RU2648508C1 - Method for evaluating the ability of a computer network node to operate under conditions of information and technical impact - Google Patents

Method for evaluating the ability of a computer network node to operate under conditions of information and technical impact Download PDF

Info

Publication number
RU2648508C1
RU2648508C1 RU2016151502A RU2016151502A RU2648508C1 RU 2648508 C1 RU2648508 C1 RU 2648508C1 RU 2016151502 A RU2016151502 A RU 2016151502A RU 2016151502 A RU2016151502 A RU 2016151502A RU 2648508 C1 RU2648508 C1 RU 2648508C1
Authority
RU
Russia
Prior art keywords
computer network
node
network
attacker
information
Prior art date
Application number
RU2016151502A
Other languages
Russian (ru)
Inventor
Евгений Владимирович Гречишников
Михаил Михайлович Добрышин
Павел Владимирович Закалкин
Сергей Петрович Горелик
Андрей Сергеевич Белов
Александр Васильевич Скубьев
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) filed Critical Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России)
Priority to RU2016151502A priority Critical patent/RU2648508C1/en
Application granted granted Critical
Publication of RU2648508C1 publication Critical patent/RU2648508C1/en

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B17/00Systems involving the use of models or simulators of said systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: information technologies.
SUBSTANCE: invention relates to a method for evaluating the ability of a computer network node to operate under conditions of information and technical impact. To implement the method, form a simulation model of the computer network, rank all its nodes, determine weighting coefficients of each node, measure the time of opening by network computer reconnaissance, as well as the start and end time of each node and the time of the quasi-stationary state, the maximum and minimum value of the time needed for an attacker to search each node, as well as the maximum and minimum time of its recognition, the time of making a decision to open it, the time for its impact, the amount of digital information flow, the number of node connections, predict the number of opening tools available to an attacker, measure the number of damaged network nodes, record the information and technical impacts on network nodes, simulate these impacts, simulate the joint functioning of computer network models and information and technical impacts, calculate the reliability of the opening and the validity of the impact, compare them with the threshold values, reconfigure the network when it is exceeded, and make a re-commutation of the communication channels.
EFFECT: protection of computer node from information and technical impacts is improved.
1 cl, 1 dwg

Description

Изобретение относится к области телекоммуникаций, а именно к области диагностирования и контроля технического состояния компьютерных сетей в условиях информационно-технических воздействий.The invention relates to the field of telecommunications, and in particular to the field of diagnosing and monitoring the technical condition of computer networks under the conditions of information and technical influences.

Под информационно-техническими воздействиями понимаются применение способов и средств информационного воздействия на информационно-технические объекты, на технику и вооружение в интересах достижения поставленных целей (Центр стратегических оценок и прогнозов. Информационная война и защита информации. Словарь основных терминов и определений www.csef.ru. Москва 2011, стр. 25).Information and technical influences are understood as the use of methods and means of information impact on information and technical objects, equipment and weapons in order to achieve their goals (Center for Strategic Assessments and Forecasts. Information War and Information Protection. Glossary of basic terms and definitions www.csef.ru Moscow 2011, p. 25).

Единая сеть электросвязи (ЕСЭ) - сеть электросвязи, которая включает сети связи общего пользования, выделенные сети связи, технологические сети связи, присоединенные к сети связи общего пользования, сети связи специального назначения (ГОСТ Р 53801, п. 5).Unified Telecommunication Network (ESE) is a telecommunication network that includes public communication networks, dedicated communication networks, technological communication networks connected to the public communication network, and special-purpose communication networks (GOST R 53801, clause 5).

Компьютерная сеть (КС) - совокупность компьютеров, связанных каналами передачи информации, необходимого программного обеспечения и технических средств, предназначенных для организации распределенной обработки информации (Горкин А.П. Энциклопедия "Техника" (с иллюстрациями). Росмэн-Издат, Москва, 2006, с. 9).Computer network (CS) - a set of computers connected by channels of information, necessary software and hardware designed to organize distributed information processing (Gorkin A.P. Encyclopedia "Technique" (with illustrations). Rosman-Publishing House, Moscow, 2006, p. 9).

Узел компьютерной сети (УзКС) - оконечные и промежуточные устройства, имеющие сетевые адреса и способные обмениваться информацией друг с другом (Электронный ресурс. Аппаратура компьютерных сетей. Режим доступа: http://www.ixbt.com/comm/ev/nq04.html).Computer Network Node (UzKS) - terminal and intermediate devices having network addresses and capable of exchanging information with each other (Electronic resource. Computer network equipment. Access mode: http://www.ixbt.com/comm/ev/nq04.html )

Известен "Способ обеспечения устойчивого функционирования системы связи" (патент RU №2405184, G05B 23/00, G06F 17/50, 27.11.2010 г.), заключающийся в том, что систему связи, включающую N структурных элементов и связей между ними, разворачивают в рабочее состояние, фиксируют дестабилизирующие воздействия на ее структурные элементы, по полученным данным формируют имитационную модель сети связи, моделируют на ней дестабилизирующие воздействия, по результатам моделирования реконфигурируют имитационную модель сети связи и вычисляют вероятность нарушения ее функционирования от дестабилизирующих воздействий. При работе сети связи в реальных условиях эксплуатации и воздействии на нее только эндогенных деструктивных воздействий измеряют время реконфигурации сети связи после каждого деструктивного воздействия. Также измеряют интервалы времени после завершения реконфигурации до очередного деструктивного воздействия. При функционировании сети связи в условиях экзогенных деструктивных воздействий также подсчитывают и запоминают данные о числе воздействий на каждый элемент сети связи, где n=1, 2, … N, количество Nв, элементов сети связи, подвергшихся деструктивным внешним воздействиям.The well-known "Method of ensuring the stable functioning of the communication system" (patent RU No. 2405184, G05B 23/00, G06F 17/50, 11/27/2010), which consists in the fact that the communication system, including N structural elements and the connections between them, deploy to a working state, they fix the destabilizing effects on its structural elements, according to the received data, form a simulation model of the communication network, model the destabilizing effects on it, according to the simulation results reconfigure the simulation model of the communication network and calculate the probability of its violation Operations from destabilizing influences. When the communication network operates in real operating conditions and when only endogenous destructive influences are exposed to it, the time of reconfiguration of the communication network after each destructive impact is measured. The time intervals after the completion of the reconfiguration to the next destructive impact are also measured. When a communication network is functioning under exogenous destructive influences, data on the number of impacts on each element of the communication network are also counted and stored, where n = 1, 2, ... N, the number N in , elements of the communication network subjected to destructive external influences.

Измеряют, подсчитывают и запоминают интервалы времени реконфигурации сети связи после каждого внешнего деструктивного воздействия, где j=1, 2, …, M, М - общее число деструктивных воздействий. Измеряют интервалы времени между j-м и (j+1)-м внешними деструктивными воздействиями и интервалы времени функционирования сети связи после j-й реконфигурации до (j+1)-го деструктивного внешнего воздействия. Вычисляют по полученным данным среднее время реконфигурации, среднее время функционирования сети связи и среднее время между внешними деструктивными воздействиями, а также показатель ранжирования R элементов сети связи.Measure, calculate and remember the time intervals for reconfiguring the communication network after each external destructive impact, where j = 1, 2, ..., M, M is the total number of destructive influences. The time intervals between the jth and (j + 1) th external destructive influences and the time intervals of the communication network functioning after the jth reconfiguration to the (j + 1) th destructive external influence are measured. The average reconfiguration time, the average operating time of the communication network and the average time between external destructive influences, as well as the ranking index R of the communication network elements are calculated from the obtained data.

С помощью показателя ранжирования ранжируют пораженные элементы сети связи, после чего вычисляют достоверность вскрытия структуры сети связи воздействующей стороной D. При этом имитационную модель формируют по полученным данным, и с ее помощью моделируют деструктивные внешние воздействия. Далее вычисляют число воздействий на соответствующие элементы сети связи и реконфигурируют ее после каждого воздействия. Вычисляют средний интервал времени между дестабилизирующими внешними воздействиями и сравнивают вычисленное значение достоверности D вскрытия структуры сети связи воздействующей стороной с предварительно заданным пороговым уровнем достоверности Dпор. При превышении значения вычисленной достоверности D над пороговой Dпор упреждающе реконфигурируют реально действующую сеть связи в интервал времени после последней реконфигурации, меньший вычисленного среднего времени между дестабилизирующими внешними воздействиями на имитационной модели. Деструктивные внешние воздействия на имитационной модели моделируют по случайному закону.Using the ranking indicator, the affected elements of the communication network are ranked, after which the reliability of opening the communication network structure by the acting party D is calculated. In this case, a simulation model is formed according to the obtained data, and with its help destructive external influences are modeled. Next, the number of actions on the corresponding elements of the communication network is calculated and reconfigured after each exposure. The average time interval between destabilizing external influences is calculated and the calculated reliability value D of opening the communication network structure by the acting party is compared with a predetermined threshold level of reliability D pores . If the value of the calculated reliability D exceeds the threshold D then the real-life communication network is proactively reconfigured in the time interval after the last reconfiguration, less than the calculated average time between the destabilizing external influences on the simulation model. Destructive external influences on the simulation model are modeled according to a random law.

Благодаря указанной совокупности признаков в способе реализована возможность на основе измерений характеристик воздействующих деструктивных факторов, измерения параметров функционирующей в этих условиях сети связи и имитации их на модели упреждающе проводить реконфигурацию функционирующей сети связи, чем и достигается повышение устойчивости функционирования сети связи в условиях внешних деструктивных воздействий.Owing to the indicated combination of features, the method provides the possibility, based on measuring the characteristics of the acting destructive factors, measuring the parameters of the communication network operating under these conditions and simulating them on the model, proactively reconfiguring the functioning communication network, thereby increasing the stability of the functioning of the communication network under external destructive influences.

Недостатком данного способа является низкая защищенность узла компьютерной сети от информационно-технических воздействий в связи с отсутствием оценки способности узла компьютерной сети предоставлять различное количество услуг связи различному количеству абонентов в условиях ИТВ.The disadvantage of this method is the low security of the computer network node from information and technical influences due to the lack of assessment of the ability of the computer network node to provide a different number of communication services to a different number of subscribers in ITV conditions.

Наиболее близким по технической сущности и выполняемым функциям аналогом (прототипом) является способ, реализованный в изобретении "Способ оценки эффективности информационно-технических воздействий на сети связи". Способ заключаются в том, что в сеть связи, содержащую Nссв структурных элементов и связей между ними, ранжируют все элементы сети связи и определяют весовые коэффициенты Rn каждого элемента сети связи. Разворачивают сеть связи в рабочее состояние, измеряют количество поврежденных элементов

Figure 00000001
сети связи и время tрек реконфигурации сети связи после каждого j-го воздействия, фиксируют информационно-технические воздействия на ее структурные элементы, по полученным данным формируют имитационную модель сети связи, моделируют на ней информационно-технические воздействия, вычисляют достоверность вскрытия Dвск сети связи злоумышленником, достоверность воздействия Dвозд на сеть связи злоумышленником и коэффициент исправного действия Kид, сравнивают с пороговыми значениями достоверности вскрытия
Figure 00000002
, достоверности воздействия
Figure 00000003
и коэффициента исправного действия Кид пор соответственно. При превышении значений вычисленной достоверности вскрытия Dвск, достоверности воздействия Dвозд и коэффициента исправного действия Kид над пороговыми значениями соответственно упреждающе реконфигурируют сеть связи. Осуществляют доставку оборудования связи, комплектующих к нему или программного обеспечения, развертывание оборудования связи в указанном месте в рабочее состояние, вхождение в связь, осуществляют сеанс связи, производят перекоммутацию каналов связи.The closest in technical essence and functions performed analogue (prototype) is the method implemented in the invention "Method for assessing the effectiveness of information and technical effects on communication networks". The method consists in the fact that all elements of the communication network are ranked in a communication network containing N csb of structural elements and the connections between them and weight coefficients R n of each element of the communication network are determined. Expand the communication network in working condition, measure the number of damaged elements
Figure 00000001
communication networks and the time t of rivers of reconfiguration of a communication network after each j-th impact, record information and technical influences on its structural elements, form a simulation model of a communication network according to the received data, model information and technical impacts on it, calculate the reliability of opening D VS communications networks by an attacker, the reliability of the impact of D air on the communication network by the attacker and the service factor K id , are compared with the threshold values of the reliability of the opening
Figure 00000002
, reliability of exposure
Figure 00000003
and coefficient of serviceable action K id then, respectively. If the values of the calculated reliability of the autopsy D DSC , the validity of the impact of D air and the coefficient of serviceability K id above the threshold values are exceeded, the communication network is proactively reconfigured. Carry out the delivery of communication equipment, components for it or software, deploy communication equipment in the specified place in working condition, enter into communication, carry out a communication session, and reconnect communication channels.

Измеряют время начала работы tн.сеан.св и окончания работы tо.осеан.св каждого элемента сети связи, время квазистационарного состояния tксс n каждого элемента сети связи, максимальное

Figure 00000004
и минимальное значение
Figure 00000005
времени поиска злоумышленником каждого элемента сети связи, максимальное
Figure 00000006
и минимальное значения времени распознавания
Figure 00000007
злоумышленником каждого элемента сети связи, время принятия решения, необходимое злоумышленнику на
Figure 00000008
вскрытие и
Figure 00000009
воздействие на каждый элемент сети связи, время вскрытия tвскр n элемента сети связи, время воздействия tвозд n злоумышленником на каждый элемент сети связи, объем In используемого n-м элементом связи цифрового потока информации, количество связей (направлений) Sn n-го элемента сети связи, прогнозируют количество средств вскрытия сети связи Nвскр имеющихся у злоумышленника. Прогнозируют количество средств воздействия Nвозд на элементы сети связи, имеющихся у злоумышленника, определяют пороговые значения суммы весовых коэффициентов вскрытых Rвскр.пор элементов сети связи и суммы весовых коэффициентов, подвергнутых воздействию Rвозд.пор элементов сети связи, накапливают статистические значения измеренных величин и создают матрицу исходных данных для расчета, полученные значения записываются в ячейки долговременной памяти.Measure the time of the beginning of work t n.sean.sv and the end of t t osean.sv of each element of the communication network, the time of the quasi-stationary state t kss n of each element of the communication network, the maximum
Figure 00000004
and minimum value
Figure 00000005
the time the attacker searches for each element of the communication network, the maximum
Figure 00000006
and minimum recognition time values
Figure 00000007
the attacker of each element of the communication network, the decision time required by the attacker to
Figure 00000008
autopsy and
Figure 00000009
impact on each element of the communication network, opening time t autopsy n of the element of the communication network, exposure time t air n of the attacker on each element of the communication network, volume I n used by the nth element of the communication digital information flow, the number of connections (directions) S n n- th element of the communication network, the number of opening means of the communication network N autopsy available to the attacker is predicted . The number of means of influence N air on the elements of the communication network available to the attacker is predicted, the threshold values of the sum of the weight coefficients of the opened R open spores of the elements of the communication network and the sum of the weight coefficients exposed to the R air spores of the elements of the communication network are determined , statistical values of the measured values are accumulated create a matrix of input data for calculation, the obtained values are recorded in the cells of long-term memory.

Рассчитывают значения весовых коэффициентов элементов сети связи исходя из важности элемента и величины информационных потоков, проходящих через данный элемент, логические коэффициенты вскрытия

Figure 00000010
элемента сети связи и воздействия
Figure 00000011
на элемент сети связи, количество вскрытых элементов
Figure 00000012
сети связи и количество подверженных воздействию элементов Nэсс сети связи. По результатам проведенных расчетов оценивают возможности злоумышленника по вскрытию сети связи и уточняют исходные данные по количеству поврежденных элементов сети связи Nповр после воздействия, количество используемых элементов воздействия на сеть связи
Figure 00000013
, время вскрытия
Figure 00000014
сети связи и время воздействия на сеть связи
Figure 00000015
исходя из оценки воздействия на сеть связи.The values of the weighting coefficients of the elements of the communication network are calculated based on the importance of the element and the magnitude of the information flows passing through this element, the logical opening coefficients
Figure 00000010
communication network element and impact
Figure 00000011
per communication network element, the number of opened elements
Figure 00000012
communication networks and the number of exposed elements of N ess communication networks. Based on the results of the calculations, the abuser’s ability to open the communication network is evaluated and the initial data on the number of damaged elements of the communication network N damage after exposure, the number of used elements of the impact on the communication network are specified
Figure 00000013
opening time
Figure 00000014
communication networks and the exposure time of the communication network
Figure 00000015
based on the assessment of the impact on the communication network.

На основании рассчитанной модели сети связи производится построение действующей сети связи.Based on the calculated model of a communication network, an existing communication network is built.

После того как злоумышленник осуществил воздействие на сеть связи, осуществляется оценка произведенного расчета модели сети связи, на основании оценки воздействия злоумышленником на сеть связи производится дополнение статистических данных о возможностях вскрытия сети связи и воздействия на сеть связи злоумышленником, уточненные данные записываются в ячейки долговременной памяти.After the attacker made an impact on the communication network, the calculation of the model of the communication network is carried out, based on the assessment of the impact of the attacker on the communication network, statistics are added on the possibilities of opening the communication network and the impact on the communication network by the attacker, the updated data is recorded in the long-term memory cells.

Однако способ-прототип имеет следующий недостаток: низкую защищенность узла компьютерной сети от информационно-технических воздействий в связи с отсутствием оценки способности узла компьютерной сети предоставлять различное количество услуг связи различному количеству абонентов в условиях ИТВ.However, the prototype method has the following disadvantage: low security of the computer network node from information and technical influences due to the lack of assessment of the ability of the computer network node to provide a different number of communication services to a different number of subscribers in ITV conditions.

Задачей изобретения является создание способа "Способ оценки способности узла компьютерной сети функционировать в условиях информационно-технических воздействий". Техническим результатом изобретения является повышение защищенности узла компьютерной сети от информационно-технических воздействий за счет повышения достоверности результатов оценки способности узла КС предоставлять различное количество услуг связи различному количеству абонентов в условиях ИТВ.The objective of the invention is the creation of a method "A method for assessing the ability of a computer network node to function under conditions of information and technical influences." The technical result of the invention is to increase the security of a computer network node from information and technical influences by increasing the reliability of the results of evaluating the ability of a CS node to provide a different number of communication services to a different number of subscribers in ITV conditions.

Задача изобретения решается тем, что в предлагаемом способе выполняется следующая последовательность действий.The objective of the invention is solved in that the proposed method performs the following sequence of actions.

Формируют имитационную модель КС (Новый подход к защите информации - системы обнаружения компьютерных угроз. Корпоративный журнал компании "Инфосистемы Джет", №4, 2007 г. Электронный ресурс. Режим доступа: http://www.jetinfo.ru/sta-ti/novyj-podkhod-k-zaschite-informatsii-sistemy-obnaruzheniya-kompyuternykh).A simulation model of the CS is formed (A new approach to information protection - computer threat detection systems. Jet Infosystems corporate magazine, No. 4, 2007. Electronic resource. Access mode: http://www.jetinfo.ru/sta-ti/ novyj-podkhod-k-zaschite-informatsii-sistemy-obnaruzheniya-kompyuternykh).

Ранжируют все узлы КС и определяют весовые коэффициенты Rусв n каждого узла.All the nodes of the CS are ranked and weight coefficients R assim. N of each node are determined.

Измеряют время вскрытия КС (Для сетей связи, функционирующих в Единой сети электросвязи, одним из критерием начала вскрытия может служить сканирование нескольких портов Web сервера с использованием одного IP-адреса (п. 10.7.2. Сканирование портов / Linix глазами хакера http://wm-help.net/lib/b/book/2677999886/355)).They measure the time of opening a CS (For communication networks operating in the Unified Telecommunication Network, one of the criteria for starting a tamper can be scanning several ports of a Web server using a single IP address (p. 10.7.2. Port / Linix scanning through the eyes of a hacker http: // wm-help.net/lib/b/book/2677999886/355)).

Измеряют время начала работы tн.сеан.св и окончания работы tо.сеан.св каждого узла КС, время квазистационарного состояния tксс n каждого узла КС, максимальное

Figure 00000016
и минимальное значение
Figure 00000017
времени поиска злоумышленником каждого УзКС, максимальное
Figure 00000018
и минимальное значения времени распознавания
Figure 00000019
злоумышленником каждого узла, время принятия решения, необходимое злоумышленнику на
Figure 00000020
вскрытие и
Figure 00000021
воздействие на каждый узел, время вскрытия tвскр n узла, время воздействия tвозд n злоумышленником на каждый узла, объем In используемого n-м узлом цифрового потока информации, количество связей (направлений) Sn n-го узла, прогнозируют количество средств вскрытия Nвскр, имеющихся у злоумышленника.Measure the time of the beginning of work t n.sean.sv and the end of t t.sean.sv of each node of the KS, the time of the quasi-stationary state t kss n of each node of the KS,
Figure 00000016
and minimum value
Figure 00000017
the search time by the attacker of each UzKS, the maximum
Figure 00000018
and minimum recognition time values
Figure 00000019
by the attacker of each node, the decision time required by the attacker to
Figure 00000020
autopsy and
Figure 00000021
impact on each node, opening time t opening n nodes, exposure time t air n attackers on each node, the volume I n of the digital information flow used by the n-th node, the number of connections (directions) S n n-th node, the number of tampering devices is predicted N autopsy available to an attacker.

Разворачивают КС в рабочее состояние. Измеряют количество поврежденных узлов (

Figure 00000022
). Фиксируют значения параметров информационно-технических воздействий на узлы (Для узлов компьютерной сети, интегрированных в ЕСЭ, одним из критерием начала информационно-технического воздействия может служить появление ошибок 403 и 500, резкое увеличение трафика (http://www.setup.ru/client/subscription/68)).Deploy the COP in working condition. The number of damaged nodes is measured (
Figure 00000022
) The values of the parameters of information and technical effects on the nodes are recorded (For computer network nodes integrated in the ESE, one of the criteria for starting information and technical effects can be the appearance of errors 403 and 500, a sharp increase in traffic (http://www.setup.ru/client / subscription / 68)).

Моделируют совместное функционирование физической модели КС с учетом изменения количества услуг связи, количество абонентов и значений параметров физической модели вскрытия (Варламов О.О. "О системном подходе к созданию модели компьютерных угроз и ее роли в обеспечении безопасности информации в ключевых системах информационной инфраструктуры" Известия ТРТУ / №7 / том 62 / 2006 г. С. 218).They simulate the joint functioning of the physical model of the CS taking into account changes in the number of communication services, the number of subscribers and the values of the parameters of the physical model of the autopsy (Varlamov OO "On a systematic approach to creating a computer threat model and its role in ensuring information security in key information infrastructure systems" Izvestia TRTU / No.7 / Volume 62/2006 p. 218).

Вычисляют достоверность вскрытия (Dвск) КС и достоверность воздействия (Dвозд) на КС злоумышленником, сравнивают с пороговыми значениями достоверности вскрытия (

Figure 00000023
) и воздействия (
Figure 00000024
) соответственно. При превышении значений вычисленной достоверности вскрытия (Dвск) и воздействия Dвозд над пороговыми значениями (
Figure 00000025
) и (
Figure 00000026
) соответственно упреждающе реконфигурируют КС.Authenticity of the autopsy (D vsk ) of the CS and the reliability of the impact (D air ) on the CS by the attacker are calculated, compared with the threshold values of the reliability of the autopsy (
Figure 00000023
) and impact (
Figure 00000024
) respectively. If the values of the calculated reliability of the autopsy (D vsk ) and the impact of D air over threshold values (
Figure 00000025
) and (
Figure 00000026
) respectively proactively reconfigure the CS.

Производят перекоммутацию каналов связи (сущность процесса перекоммутации описана в "Виртуальные локальные сети. Создание VLAN позволяет повысить производительность каждой из них и изолировать сети друг от друга… "http://www.osp.ru/lan/2002/12/136942 // "Журнал сетевых решений/LAN" №12, 2002).The communication channels are switched over (the essence of the switching process is described in "Virtual Local Area Networks. Creating VLANs allows increasing the performance of each of them and isolating the networks from each other ..." http://www.osp.ru/lan/2002/12/136942 // "Journal of Network Solutions / LAN" No. 12, 2002).

Прогнозируют количество средств воздействия (Nвозд) на узел КС, имеющихся у злоумышленника (Лапач С.Н. и др. Краткосрочное прогнозирование. Общий подход. Повизор/telderi@megapolis.kharkov.ua // 2008 (8)).Predict the number of means of influence (N air ) on the CS node available to the attacker (Lapach S.N. et al. Short-term forecasting. General approach. Povizor/telderi@megapolis.kharkov.ua // 2008 (8)).

Определяют пороговые значения суммы весовых коэффициентов вскрытых (Rвскр.пор) и подвергнутых воздействию (Rвозд.пор) узлов КС. Накапливают статистические значения измеренных величин. Полученные значения записываются в ячейки долговременной памяти (Галицина О.Л. и др. Базы данных: Учебное пособие. Форум-Инфра-М, Москва, 2006, 352 с. С. 133-146, С. 168-233).The threshold values of the sum of the weights of the uncovered (R vsp.por ) and exposed (R voz.pore ) nodes of the CS are determined . Accumulate statistical values of the measured values. The obtained values are recorded in the long-term memory cells (O. Galitsina and others. Databases: Textbook. Forum-Infra-M, Moscow, 2006, 352 pp. S. 133-146, P. 168-233).

Рассчитывают значения весовых коэффициентов узлов КС исходя из важности и величины информационных потоков.., проходящих через данный узел КС. Рассчитывают количество вскрытых узлов КС (

Figure 00000027
) и подверженных воздействию узлов (Nэсс) КС.The values of the weighting coefficients of the CS nodes are calculated based on the importance and magnitude of the information flows .. passing through this CS node. Calculate the number of opened nodes KS (
Figure 00000027
) and exposed to nodes (N ess ) KS.

Рассчитывают значения логических коэффициентов вскрытия (

Figure 00000028
) и воздействия (
Figure 00000029
) узлов КС.The values of the logical opening coefficients (
Figure 00000028
) and impact (
Figure 00000029
) nodes of the COP.

По результатам проведенных расчетов оценивают возможности злоумышленника по вскрытию КС и уточняют исходные данные по количеству поврежденных узлов КС (Nповр) после воздействия (Гречишников Е.В. и др. Оценка способности узла виртуальной частной сети предоставлять услуги связи в условиях противодействия DDoS-атакам. Сборник трудов научно-практической конференции Проблемы технического обеспечения войск в современных условиях. ВАС. Санкт-Петербург. 2016 г. С. 44-47).Based on the results of the calculations, the abuser’s ability to open the CS is evaluated and the initial data on the number of damaged CS nodes (N damage ) after exposure (Grechishnikov E.V. et al. Assessment of the ability of a virtual private network node to provide communication services under the conditions of countering DDoS attacks is estimated. Proceedings of the scientific-practical conference Problems of technical support of troops in modern conditions. EAS. St. Petersburg. 2016. P. 44-47).

Фиксируют специфические параметры средств воздействия: количество используемых элементов воздействия на КС (

Figure 00000030
), время вскрытия (
Figure 00000031
) и время воздействия на КС (
Figure 00000032
) (Гречишников Е.В. и др. Способ обеспечения требуемой защищенности сети связи от внешних деструктивных воздействий. Научный журнал "Телекоммуникации", №6, Москва, 2015 г. С. 30-37). На основании оценки воздействия злоумышленником на КС производится дополнение статистических данных о возможностях вскрытия и воздействия на КС злоумышленником, уточненные данные записываются в ячейки долговременной памяти.The specific parameters of the means of influence are recorded: the number of used elements of influence on the CS (
Figure 00000030
), opening time (
Figure 00000031
) and the exposure time to the COP (
Figure 00000032
) (Grechishnikov E.V. et al. A way to ensure the required security of a communication network from external destructive influences. Scientific journal Telecommunications, No. 6, Moscow, 2015, pp. 30-37). Based on the assessment of the impact by the attacker on the CS, statistics are added on the autopsy possibilities and the impact on the CS by the attacker, the updated data is recorded in the long-term memory cells.

Дополнительно измеряют значения параметров однотипных КС, интегрированных в ЕСЭ в условиях предоставления различных услуг связи различному количеству абонентов (ГОСТ 28871-90. Аппаратура линейных трактов цифровых волоконно-оптических систем передачи. Методы измерения основных параметров. Стандартинформ 2005. 8 с.); значения параметров ИТВ включающие интенсивность отправки пакетов, максимальную мощность отправляемых пакетов (Для сетей связи, функционирующих в Единой сети электросвязи одним из критерием начала информационно-технического воздействия может служить появление ошибок 403 и 500, резкое увеличение трафика (http://www.setup.ru/client/subscription/68)).In addition, they measure the values of the parameters of the same type of CS integrated into the ESE under the conditions of providing various communication services to a different number of subscribers (GOST 28871-90. Equipment for linear paths of digital fiber-optic transmission systems. Methods for measuring the main parameters. Standardinform 2005. 8 pp.); values of ITV parameters including the intensity of packet sending, the maximum power of sent packets (For communication networks operating in the Unified Telecommunication Network, one of the criteria for the onset of information and technical impact may be the appearance of errors 403 and 500, a sharp increase in traffic (http: //www.setup. com / client / subscription / 68)).

Измеряют способность средств противодействия ИТВ, минимизировать деструктивное воздействие на узел компьютерной сети (А.А. Кисляк и др. Методика оценки эффективности применения межсетевых экранов. Вестник воронежского государственного технического университета. Воронежский ГТУ. №5. г. Воронеж. 2009 г. С. 131-135).Measure the ability of ITV countermeasures to minimize the destructive impact on a computer network node (A. A. Kislyak et al. Methodology for evaluating the effectiveness of the use of firewalls. Bulletin of the Voronezh State Technical University. Voronezh State Technical University. No. 5. Voronezh. 2009. P. 131-135).

Проводят непрерывный мониторинг признаков вскрытия компьютерной сети злоумышленником и ИТВ (Абрамов О.В. Мониторинг и прогнозирование технического состояния систем ответственного назначения. Информатика и системы управления. Благовещенск: Амурский государственный университет. Электронный журнал 2011. №2(28) С. 9). Набирают статистику измеренных значений. Присваивают каждой функционирующей компьютерной сети в ЕСЭ порядковый номер.Continuous monitoring of signs of opening a computer network by an attacker and ITV is carried out (OV Abramov Monitoring and forecasting the technical condition of critical systems. Informatics and control systems. Blagoveshchensk: Amur State University. Electronic Journal 2011. No. 2 (28) P. 9). Gather statistics of the measured values. Assign a serial number to each functioning computer network in the ESE.

Формируют физические модели ИТВ (Варламов О.О. "О системном подходе к созданию модели компьютерных угроз и ее роли в обеспечении безопасности информации в ключевых системах информационной инфраструктуры" Известия ТРТУ / №7 / том 62 / 2006 г. С. 218).Physical ITV models are formed (O. Varlamov "On a systematic approach to creating a computer threat model and its role in ensuring information security in key information infrastructure systems" Izvestia TRTU / No.7 / Volume 62/2006, P. 218).

По результатам проведенного моделирования оценивают возможности злоумышленника по подавлению компьютерной сети и уточняют исходные данные по количеству поврежденных узлов компьютерной сети (Nповр) после воздействия.Based on the results of the simulation, the ability of the attacker to suppress the computer network is evaluated and the initial data on the number of damaged nodes of the computer network (N damage ) after exposure is specified .

Измеряют количество полностью подавленных узлов (

Figure 00000033
) сети связи.Measure the number of completely suppressed nodes (
Figure 00000033
) communication networks.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественных всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "новизна".The analysis of the prior art allowed to establish that analogues, characterized by sets of features that are identical to all the features of the claimed method, are absent. Therefore, the claimed invention meets the condition of patentability "novelty."

Перечисленная новая совокупность существенных признаков обеспечивает повышение защищенности узла компьютерной сети от информационно-технических воздействий за счет повышения достоверности результатов оценки способности узла компьютерной сети предоставлять различное количество услуг связи различному количеству абонентов в условиях ИТВ.The listed new set of essential features provides increased security of a computer network node from information and technical influences by increasing the reliability of the results of evaluating the ability of a computer network node to provide a different number of communication services to a different number of subscribers under ITV conditions.

Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".Search results for known solutions in this and related fields of technology in order to identify features that match the distinctive features of the claimed invention from the prototypes showed that they do not follow explicitly from the prior art. From the prior art determined by the applicant, the influence of the provided by the essential features of the claimed invention on the achievement of the specified technical result is not known. Therefore, the claimed invention meets the condition of patentability "inventive step".

"Промышленная применимость" способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении назначения.The "industrial applicability" of the method is due to the presence of an element base, on the basis of which devices can be made that implement this method with the achievement of the purpose specified in the invention.

Заявленный способ поясняется чертежами, на которых показано:The claimed method is illustrated by drawings, which show:

фиг. 1 - обобщенная структурно-логическая последовательность заявленного способа.FIG. 1 - a generalized structural logical sequence of the claimed method.

Заявленный способ поясняется структурно-логической последовательностью (фиг. 1), где в блоке 1 измеряют значения параметров однотипных сетей связи интегрированных в ЕСЭ в условиях предоставления различных услуг связи различному количеству абонентов (

Figure 00000034
), где i-я однотипная сеть связи (i=1…I, где I - количество однотипных сетей связи), а - количество абонентов узла КС, y - услуга связи (услуга связи - прием, обработка, хранение, передача и доставка сообщений электросвязи. ГОСТ Р-53733-2009); время начала работы tн.сеан.св и окончания работы tо.сеан.св каждого узла КС, время квазистационарного состояния tксс n каждого узла КС, значения параметров сетевой компьютерной разведки (СКР) (
Figure 00000035
) и ИТВ (
Figure 00000036
) на однотипные функционирующие сети связи и где i-я однотипная сеть связи, j-й злоумышленник (j=1, 2, … J, где J - количество злоумышленников), включающие максимальное
Figure 00000037
и минимальное
Figure 00000038
значения времени поиска злоумышленником каждого узла компьютерной сети, максимальное
Figure 00000039
и минимальное значения времени распознавания
Figure 00000040
злоумышленником каждого узла КС, время принятия решения, необходимое злоумышленнику на
Figure 00000041
вскрытие и
Figure 00000042
воздействие на каждый элемент сети связи, времени вскрытия tвскр n узла КС, время воздействия tвозд n злоумышленником на каждый узел КС, объем In используемого n-м узлом КС цифрового потока информации, количество связей (направлений) (Sn-n)-го узла КС. Присваивают каждой функционирующей компьютерной сети в сегменте ЕСЭ номер. Сохраняют измеренные значения параметров в ячейки памяти. Набирают статистику.The claimed method is illustrated by the structural-logical sequence (Fig. 1), where in block 1 the values of the parameters of the same type of communication networks integrated in the ESE are measured under the conditions of providing various communication services to a different number of subscribers (
Figure 00000034
), where the i-th communication network of the same type (i = 1 ... I, where I is the number of communication networks of the same type), and is the number of subscribers of the CS node, y is the communication service (communication service - receiving, processing, storage, transmission and delivery of messages telecommunications.GOST R-53733-2009); start time t n.sean.sv and end t t.sean.sv of each CS node, time of quasistationary state t kss n of each node of the CS, values of network computer intelligence (SKR) parameters (
Figure 00000035
) and ITV (
Figure 00000036
) to the functioning communication networks of the same type and where the i-th communication network of the same type, the jth attacker (j = 1, 2, ... J, where J is the number of attackers), including the maximum
Figure 00000037
and minimum
Figure 00000038
the values of the search time by the attacker of each node of the computer network, the maximum
Figure 00000039
and minimum recognition time values
Figure 00000040
by the attacker of each node of the COP, the decision time required by the attacker to
Figure 00000041
autopsy and
Figure 00000042
the impact on each element of the communication network, the opening time t tamper n of the CS node, the exposure time t air n of the attacker on each CS node, the volume I n of the digital information flow used by the n-th node of the CS, the number of connections (directions) (S n -n) th node of the COP. Assign each functioning computer network in the segment of the ESE number. Save the measured values of the parameters in memory cells. Gaining statistics.

В блоке 2 задают значения параметров, характеризующие узлы создаваемой КС.In block 2, the parameter values characterizing the nodes of the created CS are set.

В блоке 3 ранжируют узлы создаваемой КС, исходя из важности передаваемой информации, определяют весовые коэффициенты согласно выражению (Добрышин М.М., Диденко П.М. Оценка защищенности беспроводных сетей связи. Радиотехника электроника и связь "II Международная научно-техническая конференция". Омск, 2013 г. С. 155-159):In block 3, the nodes of the created CS are ranked based on the importance of the transmitted information, weight coefficients are determined according to the expression (Dobryshin M.M., Didenko P.M. Security Assessment of Wireless Communication Networks. Radio Electronics and Communications "II International Scientific and Technical Conference". Omsk, 2013, pp. 155-159):

Figure 00000043
Figure 00000043

где In - используемый n-м узлом КС цифровой поток информации; Sn - количество связей (направлений) n-го узла КС.where I n is the digital information flow used by the nth CS node; S n is the number of connections (directions) of the nth node of the CS.

В блоке 4 формируют физическую модель узла связи в условиях предоставления различных услуг связи различному количеству абонентов (Варламов О.О. "О системном подходе к созданию модели компьютерных угроз и ее роли в обеспечении безопасности информации в ключевых системах информационной инфраструктуры". Известия ТРТУ / №7 / том 62 / 2006 г. С. 218). Созданной модели задают требуемые параметры

Figure 00000044
, где s - номер узла связи, r - номер технического параметра.In block 4, a physical model of the communication center is formed in the context of the provision of various communication services to a different number of subscribers (O. Varlamov, “On a systematic approach to creating a computer threat model and its role in ensuring information security in key information infrastructure systems.” News TRTU / No. 7 / Volume 62/2006, p. 218). The created model is set to the required parameters
Figure 00000044
, where s is the number of the communication node, r is the number of the technical parameter.

В блоке 5 формируют физические модели СКР и ИТВ различных злоумышленников, учитывающие параметры средств СКР (

Figure 00000045
) и ИТВ (
Figure 00000046
) (Сетевая модель OSI / http://russian-texts.ru/Модель).In block 5, physical models of SKR and ITV of various intruders are formed, taking into account the parameters of the means of SKR (
Figure 00000045
) and ITV (
Figure 00000046
) (OSI Network Model / http://russian-texts.ru/Model).

В блоке 6 моделируют совместное функционирование узла связи с учетом предоставления различных услуг связи различному количеству абонентов и проведение злоумышленником СКР.In block 6, the joint operation of the communication center is simulated, taking into account the provision of various communication services to a different number of subscribers and the execution of TFR by an attacker.

В блоке 7 измеряют время вскрытия СКР узла КС. Записывают измеренные значения в ячейках памяти.In block 7, the opening time of the SCR of the CS node is measured. Record the measured values in the memory cells.

В блоке 8 сравнивают измеренные значения времени вскрытия узла КС с допустимыми:In block 8, the measured values of the opening time of the CS assembly are compared with the permissible ones:

Figure 00000047
Figure 00000047

где

Figure 00000048
- измеренное время вскрытия n-го узла КС,
Figure 00000049
- допустимое время вскрытия узла КС.Where
Figure 00000048
- the measured opening time of the n-th node of the COP,
Figure 00000049
- allowable opening time of the CS assembly.

Если значения времени вскрытия узла КС не удовлетворяют выражению 2, в блоке 9 осуществляют подстройку параметров узлов КС под параметры выбранной функционирующей КС в сегменте ЕСЭ. Повторно моделируют процесс совместного функционирования узла КС и СКР.If the values of the opening time of the CS node do not satisfy expression 2, in block 9, the parameters of the CS nodes are adjusted to the parameters of the selected functioning CS in the ESE segment. Re-simulate the process of joint functioning of the CS and SCR node.

В блоке 10 прибавляется 1 к количеству итераций.In block 10, 1 is added to the number of iterations.

Повторное моделирование осуществляется до тех пор, пока не будет выполнено условие в выражении 1, 2 или не будут перебраны все КС, функционирующие в сегменте ЕСЭ (блок 11).Repeated modeling is carried out until the condition in expression 1, 2 is satisfied or all CSs operating in the ESE segment are enumerated (block 11).

Figure 00000050
Figure 00000050

где iмод - количество итераций, Iфункц - количество КС, функционирующих в сегменте ЕСЭ.where i mode is the number of iterations, I funct is the number of CS functioning in the ESE segment.

Если условие выражения 2 не было выполнено, а условие выражения 3 выполнено, в блоке 12 выбирают значения параметров КС, при которых время вскрытия больше, чем у остальных вариантов. При наличии нескольких одинаковых максимальных значений оператор выбирает значения параметров самостоятельно и сохраняет измеренные.If the condition of expression 2 has not been met, and the condition of expression 3 is fulfilled, in block 12, the values of the parameters of the CS are selected, at which the opening time is longer than other options. If there are several identical maximum values, the operator selects the parameter values independently and saves the measured ones.

В блоке 13 прибавляется 1 к количеству итераций.In block 13, 1 is added to the number of iterations.

Повторное моделирование осуществляется до тех пор, пока не будет выполнено условие в выражении 1, 2 или не будут перебраны все КС, функционирующие в сегменте ЕСЭ (блок 14).Repeated modeling is carried out until the condition in expression 1, 2 is fulfilled or all CS operating in the ESE segment are enumerated (block 14).

В блоке 15 рассчитывают значения весовых коэффициентов вскрытых (Rвскр) узлов КС согласно формуле:In block 15 calculate the values of the weighting coefficients of the opened (R autopsy ) nodes of the COP according to the formula:

Figure 00000051
Figure 00000051

где

Figure 00000052
- логический коэффициент вскрытия n-го узла КС, Rn - весовой коэффициент n-го узла КС.Where
Figure 00000052
is the logical coefficient of opening the n-th node of the CS, R n is the weight coefficient of the n-th node of the CS.

Расчет вскрытых узла КС осуществляется по формуле:The calculation of the opened knot KS is carried out according to the formula:

Figure 00000053
Figure 00000053

где

Figure 00000054
- предполагаемое количество вскрытых узлов КС; Nэсс n - n-й узел КС. Расчет достоверности вскрытия КС (Dвскр) осуществляется по формуле:Where
Figure 00000054
- the estimated number of opened nodes KS; N ess n - n-th node of the COP. The calculation of the reliability of the autopsy of the COP (D autopsy ) is carried out according to the formula:

Figure 00000055
Figure 00000055

В блоке 16 осуществляется оценка достоверности вскрытия КС злоумышленником согласно критериям:In block 16, an assessment of the reliability of opening the CS by an attacker is performed according to the criteria:

Figure 00000056
Figure 00000056

где Dпор.вскр - пороговая достоверность вскрытия КС.where D por.vskr - threshold reliability of the autopsy of the COP.

Figure 00000057
Figure 00000057

где

Figure 00000058
- сумма весовых коэффициентов вскрытых узлов КС, допустимое значение суммы весовых коэффициентов вскрытых узлов КС.Where
Figure 00000058
- the sum of the weights of the opened nodes of the COP, the allowable value of the sum of the weights of the opened nodes of the COP.

Если достоверность вскрытия КС (Dвскр) или сумма весовых коэффициентов вскрытых узлов КС (

Figure 00000059
) не выполняют критериям (7, 8), то в блоке 17 производят реконфигурацию структуры и топологии КС до выполнения указанных условий.If the reliability of the opening of the CS (D autopsy ) or the sum of the weights of the opened nodes of the CS (
Figure 00000059
) do not fulfill the criteria (7, 8), then in block 17 reconfiguration of the structure and topology of the CS is performed until the specified conditions are met.

Если условия 7, 8 выполнены, то в блоке 18 осуществляют совместное функционирование моделей узла КС и ИТВ.If conditions 7, 8 are met, then in block 18, the joint operation of the models of the KS and ITV nodes is carried out.

В блоке 19 измеряют время подавления и значения параметров средств ИТВ, сохраняют измеренные значения в ячейки памяти.In block 19, the suppression time and the values of the parameters of the ITV means are measured, and the measured values are stored in the memory cells.

В блоке 20 оценивают возможности противника по подавлению узла КС и своевременности подавления узла КС.In block 20, the enemy’s capabilities to suppress the CS node and the timeliness of the suppression of the CS node are evaluated.

В блоке 21 определяют режимы работы, количество абонентов и предоставляемых услуг связи при различных значениях параметров ИТВ, при которых узел КС способен выполнять свои функциональные задачи. Указанные значения сохраняют в ячейки памяти.In block 21, the operating modes, the number of subscribers and the provided communication services are determined for various values of the ITV parameters at which the CS node is able to perform its functional tasks. The indicated values are stored in memory cells.

В блоках 22 прибавляется 1 к количеству итераций различных параметров ИТВ. В блоке 23 сравнивают количество итераций различных параметров ИТВ и заданного количества параметров ИТВ.In blocks 22, 1 is added to the number of iterations of various parameters of the ITV. In block 23, the number of iterations of various ITV parameters and a given number of ITV parameters are compared.

В блоке 24 прибавляется 1 к количеству итераций. После чего в блоке 25 сравнивают количество итераций и количества КС, функционирующих в сегменте ЕСЭ.In block 24, 1 is added to the number of iterations. Then, in block 25, the number of iterations and the number of CS operating in the ESE segment are compared.

В блоке 26 осуществляют развертывание и функционирование КС.In block 26 carry out the deployment and operation of the COP.

В блоке 27 определяют окончание функционирования сети связи.In block 27, the end of the communication network is determined.

В блоке 28 во время функционирования КС проводят непрерывный мониторинг состояния КС. На основании выбранных критериев фиксируют факт ведения СКР и ИТВ в отношении узлов КС.In block 28 during the operation of the COP conduct continuous monitoring of the status of the COP. Based on the selected criteria, the fact of maintaining TFR and ITW in relation to the nodes of the CS is recorded.

В блоке 29 при отсутствии признаков ведения СКР или ИТВ продолжают мониторинг состояния КС. Если выявлен признак (признаки) ведения СКР или ИТВ, в блоке 30 измеряют параметры ИТВ.In block 29, in the absence of signs of maintaining TFR or ITV, monitoring of the state of the CS continues. If a sign (signs) of conducting TFR or ITV is revealed, in block 30 the parameters of ITV are measured.

В блоке 31 на основании данных, полученных о параметрах ИТВ, прогнозируют способность узла КС выполнять свои функциональные задачи:In block 31, based on the data obtained on the ITV parameters, the ability of the CS node to perform its functional tasks is predicted:

Рассчитывают вероятность предоставления y-й услуги связи (Qy(t)) и вероятность предоставления (Qay(t)) группы услуг связи (в качестве примера представлен расчет вероятности предоставления услуг связи в условиях DDoS-атак (Гречишников Е.В. и др. Оценка способности узла виртуальной частной сети предоставлять услуги связи в условиях противодействия DDoS-атакам. Сборник трудов научно-практической конференции Проблемы технического обеспечения войск в современных условиях. ВАС, Санкт-Петербург. 2016 г. С. 48-51)):The probability of providing the y-th communication service (Q y (t)) and the probability of providing (Q ay (t)) of the group of communication services are calculated (as an example, the calculation of the probability of providing communication services in the conditions of DDoS attacks is presented (E. Grechishnikov and other. Assessment of the ability of a virtual private network node to provide communication services in the context of countering DDoS attacks. Proceedings of the scientific and practical conference Problems of technical support of troops in modern conditions. EAS, St. Petersburg. 2016. P. 48-51)):

Figure 00000060
Figure 00000060

Figure 00000061
Figure 00000061

где Rbotnet (tксс) - быстродействие атакующей сети злоумышленника; RСЗ - способность средств противодействия ИТВ минимизировать деструктивное воздействие на узел КС; Rу - сетевой ресурс, необходимый для обеспечения y-й услуги связи;

Figure 00000062
- сетевой ресурс, необходимый для обеспечения группы услуги связи абонентам a-категории; Rкан - имеющийся сетевой ресурс;
Figure 00000063
- фактическая мощность атаки сети злоумышленника, tксс - время квазистационарного состояния узла КС,
Figure 00000064
- среднее время атаки злоумышленника на узел КС.where R botnet (t ccc ) is the speed of the attacking attacker network; R SZ - the ability of the ITV countermeasures to minimize the destructive impact on the CS node; R y is the network resource necessary to provide the y-th communication service;
Figure 00000062
- a network resource necessary to provide a group of communication services to a-category subscribers; R channel - available network resource;
Figure 00000063
- the actual attack power of the attacker network, t scc - the time of the quasi-stationary state of the CS node,
Figure 00000064
- the average attack time of the attacker on the site of the COP.

Определяют время отказа в обслуживании y-й услуги связи и группы услуг связи для абонентов (Гречишников Е.В. и др. Оценка способности узла виртуальной частной сети предоставлять услуги связи в условиях противодействия DDoS-атакам. Сборник трудов научно-практической конференции Проблемы технического обеспечения войск в современных условиях. ВАС, Санкт-Петербург. 2016 г. С. 48-51):The time of denial of service for the y-th communication service and the group of communication services for subscribers is determined (E. Grechishnikov et al. Assessing the ability of a virtual private network node to provide communication services in the context of countering DDoS attacks. Proceedings of the scientific-practical conference Technical support problems troops in modern conditions. EAS, St. Petersburg. 2016 S. 48-51):

Figure 00000065
Figure 00000065

Figure 00000066
Figure 00000066

где Рподавл y - вероятность подавления у-й услуги связи (определяется экспериментально).where P suppress y is the probability of suppressing the ith communication service (determined experimentally).

В блоке 32 сравнивают вероятность предоставления y-й услуги связи (Qy(t)), вероятность предоставления нескольких услуг связи (Qay(tксс)) a-й категории абонентов и время отказа в обслуживании услуги связи (tDDoS y) и время отказа в обслуживании группы услуг связи (tDDoS ay) с допустимыми значениями:In block 32, the probability of providing the y-th communication service (Q y (t)), the probability of providing several communication services (Q ay (t ccc )) of the a- th category of subscribers and the time of denial of service of the communication service (t DDoS y ) are compared and Denial of service time for a group of communication services (t DDoS ay ) with valid values:

Figure 00000067
Figure 00000067

Figure 00000068
Figure 00000068

Figure 00000069
Figure 00000069

Figure 00000070
Figure 00000070

Если выражения 13-16 выполняются, продолжают мониторинг (блок 28). Если выражения 13-16 не выполняются, в блоке 33 применяют варианты функционирования при различных ИТВ, используя базу данных, полученных в блоке 21.If expressions 13-16 are executed, continue monitoring (block 28). If expressions 13-16 are not satisfied, in block 33 apply the operating options for various ITV, using the database obtained in block 21.

Если деструктивное воздействие злоумышленника на КС окончено (блок 34), то в блоке 35 измеряют количество узлов КС, подвергшихся деструктивному воздействию, и узлов КС, подавленных средствами ИТВ. Определяют достоверность вскрытия узлов КС средствами СКР. Определяют эффективность ведения ИТВ злоумышленником.If the destructive effect of the attacker on the CS is over (block 34), then in block 35 the number of the nodes of the CS subjected to the destructive impact and the nodes of the CS suppressed by ITV are measured. The reliability of the autopsy of the nodes of the COP using the TFR. Determine the effectiveness of ITV by an attacker.

В блоке 36 сравнивают фактические значения параметров деструктивного воздействия на узел КС с аналогичными параметрами имеющимися в базе данных.In block 36, the actual values of the parameters of the destructive effect on the CS node are compared with similar parameters available in the database.

Figure 00000071
Figure 00000071

Figure 00000072
Figure 00000072

где

Figure 00000073
,
Figure 00000074
- значения фактических параметров, характеризующих ведение СКР и ИТВ соответственно,
Figure 00000075
,
Figure 00000076
- значения параметров, характеризующих ведение СКР и ИТВ соответственно, имеющихся в базе данных.Where
Figure 00000073
,
Figure 00000074
- the values of the actual parameters characterizing the maintenance of TFR and ITV, respectively,
Figure 00000075
,
Figure 00000076
- the values of the parameters characterizing the maintenance of SCR and ITV, respectively, available in the database.

В том случае, если указанные значения параметров деструктивного воздействия соответствуют имеющимся значениям в базе данных, продолжают мониторинг состояния КС.In the event that the indicated values of the parameters of the destructive impact correspond to the available values in the database, monitoring of the state of the CS continues.

Если указанные значения параметров деструктивного воздействия на КС не соответствуют имеющимся значениям, или параметры КС, подвергшейся воздействию, не соответствуют заданным значениям, то в блоке 37 уточняют значения параметров СКР и ИТВ и дополняют базу данных (блок 1).If the specified values of the parameters of the destructive impact on the CS do not correspond to the available values, or the parameters of the CS affected, do not correspond to the specified values, then in block 37 specify the values of the parameters of the SCR and ITV and supplement the database (block 1).

Оценка эффективности предлагаемого способа проводилась на основании сравнения достоверность результатов моделирования КС и ИТВ. Одним из определяющих параметров достоверности результатов моделирования является вероятность ошибки. Оценка вероятности ошибки

Figure 00000077
(Вентцель Е.С. Теория вероятностей и ее инженерное приложение. М.: Изд. Наука, 1988, с. 463, ф-ла 11.8.5) проводилась согласно выражению:Evaluation of the effectiveness of the proposed method was carried out on the basis of a comparison of the reliability of the simulation results of the COP and ITV. One of the determining parameters of the reliability of simulation results is the probability of error. Error Probability Estimation
Figure 00000077
(Ventzel E.S. Probability Theory and its Engineering Application. M .: Publishing House. Nauka, 1988, p. 463, file 11.8.5) was carried out according to the expression:

Figure 00000078
Figure 00000078

где Ф - функция Лапласа; ε - величина доверительного интервала; N - количество имитируемых услуг связи;

Figure 00000079
- средняя статистическая вероятность моделирования;
Figure 00000080
- минимальная вероятность достоверной моделирования.where Φ is the Laplace function; ε is the value of the confidence interval; N is the number of simulated communication services;
Figure 00000079
- average statistical probability of modeling;
Figure 00000080
- minimum probability of reliable modeling.

Расчет достоверности оценки моделирования способом-прототипом при ε=0,02; N=1 (в прототипе, считается, что при отказе в обслуживании все услуги связи не предоставляются);

Figure 00000081
проведен по следующей формуле:The calculation of the reliability of the assessment of modeling by the prototype method with ε = 0.02; N = 1 (in the prototype, it is believed that with a denial of service all communication services are not provided);
Figure 00000081
carried out according to the following formula:

Figure 00000082
Figure 00000082

Расчет достоверности оценки моделирования предлагаемого способа при ε-=0,02; N=6 (в качестве примера взяты 3 услуги связи: передача данных, IP-телефония, видеоконференцсвязь. В качестве примера выбраны 2 категории абонентов. Таким образом N=3×2=6);

Figure 00000083
проведен по следующей формуле:The calculation of the reliability of the assessment of the simulation of the proposed method with ε- = 0.02; N = 6 (3 communication services were taken as an example: data transmission, IP-telephony, video conferencing. 2 categories of subscribers were selected as an example. Thus, N = 3 × 2 = 6);
Figure 00000083
carried out according to the following formula:

Figure 00000084
Figure 00000084

Оценка эффективности разработанного способа по сравнению со способом-прототипом проведена согласно выражению:Evaluation of the effectiveness of the developed method in comparison with the prototype method was carried out according to the expression:

Figure 00000085
Figure 00000085

Исходя из сравнения основных показателей способа прототипа и заявленного способа следует вывод, что заявленный способ повышает достоверность результатов моделирования путем оценки способности узла КС предоставлять различное количество услуг КС различному количеству абонентов в условиях противодействия ИТВ на 4,4%. Таким образом, достигается заявленный технический результат.Based on a comparison of the main indicators of the prototype method and the claimed method, it follows that the claimed method improves the reliability of the simulation results by assessing the ability of the CS node to provide a different number of CS services to a different number of subscribers under the conditions of ITV counteraction by 4.4%. Thus, the claimed technical result is achieved.

Claims (1)

Способ оценки способности узла компьютерной сети функционировать в условиях информационно-технических воздействий заключается в том, что формируют имитационную модель компьютерной сети; ранжируют все узлы компьютерной сети и определяют весовые коэффициенты Rузсв n каждого узла компьютерной сети; измеряют время вскрытия сетевой компьютерной разведкой компьютерной сети; измеряют время начала работы tн.сеанс.св и окончания работы tок.сеанс.св каждого узла компьютерной сети, время квазистационарного состояния tксс каждого узла компьютерной сети, максимальное
Figure 00000086
и минимальное
Figure 00000087
значения времени поиска злоумышленником каждого узла компьютерной сети, максимальное
Figure 00000088
и минимальное
Figure 00000089
значения времени распознавания злоумышленником каждого узла компьютерной сети, время принятия решения, необходимое злоумышленнику на
Figure 00000090
вскрытие и
Figure 00000091
воздействие на каждый узел компьютерной сети, время вскрытия tвскр n узла компьютерной сети, время воздействия tвозд n злоумышленником на каждый узел компьютерной сети, объем In используемого n-м узлом компьютерной сети цифрового потока информации, количество связей Sn n-го узла компьютерной сети, прогнозируют количество средств вскрытия компьютерной сети Nвскр, имеющихся у злоумышленника; разворачивают в рабочее состояние, измеряют количество поврежденных узлов компьютерной сети
Figure 00000092
, фиксируют информационно-технические воздействия на узлы компьютерной сети, моделируют информационно-технические воздействия, моделируют совместное функционирование моделей компьютерной сети и информационно-технических воздействий, вычисляют достоверность вскрытия Dвскр компьютерной сети злоумышленником, достоверность воздействия Dвозд на компьютерную сеть злоумышленником, сравнивают с пороговыми значениями достоверности вскрытия
Figure 00000093
и достоверности воздействия
Figure 00000094
соответственно, при превышении значений вычисленной достоверности вскрытия Dвскр и достоверности воздействия Dвозд над пороговыми значениями достоверностей вскрытия
Figure 00000095
и воздействия
Figure 00000096
соответственно упреждающе реконфигурируют компьютерную сеть, производят перекоммутацию каналов связи, прогнозируют количество средств воздействия Nвозд на узлы компьютерной сети, имеющихся у злоумышленника, определяют пороговые значения суммы весовых коэффициентов вскрытых Rвскр.пор узлов компьютерной сети и суммы весовых коэффициентов подвергнутых воздействию Rвозд.пор узлов компьютерной сети, накапливают статистические значения измеренных величин, полученные значения записываются в ячейки долговременной памяти, рассчитывают значения весовых коэффициентов узлов компьютерной сети исходя из важности и величины информационных потоков, проходящих через данный узел компьютерной сети, рассчитывают значения логических коэффициентов вскрытия
Figure 00000097
узла компьютерной сети и воздействия
Figure 00000098
на узел компьютерной сети, рассчитывают количество вскрытых узлов
Figure 00000099
и количество подверженных воздействию узлов Nэсс компьютерной сети, по результатам проведенных расчетов оценивают возможности злоумышленника по вскрытию компьютерной сети и уточняют исходные данные по количеству поврежденных узлов компьютерной сети Nповр после воздействия, оценивают количество используемых элементов воздействия на компьютерную сеть
Figure 00000100
, время вскрытия
Figure 00000101
компьютерной сети и время воздействия на компьютерную сеть
Figure 00000102
исходя из оценки воздействия на компьютерную сеть, после того как злоумышленник осуществил воздействие на компьютерную сеть, осуществляется оценка произведенного расчета модели компьютерной сети, на основании оценки воздействия злоумышленником на компьютерную сеть производится дополнение статистических данных о возможностях вскрытия и воздействия на компьютерную сеть злоумышленником, уточненные данные записываются в ячейки долговременной памяти, отличающийся тем, что дополнительно измеряют значения параметров однотипных компьютерных сетей, интегрированных в единую сеть электросвязи в условиях предоставления различных услуг связи различному количеству абонентов; значения параметров информационно-технических воздействий, включающие интенсивность отправки пакетов, максимальную мощность отправляемых пакетов; измеряют способность средств противодействия информационно-техническим воздействиям минимизировать деструктивное воздействие на узел компьютерной связи; набирают статистику измеренных значений; присваивают каждой функционирующей компьютерной сети в сегменте единой сети электросвязи номер; формируют физические модели сетевой компьютерной разведки и информационно-технических воздействий; моделируют совместное функционирование физической модели компьютерной сети с учетом изменения количества услуг связи, количества абонентов и значений параметров физической модели сетевой компьютерной разведки; по результатам проведенных расчетов оценивают возможности злоумышленника по подавлению компьютерной сети и уточняют исходные данные по количеству поврежденных узлов компьютерной сети Nповр после воздействия, измеряют количество полностью подавленных узлов
Figure 00000103
компьютерной сети.A method for assessing the ability of a computer network node to function under the conditions of information and technical influences is that they form a simulation model of a computer network; rank all the nodes of the computer network and determine the weight coefficients R knotsn n of each node of the computer network; measure the opening time of a network computer intelligence computer network; measure the time of the start of work t N. session.sv and the end of work t approx. session.sv of each node of the computer network, the time of the quasi-stationary state t kss of each node of the computer network, the maximum
Figure 00000086
and minimum
Figure 00000087
the time of the search by the attacker of each node of the computer network, the maximum
Figure 00000088
and minimum
Figure 00000089
the time of recognition by the attacker of each node of the computer network, the decision time required by the attacker to
Figure 00000090
autopsy and
Figure 00000091
impact on each node of a computer network, opening time t autopsy n of the node of the computer network, time of exposure t air n by the attacker on each node of the computer network, volume I n of the digital information flow used by the n-th node of the computer network, number of connections S n of the n-th node computer network, predict the number of opening tools for the computer network N vskr available to the attacker; deployed in working condition, measure the number of damaged nodes of a computer network
Figure 00000092
, record information and technical influences on the nodes of a computer network, simulate information and technical influences, simulate the joint functioning of computer network models and information and technical influences, calculate the reliability of tampering D autopsy of a computer network by an attacker, the reliability of the impact of D air on a computer network by an attacker, compare with threshold autopsy confidence values
Figure 00000093
and validity of exposure
Figure 00000094
accordingly, when the values of the calculated reliability of the autopsy D autopsy and the reliability of the impact of D air over the threshold values of the reliability of the autopsy are exceeded
Figure 00000095
and impact
Figure 00000096
accordingly, they proactively reconfigure the computer network, reconnect the communication channels, predict the number of means of influence N air on the nodes of the computer network available to the attacker, determine the threshold values of the sum of the weight coefficients of the opened R open spores of the nodes of the computer network and the sum of the weight coefficients of the exposed R air sp nodes of a computer network, accumulate statistical values of the measured values, the obtained values are recorded in the cells of long-term memory, calculated the values of the weighting coefficients of the nodes of the computer network based on the importance and magnitude of the information flows passing through the given node of the computer network, calculate the values of the logical opening coefficients
Figure 00000097
computer network node and exposure
Figure 00000098
on a computer network node, calculate the number of opened nodes
Figure 00000099
and the number of affected nodes N ess of the computer network, according to the results of the calculations, the abuser’s ability to open the computer network is evaluated and the initial data on the number of damaged nodes of the computer network N damage after exposure is evaluated, the number of used elements of the impact on the computer network is estimated
Figure 00000100
opening time
Figure 00000101
computer network and the exposure time to the computer network
Figure 00000102
Based on the assessment of the impact on the computer network, after the attacker made an impact on the computer network, the calculation of the model of the computer network is carried out, based on the assessment of the impact of the attacker on the computer network, statistics are added on the possibilities of tampering and the impact on the computer network of the attacker, updated data are recorded in the long-term memory cells, characterized in that they additionally measure the values of the parameters of the same type of computer ernyh networks, integrated into a single telecommunications network in terms of providing various communication services to a different number of subscribers; the values of the parameters of information and technical impacts, including the intensity of sending packets, the maximum power of sent packets; measure the ability of counteracting information and technical influences to minimize the destructive impact on the computer communication node; gather statistics of measured values; assign a number to each functioning computer network in the segment of the unified telecommunication network; form physical models of network computer intelligence and information and technical influences; simulate the joint functioning of the physical model of a computer network, taking into account changes in the number of communication services, the number of subscribers and parameter values of the physical model of network computer intelligence; according to the results of the calculations, the ability of the attacker to suppress the computer network is evaluated and the initial data on the number of damaged nodes of the computer network N damage after exposure is specified , the number of completely suppressed nodes is measured
Figure 00000103
computer network.
RU2016151502A 2016-12-26 2016-12-26 Method for evaluating the ability of a computer network node to operate under conditions of information and technical impact RU2648508C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2016151502A RU2648508C1 (en) 2016-12-26 2016-12-26 Method for evaluating the ability of a computer network node to operate under conditions of information and technical impact

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2016151502A RU2648508C1 (en) 2016-12-26 2016-12-26 Method for evaluating the ability of a computer network node to operate under conditions of information and technical impact

Publications (1)

Publication Number Publication Date
RU2648508C1 true RU2648508C1 (en) 2018-03-26

Family

ID=61708070

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016151502A RU2648508C1 (en) 2016-12-26 2016-12-26 Method for evaluating the ability of a computer network node to operate under conditions of information and technical impact

Country Status (1)

Country Link
RU (1) RU2648508C1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2692423C1 (en) * 2018-06-15 2019-06-24 Наталья Владиславовна Львова Method of simulating two-way effects when using conflicting control systems of common process resource
RU214686U1 (en) * 2022-07-12 2022-11-10 Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации A device for modeling the process of implementing information and technical impact in an automated military system with several false network information objects

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001037511A2 (en) * 1999-11-18 2001-05-25 Secureworks, Inc. Method and system for remotely configuring and monitoring a communication device
RU2487406C1 (en) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" System and method of detecting malicious entities distributed over peer-to-peer networks
RU2541879C2 (en) * 2009-02-27 2015-02-20 Майкрософт Корпорейшн Trusted entity based anti-cheating mechanism
WO2015077890A1 (en) * 2013-11-27 2015-06-04 Adept Ai Systems Inc. Method and system for artificially intelligent model-based control of dynamic processes using probabilistic agents
RU2583714C2 (en) * 2013-12-27 2016-05-10 Закрытое акционерное общество "Лаборатория Касперского" Security agent, operating at embedded software level with support of operating system security level

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001037511A2 (en) * 1999-11-18 2001-05-25 Secureworks, Inc. Method and system for remotely configuring and monitoring a communication device
RU2541879C2 (en) * 2009-02-27 2015-02-20 Майкрософт Корпорейшн Trusted entity based anti-cheating mechanism
RU2487406C1 (en) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" System and method of detecting malicious entities distributed over peer-to-peer networks
WO2015077890A1 (en) * 2013-11-27 2015-06-04 Adept Ai Systems Inc. Method and system for artificially intelligent model-based control of dynamic processes using probabilistic agents
RU2583714C2 (en) * 2013-12-27 2016-05-10 Закрытое акционерное общество "Лаборатория Касперского" Security agent, operating at embedded software level with support of operating system security level

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2692423C1 (en) * 2018-06-15 2019-06-24 Наталья Владиславовна Львова Method of simulating two-way effects when using conflicting control systems of common process resource
RU214686U1 (en) * 2022-07-12 2022-11-10 Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации A device for modeling the process of implementing information and technical impact in an automated military system with several false network information objects

Similar Documents

Publication Publication Date Title
Hurley et al. HMM-based intrusion detection system for software defined networking
CN109558729B (en) Intelligent defense system for network attack
Husain et al. Development of an efficient network intrusion detection model using extreme gradient boosting (XGBoost) on the UNSW-NB15 dataset
Maciá-Fernández et al. Mathematical model for low-rate DoS attacks against application servers
Shen et al. Adaptive Markov game theoretic data fusion approach for cyber network defense
Jiang et al. Detecting network attacks in the internet via statistical network traffic normality prediction
RU2682108C1 (en) Method of using options of countermeasure of network and stream computer intelligence and network attacks and system therefor
Chkirbene et al. A combined decision for secure cloud computing based on machine learning and past information
Shen et al. A markov game theoretic data fusion approach for cyber situational awareness
CN110995718A (en) Power terminal cross-domain authentication mechanism based on block chain
Balyk et al. Using graphic network simulator 3 for DDoS attacks simulation
Moody et al. Defensive maneuver cyber platform modeling with Stochastic Petri Nets
Kandoussi et al. Toward an integrated dynamic defense system for strategic detecting attacks in cloud networks using stochastic game
Rao et al. SEDoS-7: a proactive mitigation approach against EDoS attacks in cloud computing
CN114095285B (en) Method and system for defending network reconnaissance by using self-adaptive disturbance
RU2648508C1 (en) Method for evaluating the ability of a computer network node to operate under conditions of information and technical impact
RU2612275C1 (en) Method for monitoring of communication networks in conditions of conducting network reconnaissance and information and technical actions
CN112398857A (en) Firewall testing method and device, computer equipment and storage medium
Tsochev et al. Improving the efficiency of idps by using hybrid methods from artificial intelligence
Ghasabi et al. Using optimized statistical distances to confront distributed denial of service attacks in software defined networks
RU2625045C1 (en) Method of modeling damage evaluation caused by network and computer attacks to virtual private networks
RU2685989C1 (en) Method of reducing damage caused by network attacks to a virtual private network
Ivanchenko et al. Dependability assessment for SCADA system considering usage of cloud resources
Salimov et al. Application of SDN technologies to protect against network intrusions
Kotenko et al. Experiments with simulation of attacks against computer networks

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20181227