RU2612275C1 - Способ мониторинга сетей связи в условиях ведения сетевой разведки и информационно технических воздействий - Google Patents

Способ мониторинга сетей связи в условиях ведения сетевой разведки и информационно технических воздействий Download PDF

Info

Publication number
RU2612275C1
RU2612275C1 RU2015152989A RU2015152989A RU2612275C1 RU 2612275 C1 RU2612275 C1 RU 2612275C1 RU 2015152989 A RU2015152989 A RU 2015152989A RU 2015152989 A RU2015152989 A RU 2015152989A RU 2612275 C1 RU2612275 C1 RU 2612275C1
Authority
RU
Russia
Prior art keywords
parameters
itv
failures
pcm
monitoring
Prior art date
Application number
RU2015152989A
Other languages
English (en)
Inventor
Евгений Владимирович Гречишников
Михаил Михайлович Добрышин
Дмитрий Евгеньевич Шугуров
Артем Вячеславович Берлизев
Владимир Николаевич Макаров
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) filed Critical Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России)
Priority to RU2015152989A priority Critical patent/RU2612275C1/ru
Application granted granted Critical
Publication of RU2612275C1 publication Critical patent/RU2612275C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B17/00Monitoring; Testing

Landscapes

  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к области телекоммуникаций, а именно к области диагностирования и контроля технического состояния информационно-телекоммуникационных сетей связи в условиях информационно-технических воздействий. Техническим результатом является создание способа мониторинга сетей связи в условиях ведения сетевой разведки и информационно-технических воздействий злоумышленника. Это достигается за счет измерения и оценки контролируемых параметров ведения сетевой разведки и информационно-технических воздействий, а также изменении количества точек мониторинга в зависимости от действий ведения сетевой разведки и информационно-технических воздействий злоумышленника и технического состояния элементов сети связи, а также за счет сокращения количества точек мониторинга, повышения защищенности элементов сети связи за счет своевременного определения начала прогнозирования и принятия мер по противодействию информационно-техническим воздействиям. 7 ил., 1 табл.

Description

Изобретение относится к области телекоммуникаций, а именно к области диагностирования и контроля технического состояния информационно-телекоммуникационных сетей связи в условиях информационно-технических воздействий.
Под информационно-телекоммуникационной сетью связи понимается совокупность информационно-вычислительных систем, объединенных системой передачи данных (Центр стратегических оценок и прогнозов. Информационная война и защита информации. Словарь основных терминов и определений, www.csef.ru, Москва, 2011, с. 25).
В качестве элементов сети связи рассматриваются: узлы связи, средства связи, каналы (линии) связи (п. 1.7. стр. 74, Ермишян А.Г. Теоретические основы построения систем военной связи в объединениях и соединениях: Учебник. Часть 1. Методологические основы построения организационно-технических систем военной связи. СПб.: ВАС, 2005. 740 с.).
Под сетевой разведкой (CP) понимается - получение и обработка данных об информационной системе клиента, ресурсов информационной системы, используемых устройств и программного обеспечения и их уязвимостях, средств защиты, а также о границе проникновения в информационную систему (http://it-sektor.ru/chto-takoe-setevaya-razvedka.html).
Под информационно-техническими воздействиями (ИТВ) понимаются методы радиоэлектронной борьбы, проникновение в компьютерные сети и т.п. (Базовые принципы информационной безопасности вычислительных сетей: учебное пособие для студентов, обучающихся по специальностям 08050565, 21040665, 22050165, 23040165 / А.А. Гладких, В.Е. Дементьев; - Ульяновск: УлГТУ, 2009. - С. 135).
Распределенная система мониторинга (РСМ) сетей связи - это система, выполняющая функции контроля состояния сети, анализа производительности сети связи, наблюдения за текущей конфигурацией, учета трафика и обеспечения безопасности (Электронный журнал НИИ Телекоммуникационных систем http://niits.ru/products/?spider).
Известен "Способ оценки информативности и приоритетности параметров технического состояния компьютерной сети", патент РФ №2439705 C1, G06Q 90/00 (2006.01), опубл.: 10.01.2012, бюл. №1.
Способ заключается в выполнении следующей последовательности действий. Посылки сигнала анализатором, замеряющим характеристики технического состояния компьютерной сети, сохранения значений в блоке хранения данных, занесения измеренных значений в блок обработки данных, в котором последовательно вычисляют средние значения каждого параметра по всем контролируемым системам, аналогичным по назначению и условиям эксплуатации участкам компьютерной сети, вычисляют общее среднее значение параметров по числу проведенных измерений, рассчитывают элементы ковариационной матрицы и строят на их основе корреляционную матрицу, вычисляют дополнительный параметр - вероятность невыполнения сетью задач к концу времени испытаний, измерений, средние значения этого параметра и рассчитывают коэффициенты корреляции по ним, добавляют последнюю строку и последний столбец полученной корреляционной матрицы вероятностей в качестве последних строки и столбца к корреляционной матрице параметров технического состояния компьютерной сети, формируют преобразование, описывающее внутренние связи рассматриваемых параметров контролируемой сети или ее участка, произведение столбцов которого дает соответствующий элемент полученной итоговой корреляционной матрицы, полученной на основе элементов построенного преобразования, оценивают информативность исходной совокупности характеристик с помощью функции меры информации Шеннона, отбрасывают параметры с наименьшим коэффициентом приоритетности, определяют информативность уменьшенной совокупности параметров, вычисляют потери информации системы оставшихся параметров технического состояния по сравнению с исходной системой показателей, осуществляют окончательный выбор совокупности наиболее важных параметров технического состояния в соответствии с заданным пользователем максимальным уровнем потерь информации, расчет дополнительно оцениваемых параметров осуществляют по вероятности выхода за пределы допустимых значений по каждому параметру и вероятности невыполнения сетью задач к концу времени испытаний, вычисление дополнительного параметра осуществляют в блоке обработки данных после расчета корреляционной матрицы контролируемых параметров технического состояния компьютерной сети, вычисляют вероятность выхода за пределы допустимых значений по каждому параметру технического состояния компьютерной сети и вероятность невыполнения сетью задач к концу времени испытаний по числу сбоев в работе сети, вычисление дополнительного параметра осуществляют на основе средних вероятностей сбоев в сети по всем замерам для каждой характеристики технического состояния компьютерной сети и средней вероятности сбоев в сети по всем характеристикам для каждого замера.
Недостатками данного способа являются низкое быстродействие системы мониторинга технического состояния сети связи, в связи с обработкой большого объема данных от различных точек мониторинга, низкая защищенность сети связи от сетевой разведки и информационно-технических воздействий, в связи с низкой своевременностью определения факта начала ведения сетевой разведки, информационно-технических воздействий и отсутствия прогнозирования технического состояния сети связи в условиях противодействия сетевой разведки и информационно-технических воздействий.
Наиболее близким аналогом (прототипом) по технической сущности к предлагаемому техническому решению является "Способ диагностирования средств связи телекоммуникационных систем", патент РФ №2345492 C2, H04B 17/00 (2006/01), опубл. 27.01.2009, бюл. №3.
Способ-прототип заключается в том, что среди параметров сложного технического объекта выделяют отдельные параметры, которые являются признаками его технического состояния, сравнивают их с эталонными признаками исходного алфавита классов состояний и по результатам сравнения определяют группу классов возможного технического состояния диагностируемого объекта, в которой определяют признак, имеющий максимальную диагностическую ценность, для всех признаков состояний выбранной группы многократно измеряют сигналы и определяют показатель интенсивности связи - эмпирическое корреляционное отношение значения сигнала с максимальной диагностической ценностью значениям сигналов остальных признаков состояния, проводят вычисление средних значений эмпирического корреляционного отношения для каждого класса и определяют класс в выбранной группе классов состояния с максимально средним значением эмпирического корреляционного отношения, который является фактическим классом состояния, введено то, что всю совокупность как внутренних параметров, так и выходных параметров, определяющих техническое состояние средств связи телекоммуникационных систем, сокращают за счет выявления сильной корреляционной зависимости отдельно между внутренними параметрами, отдельно между выходными параметрами средств связи телекоммуникационных систем, по заданной достоверности контроля технического состояния с учетом динамики изменений выделенных контролируемых параметров осуществляют прогнозирование времени наступления предотказового состояния средств связи телекоммуникационных систем.
Однако способ-прототип имеет следующие недостатки - низкое быстродействие системы мониторинга технического состояния сети связи, в связи с обработкой большого объема данных от различных точек мониторинга, низкая защищенность сети связи от сетевой разведки и информационно-технических воздействий, в связи с низкой своевременностью определения факта начала ведения сетевой разведки, информационно-технических воздействий и отсутствия прогнозирования технического состояния сети связи в условиях противодействия сетевой разведки и информационно-технических воздействий.
Задачей изобретения является создание способа мониторинга сетей связи в условиях ведения сетевой разведки и информационно-технических воздействий. Техническим результатом изобретения является расширение возможности способа прототипа, за счет измерения и оценки контролируемых параметров сетевой разведки и информационно-технических воздействий, а также изменении количества точек мониторинга в зависимости от действий сетевой разведки, информационно-технических воздействий злоумышленника и технического состояния сети связи, повышение быстродействия распределенной системы мониторинга технического состояния сети связи, за счет сокращения количества точек мониторинга, повышение защищенности сети связи за счет своевременного определения начала ведения сетевой разведки и информационно-технических воздействий, прогнозирования и принятия упреждающих мер по противодействию информационно-техническим воздействиям.
Задача изобретения решается тем, что в способе мониторинга сетей связи в условиях ведения сетевой разведки и информационно-технических воздействий выполняется следующая последовательность действий.
Измеряют параметры функционирования
Figure 00000001
однотипных сетей связи, интегрированных в Единую Сеть Электросвязи (ЕСЭ), в условиях предоставления различных услуг связи различному количеству абонентов (ГОСТ 28871-90 Аппаратура линейных трактов цифровых волоконно-оптических систем передачи. Методы измерения основных параметров. Стандартинформ, 2005, 8 с.). Определяют критерии оценки параметров функционирования элемента сети связи и сети связи в целом. Сохраняют измеренные значения в блоке хранения данных (гл. 5.4 стр.133-146, гл. 7 стр. 168-233, Галицина О.Л. и др. Базы данных: Учебное пособие. Форум-Инфра-М, Москва, 2006, 352 с.) и заносят измеренные значения в блок обработки данных.
Измеряют параметры эксплуатационных отказов и сбоев
Figure 00000002
на однотипных функционирующих сетях связи интегрированных в ЕСЭ (ГОСТ 28871-90. Аппаратура линейных трактов цифровых волоконно-оптических систем передачи. Методы измерения основных параметров. Стандартинформ, 2005, 8 с.). Определяют критерии оценки параметров функционирования элемента сети связи и сети связи в целом в условиях эксплуатационных отказов и сбоев. Сохраняют измеренные значения в блоке хранения.
Формируют физическую модель СС в условиях предоставления различных услуг связи различному количеству абонентов с учетом эксплуатационных отказов и сбоев (Варламов О.О. «О системном подходе к созданию модели компьютерных угроз и ее роли в обеспечении безопасности информации в ключевых системах информационной инфраструктуры». Известия ТРТУ / Тематический выпуск // №7 / том 62 / 2006 г. С. 218).
Измеряют параметры ведения CP и ИТВ
Figure 00000003
на однотипные функционирующие сети связи (Для сетей связи функционирующих в Единой сети электросвязи одним из критерием начала вскрытия может служить сканирование нескольких портов Web сервера с использованием одного IP-адреса (п. 10.7.2. Сканирование портов / Linix глазами хакера http://wm-help.net/lib/b/book/2677999886/355)) и ИТВ
Figure 00000004
(Для сетей связи функционирующих в Единой сети электросвязи одним из критерием начала информационно-технического воздействия может служить появление ошибок 403 и 500, резкое увеличение трафика (http://www.setup.ru/client/subscription/68)). Определяют критерии оценки параметров функционирования элемента сети связи и сети связи в целом в условиях ведения CP и ИТВ. Сохраняют измеренные значения в блоке хранения данных.
Формируют физические модели CP и ИТВ различных злоумышленников (Варламов О.О. «О системном подходе к созданию модели компьютерных угроз и ее роли в обеспечении безопасности информации в ключевых системах информационной инфраструктуры» Известия ТРТУ / Тематический выпуск // №7 / том 62 / 2006 г. С. 218).
Исходя из топологии создаваемой СС, а также на основании статистических данных об эксплуатационных отказах и сбоях, действий злоумышленника по ведению CP и ИТВ, определяют возможные места размещения точек мониторинга контролируемых параметров СС, CP и оценить параметры ИТВ по изменению параметров СС (Вариант оптимизационной задачи представлен в «Основные задачи оптимизации локальных сетей». http://www.xnets.ru/plugins/content/content.php?content.156.4). Формируют физическую модель системы мониторинга СС (п. 1.2 стр. 6, Галкин А.П. и др. Моделирование каналов систем связи. Москва: Связь, 1979, 94 с.).
Моделируют функционирование СС, PCM, CP и ИТВ. Измеряют быстродействие РСМ СС. Сохраняют в базе данных значения параметров СС в условиях предоставления различных услуг связи различному количеству абонентов, потока отказов и эксплуатационных сбоев, а также ведения CP и ИТВ. Среди параметров состояний СС, CP и ИТВ выделяют отдельные параметры, которые являются признаками эксплуатационных отказов и сбоев СС, а также ведения CP и ИТВ. Выделенные параметры сохраняют в базе данных.
Определяют корреляционные связи между параметрами состояний СС при эксплуатационных отказах и сбоях, а также при ведении CP и ИТВ.
На основании выявленных корреляционных связей между контролируемыми параметрами состояния СС сокращают количество контролируемых параметров.
Определяют корреляционные связи между значениями параметров состояний СС при эксплуатационных отказах и сбоях, а также при ведении CP и ИТВ в различных точках мониторинга.
На основании выявленных корреляционных связей сокращают количество контролируемых точек мониторинга.
Моделируют функционирование СС, PCM, CP и ИТВ с сокращенным количеством точек мониторинга и указанных контролируемых параметров. Измеряют быстродействие РСМ СС (Использование счетчиков производительности для мониторинга http://www.osp.ru/win2000/2010/04/13003220/). Выделенные параметры сохраняют в базу данных.
Определяют оптимальное количество точек мониторинга, места их размещения и контролируемые параметры для случаев нормального функционирования СС, функционирования СС при различных эксплуатационных отказах и сбоях, а также для случаев выявления действий CP и ИТВ злоумышленника.
Сравнивают быстродействие РСМ с сокращенным количеством точек мониторинга и контролируемых параметров для различных определенных случаев функционирования СС с имеющимися значениями быстродействия РСМ с полным количеством точек мониторинга и параметров в условиях предоставления различных услуг связи различному количеству абонентов, при различном количестве эксплуатационных отказов и сбоев, а также различных значениях параметров CP и ИТВ (Использование счетчиков производительности для мониторинга http://www.osp.ru/win2000/2010/04/13003220/).
Если значения достоверности РСМ отличаются от требуемых, то изменяют (увеличивают/уменьшают) количество и места расстановки точек мониторинга и количество контролируемых параметров до получения требуемого значения достоверности.
Разрабатывают мероприятия по противодействию CP и ИТВ (Например варианты реконфигурации или перекоммутации каналов СС), (сущность процесса реконфигурации описана в «О надежности прикладного уровня с учетом возможности реконфигурации сети MPLS» / http://nauchebe.net/2013/01/o-nadyozhnosti-prikladnogo-urovnya-s-uchyotom-vozmozhnosti-rekonfiguracii-seti-mpls, 2013 г.), (сущность процесса перекоммутации описана в «Виртуальные локальные сети. Создание VLAN позволяет повысить производительность каждой из них и изолировать сети друг от друга…» / http://www.osp.ru/lan/2002/12/136942 // «Журнал сетевых решений/LAN», №12, 2002).
С учетом динамики изменений выделенных контролируемых параметров осуществляют прогнозирование времени наступления критического (предотказового) состояния СС (tотк) и сравнивают со временем функционирования СС (tфункц) (подход к прогнозированию надежности представлены в Козлов В.Г. «Теория надежности» / Томский государственный университет систем управления и радиоэлектроники / Учебное пособие для студентов специальностей 201300 и 2008000, п. 6.6.3 «Физические методы прогнозирования» 2004 г., с. 138). Если время функционирования СС превышает время наступления критического (предотказового) состояния СС, заблаговременно выполняют комплекс мероприятия по противодействию CP и ИТВ и повторно моделируют функционирование СС.
Осуществляют развертывание и функционирование сети связи, а также развертывание и функционирования РСМ для нормальных условий функционирования СС.
Устанавливают соединения с РСМ провайдера предоставляющего услуги связи и другими независимыми системами обнаружения ИТВ.
Во время функционирования СС проводят мониторинг технического состояния СС, параметров CP и опосредованно определяют параметры ИТВ.
При обнаружении эксплуатационных отказов и сбоев принимают меры по реконфигурации сети связи и устранению причин сбоя.
При фиксации факта ведения CP включают точки мониторинга и изменяют количество контролируемых параметров CP и ИТВ согласно имеющихся моделей РСМ по уточнению параметров CP и идентификации злоумышленника.
На основании имеющихся статистических данных прогнозируют параметры CP и ИТВ, а также параметры СС в условиях ведения ИТВ. Сравнивают спрогнозированные значения параметров СС с требуемыми и при необходимости выполняют необходимые действия по подготовке мероприятий по противодействию CP и ИТВ (например включение, синхронизацию и обеспечение заданных режимов работы аппаратуры связи).
При фиксации факта ведения ИТВ реконфигурируют РСМ путем изменения контролируемых параметров и точек мониторинга, согласно имеющихся моделей РСМ состояния СС при ИТВ.
На основании данных, полученных от РСМ, о параметрах ИТВ и СС выполняют комплекс мероприятий по противодействию ИТВ (например, включение, синхронизацию и обеспечение заданных режимов работы аппаратуры связи, перекоммутацию информационных потоков) (Астрахов А.В., Климов С.М., Сычев М.П. «Противодействие компьютерным атакам. Технологические основы», МГТУ им. Н.Э. БАУМАНА, Москва, 2013, п. 6. Технология противодействия компьютерным атакам на критически важные информационные системы. С. 40-48).
Согласно заданным критериям (указанным в исходных данных) фиксируют факт окончания ИТВ. По окончанию воздействия сравнивают измеренные параметры ИТВ и значения параметров, полученные от независимых сторонних систем мониторинга.
Рассчитывают достоверность параметров измеренных РСМ, быстродействие РСМ по обнаружению эксплуатационных отказов и сбоев, обнаружения действий CP и ИТВ (Н.С. Кравченко, О.Г. Ревинская «Методы обработки результатов измерений и оценки погрешностей в учебном лабораторном практикуме», Томский политехнический университет, 2011 г., с. 7-19).
На основании проведенных расчетов достоверности и быстродействия РСМ оценивают правильность расстановки точек мониторинга и количества контролируемых параметров.
При выявлении отклонений достоверности и быстродействия РСМ от требуемых значений осуществляют изменение количества контролируемых параметров и реконфигурируют РСМ.
Перечисленная новая совокупность существенных признаков обеспечивает расширение возможности способа прототипа, за счет измерения и оценки контролируемых параметров CP и ИТВ, а также изменении количества точек мониторинга в зависимости от действий CP и ИТВ злоумышленника и ТС СС, повышение быстродействия РСМ СС, за счет сокращения количества точек мониторинга, повышение защищенности СС за счет своевременного определения начала ведения CP и ИТВ, прогнозирования и принятия упреждающих мер по противодействию ИТВ.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественных всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "новизна".
Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".
«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении назначения.
Заявленный способ поясняется чертежами, на которых показано:
фиг. 1 - структурно-логическая последовательность мониторинга сетей связи в условиях ведения CP и ИТВ злоумышленника;
фиг. 2 - вариант логического соединения сети связи, используемой при оценке эффективности заявленного способа;
фиг. 3 - таблица исходных данных для расчета эффективности заявленного способа, характеризующая параметры измеряемые в точках мониторинга;
фиг. 4 - результаты расчетов коэффициентов корреляции параметров технического состояния измеряемых в точке мониторинга;
фиг. 5 - результаты расчета сокращения контролируемых параметров в каждой точке мониторинга;
фиг. 6 - результаты расчета коэффициентов корреляции между параметрами измеряемыми в точках мониторинга;
фиг. 7 - результаты расчета сокращения контролируемых точек мониторинга.
Заявленный способ поясняется структурно-логической последовательностью (фиг. 1), где в блоке 1 измеряют параметры функционирования однотипных сетей связи интегрированных в ЕСЭ в условиях предоставления различных услуг связи различному количеству абонентов
Figure 00000005
, где i-я однотипная сеть связи (i=1…I, где I - количество однотипных сетей связи), r-й режим функционирования (условия предоставления различных услуг связи различному количеству абонентов (r=1…R, где R - количество режимов функционирования)). Определяют критерии оценки параметров функционирования элемента сети связи и сети связи в целом. Создают блок хранения измеряемых параметров. Сохраняют измеренные значения и выделенные критерии в блоке хранения и заносят измеренные значения в блок обработки данных.
В блоке 2 измеряют параметры эксплуатационных отказов и сбоев на однотипных функционирующих сетях связи интегрированных в ЕСЭ
Figure 00000006
, где i-я однотипная сеть связи, k-й класс эксплуатационных отказов и сбоев (k=1…K, где K - количество класс эксплуатационных отказов и сбоев). Определяют критерии оценки параметров функционирования элемента сети связи и сети связи в целом в условиях эксплуатационных отказов и сбоев. Сохраняют измеренные значения и критерии в блоке хранения.
Далее в блоке 3 формируют физическую модель СС в условиях предоставления различных услуг связи различному количеству абонентов с учетом эксплуатационных отказов и сбоев.
В блоке 4 измеряют на однотипные функционирующие сети связи параметры CP
Figure 00000007
и ИТВ
Figure 00000008
, где i-я однотипная сеть связи, j-й злоумышленник (j=1…J, где J - количество злоумышленников). Определяют критерии оценки параметров функционирования элемента сети связи и сети связи в целом в условиях ведения CP и ИТВ. Сохраняют измеренные значения и критерии в блоке хранения данных.
В блоке 5 формируют физические модели КР и ИТВ различных злоумышленников (Сетевая модель OSI / http://russian-texts.ru/Модель).
Затем в блоке 6 исходя из топологии создаваемой СС, а также на основании статистических данных об эксплуатационных отказах и сбоях, действий злоумышленника по ведению CP и ИТВ, определяют возможные места размещения точек мониторинга контролируемых параметров СС, CP и ИТВ. Формируют физическую модель РСМ СС.
В блоке 7 моделируют функционирование СС, РСМ, CP и ИТВ. Измеряют быстродействие РСМ СС (Vполн). Сохраняют значения параметров СС в условиях предоставления различных услуг связи различному количеству абонентов, потока отказов и эксплуатационных сбоев, а также ведения CP и ИТВ.
В блоке 8 среди параметров состояний СС, CP и ИТВ выделяют отдельные параметры ({pen}), где e-й выделенный параметр (e=1…E, где Е - количество контролируемых параметров в очке мониторинга РСМ), который являются признаками эксплуатационных отказов и сбоев СС, а также ведения CP и ИТВ n-я точка мониторинга (n=1…N, где N - количество точек мониторинга РСМ). Выделенные параметры сохраняют в базу данных.
В блоке 9 на основании статистических данных создают базу данных эталонных признаков исходного алфавита классов состояний СС
Figure 00000009
.
Далее в блоке 10 сравнивают значения выделенных параметров с эталонными значениями признаков исходного алфавита классов состояний и по результатам сравнения определяют группу классов возможного состояния СС в условиях предоставления различных услуг связи различному количеству абонентов, потока отказов и эксплуатационных сбоев, а также ведения CP и ИТВ.
Figure 00000010
В блоке 11 определяют коэффициент корреляционных связей между параметрами состояний СС
Figure 00000011
при эксплуатационных отказах и сбоев, а также при ведении CP и ИТВ (для нормального закона распределения наблюдаемых параметров данную зависимость можно определить в соответствии с выражением (Гмурман В.Е. Теория вероятностей и математическая статистика: Учеб. пособие для вузов. - 8-е изд., стер. - М.: Высшая школа., 2002. - 479 с.)) согласно формулы:
Figure 00000012
где
Figure 00000013
- коэффициент корреляционных связей между контролируемыми параметрами точки мониторинга РСМ;
рan - сравниваемый контролируемый параметр, где a=1…Е;
рbn - сравниваемый контролируемый параметр, где b=1…Е;
Figure 00000014
- математическое ожидание параметров р a n;
Figure 00000015
- математическое ожидание параметров рbn;
Figure 00000016
- среднеквадратическое отклонение параметров р a n;
Figure 00000017
- среднеквадратическое отклонение параметров рbn;
K - объем выборки параметров pen.
При неизвестном законе распределения наблюдаемых параметров целесообразно использовать характеристики связи, свободные от вида распределения. В частности, одной из данных характеристик является коэффициент ранговой корреляции Спирмена (Статистические методы обработки результатов наблюдений: Учебник для вузов. Под редакцией доктора технических наук профессора Юсупова P.M. - Мин. обороны СССР, 1984. - 687 с.).
По значениям коэффициентов корреляции при заданном уровне достоверности к объемам выборок определяют значимость связи между внутренними параметрами, чем ближе значение коэффициента корреляции к ±1, тем ближе данная связь к линейной функциональной (Белько И.В., Свирид Г.П. Теория вероятностей и математическая статистика. Примеры и задачи: Учеб. пособие. Под. ред. Кузьмича К.К. - 2-е изд., стер. - Мн.: Новое знание, 2004. - 251 с.).
В блоке 12 на основании выявленных корреляционных связей между контролируемыми параметрами состояния СС, CP и ИТВ сокращают количество контролируемых параметров. При отрицательном исходе данной операции считают, что параметры независимы. Сокращение параметров, находящихся в функциональной зависимости, позволяет избежать избыточности статистической информации, заключенной в них, тем самым повысить быстродействие РСМ СС.
В блоке 13 определяют корреляционные связи между значениями параметров состояний СС при эксплуатационных отказах и сбоев, а также при ведении CP и ИТВ в различных точках мониторинга
Figure 00000018
(для нормального закона распределения наблюдаемых параметров данную зависимость можно определить в соответствии с выражением (Гмурман В.Е. Теория вероятностей и математическая статистика: Учеб. пособие для вузов. - 8-е изд., стер. - М.: Высшая школа., 2002. - 479 с.)) согласно формулы:
Figure 00000019
где
Figure 00000020
- коэффициент корреляционных связей между значениями параметров различных точек мониторинга РСМ;
ped - сравниваемый контролируемый параметр, где d=1…N;
pес - сравниваемый контролируемый параметр, где с=1…N;
Figure 00000021
- математическое ожидание параметров ped;
Figure 00000022
- математическое ожидание параметров pec;
Figure 00000023
- среднеквадратическое отклонение параметров ped;
Figure 00000024
- среднеквадратическое отклонение параметров рес;
K - объем выборки параметров рen.
В блоке 14 на основании выявленных корреляционных связей между контролируемыми параметрами состояния СС, CP и ИТВ в различных точках мониторинга, исключают точки мониторинга из РСМ. При отрицательном исходе данной операции считают, что параметры независимы. Сокращение точек мониторинга, находящихся в функциональной зависимости, позволяет избежать избыточности статистической информации, заключенной в них, тем самым повысить быстродействие РСМ СС.
В блоке 15 определяют оптимальное количество точек мониторинга, места их размещения и контролируемые параметры для случаев нормального функционирования СС, функционирования СС при различных эксплуатационных отказов и сбоев, а также случаев выявления действий CP и ИТВ злоумышленника
В блоке 16 моделируют функционирование СС, РСМ, CP и ИТВ с сокращенным количеством точек мониторинга и указанных контролируемых параметров. По заданной достоверности контроля технического состояния осуществляют контроль параметров СС, CP и ИТВ. Измеряют быстродействие РСМ СС. Выделенные параметры сохраняют в базу данных.
В блоке 17 сравнивают быстродействие РСМ СС с сокращенным количеством точек мониторинга и контролируемых параметров для различных определенных случаев функционирования СС с имеющимися значениями быстродействия РСМ с полным количеством точек мониторинга и параметров в условиях предоставления различных услуг связи различному количеству абонентов, при различном количестве эксплуатационных отказов и сбоев, а также различных значениях параметров CP и ИТВ.
Если значения достоверности РСМ отличаются от требуемых изменяют (увеличивают/уменьшают) количество и места расстановки точек мониторинга и количество контролируемых параметров.
В блоке 18 разрабатывают мероприятия по противодействию CP и ИТВ (например варианты реконфигурации или перекоммутации каналов СС). С учетом динамики изменений выделенных контролируемых параметров осуществляют прогнозирование времени наступления критического (предотказового) состояния СС (tотк) и сравнивают со временем функционирования СС (tфункц). Если временем функционирования СС превышает времени наступления критического (предотказового) состояния СС, то заблаговременно выполняют комплекс мероприятия по противодействию CP и ИТВ и повторно моделируют функционирование СС. При необходимости разрабатывают дополнительные мероприятия по противодействию CP и ИТВ.
В блоке 19 осуществляют развертывание и функционирование сети связи, а также развертывание и функционирования РСМ для нормальных условий функционирования СС.
В блоке 20 определяют окончание функционирование сети связи.
В блоке 21 устанавливают соединения с РСМ провайдера, предоставляющего услуги связи, и другими независимыми системами обнаружения ИТВ.
В блоке 22 во время функционирования СС проводят мониторинг технического состояния СС, параметров CP и ИТВ.
В блоке 23 при обнаружении эксплуатационных отказов и сбоев принимают меры по реконфигурации сети связи и устранению причин сбоя.
В блоке 24 при фиксации факта ведения CP включают точки мониторинга и изменяют количество контролируемых параметров CP и ИТВ согласно имеющихся моделей РСМ по уточнению параметров CP и идентификации злоумышленника.
В блоке 25 на основании имеющихся статистических данных прогнозируют параметры CP и ИТВ, а также параметры СС в условиях ведения ИТВ. Сравнивают спрогнозированные значения параметров СС с требуемыми и при необходимости выполняют необходимые действия по подготовке мероприятий по противодействию CP и ИТВ (например, включение, синхронизацию и обеспечение заданных режимов работы аппаратуры связи).
В блоке 26 при фиксации факта ведения ИТВ реконфигурируют РСМ путем изменения контролируемых параметров и точек мониторинга согласно имеющихся моделей РСМ контроля состояния СС при ИТВ.
В блоке 27 на основании данных, полученных от РСМ о параметрах ИТВ и СС, выполняют комплекс мероприятий по противодействию ИТВ (например включение, синхронизацию и обеспечение заданных режимов работы аппаратуры связи, перекоммутацию информационных потоков).
В блоке 28 согласно заданным критериям фиксируют факт окончания ИТВ. По окончанию воздействия сравнивают измеренные параметры ИТВ и значения параметров, полученные от независимых сторонних систем мониторинга.
В блоке 29 рассчитывают достоверность параметров, измеренных РСМ, быстродействие РСМ по обнаружению эксплуатационных отказов и сбоев, обнаружения действий CP и ИТВ.
В блоке 30 на основании проведенных расчетов достоверности и быстродействия РСМ оценивают правильность расстановки точек мониторинга и количества контролируемых параметров.
В блоке 31 при выявлении отклонений достоверности и быстродействия РСМ от требуемых значений осуществляют изменение количества контролируемых параметров и реконфигурируют РСМ.
Сформулированная задача изобретения подтверждается представленным расчетом заявленного способа.
Оценка эффективности заявленного способа производилась следующим образом. В качестве исходных данных использовались данные, указанные в фиг. 2, 3. На фигуре 2 представлен фрагмент РСМ и сети связи, где 1-6 точки коммутации и маршрутизации, на которых установлены точки мониторинга РСМ, 7-9 элементы сети связи (сервер). Между элементами 7-9 циркулируют информационные потоки, которые перенаправляются и распределяются в 1-6 точках коммутации и маршрутизации. Значения параметров, измеряемых в точках мониторинга, представлены в фигуре 3.
Расчет эффективности заявленного способа проводился в следующей последовательности.
На первом этапе осуществляется расчет корреляционных связей между контролируемыми параметрами всех элементов сети связи (исходные данные представлены на фигуре 3) для способа прототипа и заявленного способа по формуле (2):
Figure 00000025
,
Так как процесс расчета коэффициентов корреляции между контролируемыми параметрами технического состояния элементов сети связи измеряемых РСМ для предлагаемого способа и способа-прототипа идентичен, результаты расчетов также идентичны. Результаты вычислений представлены в фиг. 4.
Далее на основании оценки коэффициентов корреляции принимается решение о сокращении контролируемых параметров в каждой конкретной точке мониторинга.
Сокращение контролируемых параметров осуществляется согласно следующему критерию (statpsy.ru/correlation/velicina):
Figure 00000026
Figure 00000027
На основании рассчитанных значений коэффициентов корреляции (фиг. 4) и выбранного критерия (4) сокращают количество контролируемых параметров в каждой точке мониторинга. Результаты сокращения контролируемых параметров представлены в фиг. 5. Из чего следует, что количество контролируемых параметров сократилось с 42 до 24 параметров.
На втором этапе осуществляется расчет корреляционных связей между измеряемыми параметрами технического состояния в различных точках мониторинга (исходные данные представлены в фиг. 4, 5) для заявленного способа по формуле:
Figure 00000028
.
Результаты вычислений для заявленного способа представлены на фигурах 6-7. Согласно описанию способа-прототипа расчет корреляционных связей между измеряемыми параметрами технического состояния в различных точках мониторинга не осуществляется.
Таким образом в способе-прототипе единовременно обрабатывается 150 параметров технического состояния, при использовании заявленного способа единовременно обрабатывается 126 параметров технического состояния. Учитывая тот факт, что время обработки данных пропорционально зависит от объема входных данных справедливо считать, что отношения входных данных, полученных с использованием способа мониторинга, и заявленного пропорциональны отношению быстродействия распределенных систем мониторинга:
Figure 00000029
На основании того, что своевременность определения начала факта ведения CP и ИТВ прямо пропорционально зависит от быстродействия распределенной системы мониторинга, очевидно, что своевременность заявленного способа выше своевременности распределенной системы мониторинга использующей алгоритм способа прототипа выше на 16%.
Исходя из сравнения основных показателей способа прототипа и заявленного способа следует вывод, что заявленный способ расширяет возможности способа прототипа, за счет измерения и оценки контролируемых параметров CP и ИТВ, а также изменении количества точек мониторинга в зависимости от действий CP и ИТВ злоумышленника и ТС СС, повышает быстродействие распределенной системы мониторинга ТС СС, за счет сокращения количества точек мониторинга и повышает защищенность СС за счет своевременного определения начала, прогнозирования и принятия мер по противодействию ИТВ.

Claims (1)

  1. Способ мониторинга сетей связи в условиях ведения сетевой разведки и информационно-технических воздействий, заключающийся в том, что среди параметров сети связи (СС), сетевой разведки (CP) и информационно-технических воздействий (ИТВ) выделяют отдельные параметры, которые являются признаками технического состояния СС, ведения CP и ИТВ, сравнивают значения выделенных параметров с эталонными признаками исходного алфавита классов состояний и по результатам сравнения определяют группу классов возможного состояния в условиях ведения CP и ИТВ, сокращают количество контролируемых параметров состояния СС в условиях ведения CP и ИТВ за счет выявления сильной корреляционной зависимости между параметрами технического состояния СС, между параметрами CP и ИТВ, осуществляют контроль параметров СС, CP и ИТВ, с учетом динамики изменений выделенных контролируемых параметров осуществляют прогнозирование времени наступления критического (предотказового) состояния СС, отличающийся тем, что дополнительно измеряют параметры эксплуатационных отказов и сбоев на однотипных функционирующих сетях связи, измеряют параметры CP и ИТВ на однотипные функционирующие сети связи, сохраняют измеренные значения в блоке хранения данных, заносят измеренные значения в блок обработки данных, формируют физическую модель СС с учетом эксплуатационных отказов и сбоев, исходя из топологии создаваемой СС, определяют возможные места размещения точек мониторинга контролируемых параметров СС, CP и ИТВ, формируют физическую модель распределенной системы мониторинга (РСМ) технического состояния СС, сокращают количество точек мониторинга РСМ в условиях ведения CP и ИТВ за счет выявления сильной корреляционной зависимости между значениями параметров технического состояния СС в точках мониторинга в условиях эксплуатационных отказов и сбоев и параметрами CP и ИТВ, по заданной достоверности контроля технического состояния осуществляют контроль параметров СС, CP и ИТВ для случаев нормального функционирования СС, случаев эксплуатационных отказов и сбоев, ведения CP, ИТВ, изменяют количество точек мониторинга для нормального функционирования, формируют физические модели CP и ИТВ злоумышленника, моделируют функционирование СС и РСМ в условиях эксплуатационных отказов и сбоев, ведения CP и ИТВ, рассчитывают и оценивают достоверность измеренных параметров РСМ, изменяют количество и места расстановки точек мониторинга, рассчитывают параметры быстродействия распределенной системы мониторинга по обнаружению эксплуатационных отказов и сбоев, а также фактов ведения CP и ИТВ, разрабатывают мероприятия по противодействию CP и ИТВ, осуществляют развертывание и функционирование сети связи, осуществляют развертывание и функционирования РСМ для нормальных условий функционирования СС, устанавливают соединения с РСМ провайдера предоставляющего услуги связи и другими независимыми системами обнаружения ИТВ, во время функционирования СС проводят мониторинг технического состояния СС, параметров CP и ИТВ, при обнаружении эксплуатационных отказов и сбоев принимают меры по реконфигурации сети связи и устранению причин сбоя, при фиксации факта ведения CP включают все точки мониторинга и увеличивают количество контролируемых параметров CP и ИТВ, на основании имеющихся статистических данных прогнозируют параметры CP и ИТВ, а также параметры СС в условиях ведения ИТВ, при фиксации факта ведения ИТВ реконфигурируют РСМ путем сокращения контролируемых параметров и отключении некоторых точек мониторинга, на основании данных, полученных от РСМ, о параметрах ИТВ и прогнозируемых значений СС выполняют комплекс мероприятий по противодействию ИТВ, на основании заданных критериев фиксируют факт окончания ИТВ, по окончанию воздействия сравнивают измеренные параметры ИТВ и значения параметров, полученные от независимых сторонних систем мониторинга, рассчитывают достоверность параметров, измеренных РСМ, быстродействие РСМ по обнаружению эксплуатационных отказов и сбоев, обнаружения действий CP и ИТВ, на основании проведенных расчетов достоверности и быстродействия РСМ оценивают правильность расстановки точек мониторинга и контролируемых параметров, при выявлении отклонений достоверности и быстродействия РСМ от требуемых значений осуществляют изменение количества контролируемых параметров и реконфигурируют РСМ.
RU2015152989A 2015-12-09 2015-12-09 Способ мониторинга сетей связи в условиях ведения сетевой разведки и информационно технических воздействий RU2612275C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2015152989A RU2612275C1 (ru) 2015-12-09 2015-12-09 Способ мониторинга сетей связи в условиях ведения сетевой разведки и информационно технических воздействий

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2015152989A RU2612275C1 (ru) 2015-12-09 2015-12-09 Способ мониторинга сетей связи в условиях ведения сетевой разведки и информационно технических воздействий

Publications (1)

Publication Number Publication Date
RU2612275C1 true RU2612275C1 (ru) 2017-03-06

Family

ID=58459577

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2015152989A RU2612275C1 (ru) 2015-12-09 2015-12-09 Способ мониторинга сетей связи в условиях ведения сетевой разведки и информационно технических воздействий

Country Status (1)

Country Link
RU (1) RU2612275C1 (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2682108C1 (ru) * 2018-02-13 2019-03-14 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Способ использования вариантов противодействия сетевой и потоковой компьютерным разведкам и сетевым атакам и система его реализующая
RU2757108C1 (ru) * 2021-03-10 2021-10-11 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Способ защиты мобильных устройств связи беспроводных сетей передачи данных от информационно-технических воздействий
RU2764656C1 (ru) * 2021-05-12 2022-01-19 Юрий Иванович Стародубцев Способ мониторинга состояния электрических сетей и сетей связи

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2248612C1 (ru) * 2004-01-29 2005-03-20 Государственное образовательное учреждение высшего профессионального образования Военный институт радиоэлектроники Комплексный автоматизированный механизм "дренаж" дистанционной профессиональной подготовки персонала распределённой информационно-управляющей системы, оснащаемый машиночитаемыми носителями информации для хранения библиотеки сменных программных модулей и базы данных о моделях специалистов, знаниях, умениях, навыках обучаемых, сценариях и результатах подготовки
WO2008083267A2 (en) * 2006-12-28 2008-07-10 Arcsight, Inc. Storing log data efficiently while supporting querying to assist in computer network security
RU2379753C1 (ru) * 2008-04-21 2010-01-20 Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Способ обеспечения устойчивости сетей связи в условиях внешних деструктивных воздействий
RU2439705C1 (ru) * 2010-05-11 2012-01-10 Государственное образовательное учреждение высшего профессионального образования "Кубанский государственный технологический университет" (ГОУ ВПО "КубГТУ") Способ оценки информативности и приоритетности параметров технического состояния компьютерной сети
RU2480937C2 (ru) * 2011-04-19 2013-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ уменьшения ложных срабатываний при определении сетевой атаки

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2248612C1 (ru) * 2004-01-29 2005-03-20 Государственное образовательное учреждение высшего профессионального образования Военный институт радиоэлектроники Комплексный автоматизированный механизм "дренаж" дистанционной профессиональной подготовки персонала распределённой информационно-управляющей системы, оснащаемый машиночитаемыми носителями информации для хранения библиотеки сменных программных модулей и базы данных о моделях специалистов, знаниях, умениях, навыках обучаемых, сценариях и результатах подготовки
WO2008083267A2 (en) * 2006-12-28 2008-07-10 Arcsight, Inc. Storing log data efficiently while supporting querying to assist in computer network security
RU2379753C1 (ru) * 2008-04-21 2010-01-20 Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) Способ обеспечения устойчивости сетей связи в условиях внешних деструктивных воздействий
RU2439705C1 (ru) * 2010-05-11 2012-01-10 Государственное образовательное учреждение высшего профессионального образования "Кубанский государственный технологический университет" (ГОУ ВПО "КубГТУ") Способ оценки информативности и приоритетности параметров технического состояния компьютерной сети
RU2480937C2 (ru) * 2011-04-19 2013-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ уменьшения ложных срабатываний при определении сетевой атаки

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2682108C1 (ru) * 2018-02-13 2019-03-14 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Способ использования вариантов противодействия сетевой и потоковой компьютерным разведкам и сетевым атакам и система его реализующая
RU2757108C1 (ru) * 2021-03-10 2021-10-11 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Способ защиты мобильных устройств связи беспроводных сетей передачи данных от информационно-технических воздействий
RU2764656C1 (ru) * 2021-05-12 2022-01-19 Юрий Иванович Стародубцев Способ мониторинга состояния электрических сетей и сетей связи

Similar Documents

Publication Publication Date Title
AU2019210675B2 (en) Machine learning classification with confidence thresholds
US20210168175A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US10333815B2 (en) Real-time detection of abnormal network connections in streaming data
US10841332B2 (en) System and method for passive assessment of industrial perimeter security
US10650150B1 (en) Vulnerability life cycle exploitation timing modeling
US20070067846A1 (en) Systems and methods of associating security vulnerabilities and assets
US20200396135A1 (en) Automatic prediction of behavior and topology of a network using limited information
CN111859400A (zh) 风险评估方法、装置、计算机系统和介质
RU2682108C1 (ru) Способ использования вариантов противодействия сетевой и потоковой компьютерным разведкам и сетевым атакам и система его реализующая
GB2519216A (en) System and method for discovering optimal network attack paths
CN113765716B (zh) 一种基于梯度对抗的网络流量防测绘方法
Baiardi et al. Automating the assessment of ICT risk
RU2612275C1 (ru) Способ мониторинга сетей связи в условиях ведения сетевой разведки и информационно технических воздействий
Hong et al. Performance analysis of scalable attack representation models
KR20090037533A (ko) 정보 계층 구조를 이용한 네트워크 위험 분석 방법
EP2770688A1 (en) Method and apparatus for assessing the efficiency of rules of filtering devices protecting a network
Mohammed et al. Machine learning-based network status detection and fault localization
WO2021216163A2 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
Stefanova et al. Off-policy q-learning technique for intrusion response in network security
Kandoussi et al. Toward an integrated dynamic defense system for strategic detecting attacks in cloud networks using stochastic game
CN114095285B (zh) 一种利用自适应扰动抵御网络侦察的方法和系统
Wang et al. Botnet detection using social graph analysis
Ami et al. Seven phrase penetration testing model
Singh et al. Fast model-based penetration testing
RU2648508C1 (ru) Способ оценки способности узла компьютерной сети функционировать в условиях информационно-технических воздействий

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20171210