительной сети, подключают к информационно-вычислительной сети абонентов, у которых формируют сообщения, включающие адреса абонентов и их идентификаторы, передают сформированные сообщения, принимают их, задают минимальное допустимое значение комплексного показателя безопасности Пmin для узлов информационно-вычислительной сети, и сравнивают значение комплексного показателя безопасности ПKi i-го узла информационно-вычислительной сети, где i=1, 2, 3, …, с предварительно заданным минимальным допустимым значением Пmin, и при ПKimin запоминают i-й узел как «опасный», в противном случае, при ПKi≥Пmin запоминают узел как «безопасный», отличающийся тем, что дополнительно задают совокупность М узлов управления сервисами, которая учитывается при формировании топологической схемы информационно-вычислительной сети, после приема ответных сообщений от узлов управления сервисами выделяют и запоминают идентификаторы и адреса узлов управления сервисами, а также множество L маршрутов передачи сообщений, где l=1, 2, 3, …, и информацию о наличии связи между абонентом и узлами управления сервисами информационно-вычислительной сети, после чего вычисляют критическое соотношение ранее запомненных «опасных» и «безопасных» узлов
Figure 00000007
для каждого l-го маршрута передачи сообщения между абонентом и всеми узлами управления сервисами, при котором невозможен информационный обмен в информационно-вычислительной сети, для чего вычисляют первоначальное соотношение «опасных» и «безопасных» узлов pl и последовательно увеличивают его на величину Δp до выполнения условия, при котором невозможен информационный обмен между абонентом и узлами управления сервисами информационно-вычислительной сети, затем выбирают из сформированного множества L маршрутов передачи сообщений маршруты с максимальным значением
Figure 00000007
ко всем имеющимся узлам управления сервисами информационно-вычислительной сети от данного абонента, после чего выбирают из них тот маршрут передачи сообщений, у которого значение длины маршрута минимально. A method for a comparative assessment of the structures of an information and computing network, which consists in preliminarily setting the parameters of the information and computing network and forming its topological scheme, calculating a comprehensive safety factor P K for each node of the information and computing network, connecting it to the information and computing network of subscribers, which generate messages, including the addresses of subscribers and their identifiers, transmit the generated messages, receive them, set the minimum acceptable value for meat indicator safety P min for nodes of the computer network, and comparing the integrated safety index value P Ki i-th node of the computer network, where i = 1, 2, 3, ..., with a predetermined minimum allowable value n min, and when П Kimin, the i-th node is remembered as “dangerous”, otherwise, if П Ki ≥ П min, the node is remembered as “safe”, characterized in that they additionally specify a set of M service control nodes, which is taken into account when forming the topological information schemes On a computational network, after receiving response messages from service control nodes, identifiers and addresses of service control nodes, as well as a set of L message transmission routes, where l = 1, 2, 3, ..., and information on the existence of communication between the subscriber and control nodes are allocated and stored computer network services, after which the critical ratio of previously stored “dangerous” and “safe” nodes is calculated
Figure 00000007
for each l-th message transmission route between the subscriber and all service control nodes, in which information exchange in the information-computer network is impossible, for which the initial ratio of “dangerous” and “safe” nodes p l is calculated and subsequently increased by Δp to the fulfillment of the condition under which information exchange between the subscriber and the control nodes of the services of the information computer network is impossible, then, from the formed set of L routes for transmitting messages, the routes you with the maximum value
Figure 00000007
to all available nodes for managing services of an information-computer network from a given subscriber, after which they select the message transmission route for which the value of the route length is minimal.
RU2014120108/08A 2014-05-19 2014-05-19 Method for comparative evaluation of information computer network structures RU2573267C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2014120108/08A RU2573267C2 (en) 2014-05-19 2014-05-19 Method for comparative evaluation of information computer network structures

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014120108/08A RU2573267C2 (en) 2014-05-19 2014-05-19 Method for comparative evaluation of information computer network structures

Publications (2)

Publication Number Publication Date
RU2014120108A RU2014120108A (en) 2015-11-27
RU2573267C2 true RU2573267C2 (en) 2016-01-20

Family

ID=54753324

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014120108/08A RU2573267C2 (en) 2014-05-19 2014-05-19 Method for comparative evaluation of information computer network structures

Country Status (1)

Country Link
RU (1) RU2573267C2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2631971C1 (en) * 2016-04-22 2017-09-29 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Method of identifying logical connection in infocommunication network providing anonymous access
RU2791154C1 (en) * 2021-12-16 2023-03-03 Министерство обороны Российской федерации (Минобороны России) Федеральное государственное казенное военное образовательное учреждение высшего образования "Военная орденов Жукова и Ленина краснознаменная академия связи имени Маршала Советского Союза С.М. Буденного" Method for comparative assessment of communication network structures

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2120190C1 (en) * 1997-06-02 1998-10-10 Военная академия связи Method for correction of routes in data transmission network
RU2004111798A (en) * 2001-09-20 2005-05-10 Сименс Акциенгезелльшафт (DE) METHOD FOR CHOOSING THE USE OF THE USED ROUTE IN THE ROUTER FOR UNIFORM DISTRIBUTION IN THE COMMUNICATION NETWORK
EP2066142A2 (en) * 2007-08-31 2009-06-03 Fisher-Rosemount Systems, Inc. Configuring and optimizing a wireless mesh network
RU2408928C1 (en) * 2009-08-03 2011-01-10 Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации Method for comparative assessment of information computer network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2120190C1 (en) * 1997-06-02 1998-10-10 Военная академия связи Method for correction of routes in data transmission network
RU2004111798A (en) * 2001-09-20 2005-05-10 Сименс Акциенгезелльшафт (DE) METHOD FOR CHOOSING THE USE OF THE USED ROUTE IN THE ROUTER FOR UNIFORM DISTRIBUTION IN THE COMMUNICATION NETWORK
EP2066142A2 (en) * 2007-08-31 2009-06-03 Fisher-Rosemount Systems, Inc. Configuring and optimizing a wireless mesh network
RU2408928C1 (en) * 2009-08-03 2011-01-10 Государственное образовательное учреждение высшего профессионального образования "Военная академия связи имени С.М. Буденного" Министерства обороны Российской Федерации Method for comparative assessment of information computer network

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2631971C1 (en) * 2016-04-22 2017-09-29 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Method of identifying logical connection in infocommunication network providing anonymous access
RU2791154C1 (en) * 2021-12-16 2023-03-03 Министерство обороны Российской федерации (Минобороны России) Федеральное государственное казенное военное образовательное учреждение высшего образования "Военная орденов Жукова и Ленина краснознаменная академия связи имени Маршала Советского Союза С.М. Буденного" Method for comparative assessment of communication network structures

Also Published As

Publication number Publication date
RU2014120108A (en) 2015-11-27

Similar Documents

Publication Publication Date Title
US9729504B2 (en) Method of near real-time automated global geographical IP address discovery and lookup by executing computer-executable instructions stored on a non-transitory computer-readable medium
Eriksson et al. Riskroute: A framework for mitigating network outage threats
CN106713235B (en) Account registration and accessing method and the network attached storage system for using the method
EP3549050A1 (en) Systems and methods for generation and selection of access rules
CN110400217A (en) The regular changing process method and device of intelligent contract
CN106888277A (en) A kind of domain name inquiry method and device
Kumar et al. An altruism‐based trust‐dependent message forwarding protocol for opportunistic networks
CN111598139A (en) Data processing method and system
CN110944007B (en) Network access management method, system, device and storage medium
CN110061918B (en) Method and device for evaluating safety of routing between autonomous domains
Dwiardhika et al. Virtual network embedding based on security level with VNF placement
CN114389902A (en) Block chain-based network security monitoring method and system
RU2488165C1 (en) Method of modelling communication networks
RU2690213C1 (en) Method of simulating an optimum version of topological arrangement of a plurality of information interconnected subscribers on a given fragment of a public communication network
RU2573267C2 (en) Method for comparative evaluation of information computer network structures
RU2408928C1 (en) Method for comparative assessment of information computer network
Hillmann et al. On the path to high precise ip geolocation: A self-optimizing model
CN108234598A (en) A kind of network communication applied to power industry controls management method
CN105991630B (en) A kind of shared access detection method and device
RU2460123C1 (en) Method for comparative evaluation of communication network structures
RU2626099C1 (en) Method of comparative estimation of communication network structures
TWI684933B (en) Service platform server and automated account verification method
CN104954485A (en) Data communication method applied to mobile terminal, proxy server and communication system
CN105163331B (en) A kind of method and mobile terminal shared for mobile terminal flow
Sandaruwan Ranaweera et al. Preventive start‐time optimisation of open shortest path first link weights for hose model

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20160520

NF4A Reinstatement of patent

Effective date: 20170413

MM4A The patent is invalid due to non-payment of fees

Effective date: 20180520