Изобретение относится к области телекоммуникаций, а именно к области диагностирования и контроля технического состояния информационно-телекоммуникационных сетей связи в условиях информационно-технических воздействий.
Под информационно-телекоммуникационной сетью связи понимается совокупность информационно-вычислительных систем, объединенных системой передачи данных (Центр стратегических оценок и прогнозов. Информационная война и защита информации. Словарь основных терминов и определений, www.csef.ru, Москва, 2011, с. 25).
В качестве элементов сети связи рассматриваются: узлы связи, средства связи, каналы (линии) связи (п. 1.7. стр. 74, Ермишян А.Г. Теоретические основы построения систем военной связи в объединениях и соединениях: Учебник. Часть 1. Методологические основы построения организационно-технических систем военной связи. СПб.: ВАС, 2005. 740 с.).
Под сетевой разведкой (CP) понимается - получение и обработка данных об информационной системе клиента, ресурсов информационной системы, используемых устройств и программного обеспечения и их уязвимостях, средств защиты, а также о границе проникновения в информационную систему (http://it-sektor.ru/chto-takoe-setevaya-razvedka.html).
Под информационно-техническими воздействиями (ИТВ) понимаются методы радиоэлектронной борьбы, проникновение в компьютерные сети и т.п. (Базовые принципы информационной безопасности вычислительных сетей: учебное пособие для студентов, обучающихся по специальностям 08050565, 21040665, 22050165, 23040165 / А.А. Гладких, В.Е. Дементьев; - Ульяновск: УлГТУ, 2009. - С. 135).
Распределенная система мониторинга (РСМ) сетей связи - это система, выполняющая функции контроля состояния сети, анализа производительности сети связи, наблюдения за текущей конфигурацией, учета трафика и обеспечения безопасности (Электронный журнал НИИ Телекоммуникационных систем http://niits.ru/products/?spider).
Известен "Способ оценки информативности и приоритетности параметров технического состояния компьютерной сети", патент РФ №2439705 C1, G06Q 90/00 (2006.01), опубл.: 10.01.2012, бюл. №1.
Способ заключается в выполнении следующей последовательности действий. Посылки сигнала анализатором, замеряющим характеристики технического состояния компьютерной сети, сохранения значений в блоке хранения данных, занесения измеренных значений в блок обработки данных, в котором последовательно вычисляют средние значения каждого параметра по всем контролируемым системам, аналогичным по назначению и условиям эксплуатации участкам компьютерной сети, вычисляют общее среднее значение параметров по числу проведенных измерений, рассчитывают элементы ковариационной матрицы и строят на их основе корреляционную матрицу, вычисляют дополнительный параметр - вероятность невыполнения сетью задач к концу времени испытаний, измерений, средние значения этого параметра и рассчитывают коэффициенты корреляции по ним, добавляют последнюю строку и последний столбец полученной корреляционной матрицы вероятностей в качестве последних строки и столбца к корреляционной матрице параметров технического состояния компьютерной сети, формируют преобразование, описывающее внутренние связи рассматриваемых параметров контролируемой сети или ее участка, произведение столбцов которого дает соответствующий элемент полученной итоговой корреляционной матрицы, полученной на основе элементов построенного преобразования, оценивают информативность исходной совокупности характеристик с помощью функции меры информации Шеннона, отбрасывают параметры с наименьшим коэффициентом приоритетности, определяют информативность уменьшенной совокупности параметров, вычисляют потери информации системы оставшихся параметров технического состояния по сравнению с исходной системой показателей, осуществляют окончательный выбор совокупности наиболее важных параметров технического состояния в соответствии с заданным пользователем максимальным уровнем потерь информации, расчет дополнительно оцениваемых параметров осуществляют по вероятности выхода за пределы допустимых значений по каждому параметру и вероятности невыполнения сетью задач к концу времени испытаний, вычисление дополнительного параметра осуществляют в блоке обработки данных после расчета корреляционной матрицы контролируемых параметров технического состояния компьютерной сети, вычисляют вероятность выхода за пределы допустимых значений по каждому параметру технического состояния компьютерной сети и вероятность невыполнения сетью задач к концу времени испытаний по числу сбоев в работе сети, вычисление дополнительного параметра осуществляют на основе средних вероятностей сбоев в сети по всем замерам для каждой характеристики технического состояния компьютерной сети и средней вероятности сбоев в сети по всем характеристикам для каждого замера.
Недостатками данного способа являются низкое быстродействие системы мониторинга технического состояния сети связи, в связи с обработкой большого объема данных от различных точек мониторинга, низкая защищенность сети связи от сетевой разведки и информационно-технических воздействий, в связи с низкой своевременностью определения факта начала ведения сетевой разведки, информационно-технических воздействий и отсутствия прогнозирования технического состояния сети связи в условиях противодействия сетевой разведки и информационно-технических воздействий.
Наиболее близким аналогом (прототипом) по технической сущности к предлагаемому техническому решению является "Способ диагностирования средств связи телекоммуникационных систем", патент РФ №2345492 C2, H04B 17/00 (2006/01), опубл. 27.01.2009, бюл. №3.
Способ-прототип заключается в том, что среди параметров сложного технического объекта выделяют отдельные параметры, которые являются признаками его технического состояния, сравнивают их с эталонными признаками исходного алфавита классов состояний и по результатам сравнения определяют группу классов возможного технического состояния диагностируемого объекта, в которой определяют признак, имеющий максимальную диагностическую ценность, для всех признаков состояний выбранной группы многократно измеряют сигналы и определяют показатель интенсивности связи - эмпирическое корреляционное отношение значения сигнала с максимальной диагностической ценностью значениям сигналов остальных признаков состояния, проводят вычисление средних значений эмпирического корреляционного отношения для каждого класса и определяют класс в выбранной группе классов состояния с максимально средним значением эмпирического корреляционного отношения, который является фактическим классом состояния, введено то, что всю совокупность как внутренних параметров, так и выходных параметров, определяющих техническое состояние средств связи телекоммуникационных систем, сокращают за счет выявления сильной корреляционной зависимости отдельно между внутренними параметрами, отдельно между выходными параметрами средств связи телекоммуникационных систем, по заданной достоверности контроля технического состояния с учетом динамики изменений выделенных контролируемых параметров осуществляют прогнозирование времени наступления предотказового состояния средств связи телекоммуникационных систем.
Однако способ-прототип имеет следующие недостатки - низкое быстродействие системы мониторинга технического состояния сети связи, в связи с обработкой большого объема данных от различных точек мониторинга, низкая защищенность сети связи от сетевой разведки и информационно-технических воздействий, в связи с низкой своевременностью определения факта начала ведения сетевой разведки, информационно-технических воздействий и отсутствия прогнозирования технического состояния сети связи в условиях противодействия сетевой разведки и информационно-технических воздействий.
Задачей изобретения является создание способа мониторинга сетей связи в условиях ведения сетевой разведки и информационно-технических воздействий. Техническим результатом изобретения является расширение возможности способа прототипа, за счет измерения и оценки контролируемых параметров сетевой разведки и информационно-технических воздействий, а также изменении количества точек мониторинга в зависимости от действий сетевой разведки, информационно-технических воздействий злоумышленника и технического состояния сети связи, повышение быстродействия распределенной системы мониторинга технического состояния сети связи, за счет сокращения количества точек мониторинга, повышение защищенности сети связи за счет своевременного определения начала ведения сетевой разведки и информационно-технических воздействий, прогнозирования и принятия упреждающих мер по противодействию информационно-техническим воздействиям.
Задача изобретения решается тем, что в способе мониторинга сетей связи в условиях ведения сетевой разведки и информационно-технических воздействий выполняется следующая последовательность действий.
Измеряют параметры функционирования однотипных сетей связи, интегрированных в Единую Сеть Электросвязи (ЕСЭ), в условиях предоставления различных услуг связи различному количеству абонентов (ГОСТ 28871-90 Аппаратура линейных трактов цифровых волоконно-оптических систем передачи. Методы измерения основных параметров. Стандартинформ, 2005, 8 с.). Определяют критерии оценки параметров функционирования элемента сети связи и сети связи в целом. Сохраняют измеренные значения в блоке хранения данных (гл. 5.4 стр.133-146, гл. 7 стр. 168-233, Галицина О.Л. и др. Базы данных: Учебное пособие. Форум-Инфра-М, Москва, 2006, 352 с.) и заносят измеренные значения в блок обработки данных.
Измеряют параметры эксплуатационных отказов и сбоев на однотипных функционирующих сетях связи интегрированных в ЕСЭ (ГОСТ 28871-90. Аппаратура линейных трактов цифровых волоконно-оптических систем передачи. Методы измерения основных параметров. Стандартинформ, 2005, 8 с.). Определяют критерии оценки параметров функционирования элемента сети связи и сети связи в целом в условиях эксплуатационных отказов и сбоев. Сохраняют измеренные значения в блоке хранения.
Формируют физическую модель СС в условиях предоставления различных услуг связи различному количеству абонентов с учетом эксплуатационных отказов и сбоев (Варламов О.О. «О системном подходе к созданию модели компьютерных угроз и ее роли в обеспечении безопасности информации в ключевых системах информационной инфраструктуры». Известия ТРТУ / Тематический выпуск // №7 / том 62 / 2006 г. С. 218).
Измеряют параметры ведения CP и ИТВ на однотипные функционирующие сети связи (Для сетей связи функционирующих в Единой сети электросвязи одним из критерием начала вскрытия может служить сканирование нескольких портов Web сервера с использованием одного IP-адреса (п. 10.7.2. Сканирование портов / Linix глазами хакера http://wm-help.net/lib/b/book/2677999886/355)) и ИТВ (Для сетей связи функционирующих в Единой сети электросвязи одним из критерием начала информационно-технического воздействия может служить появление ошибок 403 и 500, резкое увеличение трафика (http://www.setup.ru/client/subscription/68)). Определяют критерии оценки параметров функционирования элемента сети связи и сети связи в целом в условиях ведения CP и ИТВ. Сохраняют измеренные значения в блоке хранения данных.
Формируют физические модели CP и ИТВ различных злоумышленников (Варламов О.О. «О системном подходе к созданию модели компьютерных угроз и ее роли в обеспечении безопасности информации в ключевых системах информационной инфраструктуры» Известия ТРТУ / Тематический выпуск // №7 / том 62 / 2006 г. С. 218).
Исходя из топологии создаваемой СС, а также на основании статистических данных об эксплуатационных отказах и сбоях, действий злоумышленника по ведению CP и ИТВ, определяют возможные места размещения точек мониторинга контролируемых параметров СС, CP и оценить параметры ИТВ по изменению параметров СС (Вариант оптимизационной задачи представлен в «Основные задачи оптимизации локальных сетей». http://www.xnets.ru/plugins/content/content.php?content.156.4). Формируют физическую модель системы мониторинга СС (п. 1.2 стр. 6, Галкин А.П. и др. Моделирование каналов систем связи. Москва: Связь, 1979, 94 с.).
Моделируют функционирование СС, PCM, CP и ИТВ. Измеряют быстродействие РСМ СС. Сохраняют в базе данных значения параметров СС в условиях предоставления различных услуг связи различному количеству абонентов, потока отказов и эксплуатационных сбоев, а также ведения CP и ИТВ. Среди параметров состояний СС, CP и ИТВ выделяют отдельные параметры, которые являются признаками эксплуатационных отказов и сбоев СС, а также ведения CP и ИТВ. Выделенные параметры сохраняют в базе данных.
Определяют корреляционные связи между параметрами состояний СС при эксплуатационных отказах и сбоях, а также при ведении CP и ИТВ.
На основании выявленных корреляционных связей между контролируемыми параметрами состояния СС сокращают количество контролируемых параметров.
Определяют корреляционные связи между значениями параметров состояний СС при эксплуатационных отказах и сбоях, а также при ведении CP и ИТВ в различных точках мониторинга.
На основании выявленных корреляционных связей сокращают количество контролируемых точек мониторинга.
Моделируют функционирование СС, PCM, CP и ИТВ с сокращенным количеством точек мониторинга и указанных контролируемых параметров. Измеряют быстродействие РСМ СС (Использование счетчиков производительности для мониторинга http://www.osp.ru/win2000/2010/04/13003220/). Выделенные параметры сохраняют в базу данных.
Определяют оптимальное количество точек мониторинга, места их размещения и контролируемые параметры для случаев нормального функционирования СС, функционирования СС при различных эксплуатационных отказах и сбоях, а также для случаев выявления действий CP и ИТВ злоумышленника.
Сравнивают быстродействие РСМ с сокращенным количеством точек мониторинга и контролируемых параметров для различных определенных случаев функционирования СС с имеющимися значениями быстродействия РСМ с полным количеством точек мониторинга и параметров в условиях предоставления различных услуг связи различному количеству абонентов, при различном количестве эксплуатационных отказов и сбоев, а также различных значениях параметров CP и ИТВ (Использование счетчиков производительности для мониторинга http://www.osp.ru/win2000/2010/04/13003220/).
Если значения достоверности РСМ отличаются от требуемых, то изменяют (увеличивают/уменьшают) количество и места расстановки точек мониторинга и количество контролируемых параметров до получения требуемого значения достоверности.
Разрабатывают мероприятия по противодействию CP и ИТВ (Например варианты реконфигурации или перекоммутации каналов СС), (сущность процесса реконфигурации описана в «О надежности прикладного уровня с учетом возможности реконфигурации сети MPLS» / http://nauchebe.net/2013/01/o-nadyozhnosti-prikladnogo-urovnya-s-uchyotom-vozmozhnosti-rekonfiguracii-seti-mpls, 2013 г.), (сущность процесса перекоммутации описана в «Виртуальные локальные сети. Создание VLAN позволяет повысить производительность каждой из них и изолировать сети друг от друга…» / http://www.osp.ru/lan/2002/12/136942 // «Журнал сетевых решений/LAN», №12, 2002).
С учетом динамики изменений выделенных контролируемых параметров осуществляют прогнозирование времени наступления критического (предотказового) состояния СС (tотк) и сравнивают со временем функционирования СС (tфункц) (подход к прогнозированию надежности представлены в Козлов В.Г. «Теория надежности» / Томский государственный университет систем управления и радиоэлектроники / Учебное пособие для студентов специальностей 201300 и 2008000, п. 6.6.3 «Физические методы прогнозирования» 2004 г., с. 138). Если время функционирования СС превышает время наступления критического (предотказового) состояния СС, заблаговременно выполняют комплекс мероприятия по противодействию CP и ИТВ и повторно моделируют функционирование СС.
Осуществляют развертывание и функционирование сети связи, а также развертывание и функционирования РСМ для нормальных условий функционирования СС.
Устанавливают соединения с РСМ провайдера предоставляющего услуги связи и другими независимыми системами обнаружения ИТВ.
Во время функционирования СС проводят мониторинг технического состояния СС, параметров CP и опосредованно определяют параметры ИТВ.
При обнаружении эксплуатационных отказов и сбоев принимают меры по реконфигурации сети связи и устранению причин сбоя.
При фиксации факта ведения CP включают точки мониторинга и изменяют количество контролируемых параметров CP и ИТВ согласно имеющихся моделей РСМ по уточнению параметров CP и идентификации злоумышленника.
На основании имеющихся статистических данных прогнозируют параметры CP и ИТВ, а также параметры СС в условиях ведения ИТВ. Сравнивают спрогнозированные значения параметров СС с требуемыми и при необходимости выполняют необходимые действия по подготовке мероприятий по противодействию CP и ИТВ (например включение, синхронизацию и обеспечение заданных режимов работы аппаратуры связи).
При фиксации факта ведения ИТВ реконфигурируют РСМ путем изменения контролируемых параметров и точек мониторинга, согласно имеющихся моделей РСМ состояния СС при ИТВ.
На основании данных, полученных от РСМ, о параметрах ИТВ и СС выполняют комплекс мероприятий по противодействию ИТВ (например, включение, синхронизацию и обеспечение заданных режимов работы аппаратуры связи, перекоммутацию информационных потоков) (Астрахов А.В., Климов С.М., Сычев М.П. «Противодействие компьютерным атакам. Технологические основы», МГТУ им. Н.Э. БАУМАНА, Москва, 2013, п. 6. Технология противодействия компьютерным атакам на критически важные информационные системы. С. 40-48).
Согласно заданным критериям (указанным в исходных данных) фиксируют факт окончания ИТВ. По окончанию воздействия сравнивают измеренные параметры ИТВ и значения параметров, полученные от независимых сторонних систем мониторинга.
Рассчитывают достоверность параметров измеренных РСМ, быстродействие РСМ по обнаружению эксплуатационных отказов и сбоев, обнаружения действий CP и ИТВ (Н.С. Кравченко, О.Г. Ревинская «Методы обработки результатов измерений и оценки погрешностей в учебном лабораторном практикуме», Томский политехнический университет, 2011 г., с. 7-19).
На основании проведенных расчетов достоверности и быстродействия РСМ оценивают правильность расстановки точек мониторинга и количества контролируемых параметров.
При выявлении отклонений достоверности и быстродействия РСМ от требуемых значений осуществляют изменение количества контролируемых параметров и реконфигурируют РСМ.
Перечисленная новая совокупность существенных признаков обеспечивает расширение возможности способа прототипа, за счет измерения и оценки контролируемых параметров CP и ИТВ, а также изменении количества точек мониторинга в зависимости от действий CP и ИТВ злоумышленника и ТС СС, повышение быстродействия РСМ СС, за счет сокращения количества точек мониторинга, повышение защищенности СС за счет своевременного определения начала ведения CP и ИТВ, прогнозирования и принятия упреждающих мер по противодействию ИТВ.
Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественных всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "новизна".
Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "изобретательский уровень".
«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данный способ с достижением указанного в изобретении назначения.
Заявленный способ поясняется чертежами, на которых показано:
фиг. 1 - структурно-логическая последовательность мониторинга сетей связи в условиях ведения CP и ИТВ злоумышленника;
фиг. 2 - вариант логического соединения сети связи, используемой при оценке эффективности заявленного способа;
фиг. 3 - таблица исходных данных для расчета эффективности заявленного способа, характеризующая параметры измеряемые в точках мониторинга;
фиг. 4 - результаты расчетов коэффициентов корреляции параметров технического состояния измеряемых в точке мониторинга;
фиг. 5 - результаты расчета сокращения контролируемых параметров в каждой точке мониторинга;
фиг. 6 - результаты расчета коэффициентов корреляции между параметрами измеряемыми в точках мониторинга;
фиг. 7 - результаты расчета сокращения контролируемых точек мониторинга.
Заявленный способ поясняется структурно-логической последовательностью (фиг. 1), где в блоке 1 измеряют параметры функционирования однотипных сетей связи интегрированных в ЕСЭ в условиях предоставления различных услуг связи различному количеству абонентов , где i-я однотипная сеть связи (i=1…I, где I - количество однотипных сетей связи), r-й режим функционирования (условия предоставления различных услуг связи различному количеству абонентов (r=1…R, где R - количество режимов функционирования)). Определяют критерии оценки параметров функционирования элемента сети связи и сети связи в целом. Создают блок хранения измеряемых параметров. Сохраняют измеренные значения и выделенные критерии в блоке хранения и заносят измеренные значения в блок обработки данных.
В блоке 2 измеряют параметры эксплуатационных отказов и сбоев на однотипных функционирующих сетях связи интегрированных в ЕСЭ , где i-я однотипная сеть связи, k-й класс эксплуатационных отказов и сбоев (k=1…K, где K - количество класс эксплуатационных отказов и сбоев). Определяют критерии оценки параметров функционирования элемента сети связи и сети связи в целом в условиях эксплуатационных отказов и сбоев. Сохраняют измеренные значения и критерии в блоке хранения.
Далее в блоке 3 формируют физическую модель СС в условиях предоставления различных услуг связи различному количеству абонентов с учетом эксплуатационных отказов и сбоев.
В блоке 4 измеряют на однотипные функционирующие сети связи параметры CP и ИТВ , где i-я однотипная сеть связи, j-й злоумышленник (j=1…J, где J - количество злоумышленников). Определяют критерии оценки параметров функционирования элемента сети связи и сети связи в целом в условиях ведения CP и ИТВ. Сохраняют измеренные значения и критерии в блоке хранения данных.
В блоке 5 формируют физические модели КР и ИТВ различных злоумышленников (Сетевая модель OSI / http://russian-texts.ru/Модель).
Затем в блоке 6 исходя из топологии создаваемой СС, а также на основании статистических данных об эксплуатационных отказах и сбоях, действий злоумышленника по ведению CP и ИТВ, определяют возможные места размещения точек мониторинга контролируемых параметров СС, CP и ИТВ. Формируют физическую модель РСМ СС.
В блоке 7 моделируют функционирование СС, РСМ, CP и ИТВ. Измеряют быстродействие РСМ СС (Vполн). Сохраняют значения параметров СС в условиях предоставления различных услуг связи различному количеству абонентов, потока отказов и эксплуатационных сбоев, а также ведения CP и ИТВ.
В блоке 8 среди параметров состояний СС, CP и ИТВ выделяют отдельные параметры ({pen}), где e-й выделенный параметр (e=1…E, где Е - количество контролируемых параметров в очке мониторинга РСМ), который являются признаками эксплуатационных отказов и сбоев СС, а также ведения CP и ИТВ n-я точка мониторинга (n=1…N, где N - количество точек мониторинга РСМ). Выделенные параметры сохраняют в базу данных.
В блоке 9 на основании статистических данных создают базу данных эталонных признаков исходного алфавита классов состояний СС .
Далее в блоке 10 сравнивают значения выделенных параметров с эталонными значениями признаков исходного алфавита классов состояний и по результатам сравнения определяют группу классов возможного состояния СС в условиях предоставления различных услуг связи различному количеству абонентов, потока отказов и эксплуатационных сбоев, а также ведения CP и ИТВ.
В блоке 11 определяют коэффициент корреляционных связей между параметрами состояний СС при эксплуатационных отказах и сбоев, а также при ведении CP и ИТВ (для нормального закона распределения наблюдаемых параметров данную зависимость можно определить в соответствии с выражением (Гмурман В.Е. Теория вероятностей и математическая статистика: Учеб. пособие для вузов. - 8-е изд., стер. - М.: Высшая школа., 2002. - 479 с.)) согласно формулы:
где - коэффициент корреляционных связей между контролируемыми параметрами точки мониторинга РСМ;
рan - сравниваемый контролируемый параметр, где a=1…Е;
рbn - сравниваемый контролируемый параметр, где b=1…Е;
- математическое ожидание параметров рan;
- математическое ожидание параметров рbn;
- среднеквадратическое отклонение параметров рan;
- среднеквадратическое отклонение параметров рbn;
K - объем выборки параметров pen.
При неизвестном законе распределения наблюдаемых параметров целесообразно использовать характеристики связи, свободные от вида распределения. В частности, одной из данных характеристик является коэффициент ранговой корреляции Спирмена (Статистические методы обработки результатов наблюдений: Учебник для вузов. Под редакцией доктора технических наук профессора Юсупова P.M. - Мин. обороны СССР, 1984. - 687 с.).
По значениям коэффициентов корреляции при заданном уровне достоверности к объемам выборок определяют значимость связи между внутренними параметрами, чем ближе значение коэффициента корреляции к ±1, тем ближе данная связь к линейной функциональной (Белько И.В., Свирид Г.П. Теория вероятностей и математическая статистика. Примеры и задачи: Учеб. пособие. Под. ред. Кузьмича К.К. - 2-е изд., стер. - Мн.: Новое знание, 2004. - 251 с.).
В блоке 12 на основании выявленных корреляционных связей между контролируемыми параметрами состояния СС, CP и ИТВ сокращают количество контролируемых параметров. При отрицательном исходе данной операции считают, что параметры независимы. Сокращение параметров, находящихся в функциональной зависимости, позволяет избежать избыточности статистической информации, заключенной в них, тем самым повысить быстродействие РСМ СС.
В блоке 13 определяют корреляционные связи между значениями параметров состояний СС при эксплуатационных отказах и сбоев, а также при ведении CP и ИТВ в различных точках мониторинга (для нормального закона распределения наблюдаемых параметров данную зависимость можно определить в соответствии с выражением (Гмурман В.Е. Теория вероятностей и математическая статистика: Учеб. пособие для вузов. - 8-е изд., стер. - М.: Высшая школа., 2002. - 479 с.)) согласно формулы:
где - коэффициент корреляционных связей между значениями параметров различных точек мониторинга РСМ;
ped - сравниваемый контролируемый параметр, где d=1…N;
pес - сравниваемый контролируемый параметр, где с=1…N;
- математическое ожидание параметров ped;
- математическое ожидание параметров pec;
- среднеквадратическое отклонение параметров ped;
- среднеквадратическое отклонение параметров рес;
K - объем выборки параметров рen.
В блоке 14 на основании выявленных корреляционных связей между контролируемыми параметрами состояния СС, CP и ИТВ в различных точках мониторинга, исключают точки мониторинга из РСМ. При отрицательном исходе данной операции считают, что параметры независимы. Сокращение точек мониторинга, находящихся в функциональной зависимости, позволяет избежать избыточности статистической информации, заключенной в них, тем самым повысить быстродействие РСМ СС.
В блоке 15 определяют оптимальное количество точек мониторинга, места их размещения и контролируемые параметры для случаев нормального функционирования СС, функционирования СС при различных эксплуатационных отказов и сбоев, а также случаев выявления действий CP и ИТВ злоумышленника
В блоке 16 моделируют функционирование СС, РСМ, CP и ИТВ с сокращенным количеством точек мониторинга и указанных контролируемых параметров. По заданной достоверности контроля технического состояния осуществляют контроль параметров СС, CP и ИТВ. Измеряют быстродействие РСМ СС. Выделенные параметры сохраняют в базу данных.
В блоке 17 сравнивают быстродействие РСМ СС с сокращенным количеством точек мониторинга и контролируемых параметров для различных определенных случаев функционирования СС с имеющимися значениями быстродействия РСМ с полным количеством точек мониторинга и параметров в условиях предоставления различных услуг связи различному количеству абонентов, при различном количестве эксплуатационных отказов и сбоев, а также различных значениях параметров CP и ИТВ.
Если значения достоверности РСМ отличаются от требуемых изменяют (увеличивают/уменьшают) количество и места расстановки точек мониторинга и количество контролируемых параметров.
В блоке 18 разрабатывают мероприятия по противодействию CP и ИТВ (например варианты реконфигурации или перекоммутации каналов СС). С учетом динамики изменений выделенных контролируемых параметров осуществляют прогнозирование времени наступления критического (предотказового) состояния СС (tотк) и сравнивают со временем функционирования СС (tфункц). Если временем функционирования СС превышает времени наступления критического (предотказового) состояния СС, то заблаговременно выполняют комплекс мероприятия по противодействию CP и ИТВ и повторно моделируют функционирование СС. При необходимости разрабатывают дополнительные мероприятия по противодействию CP и ИТВ.
В блоке 19 осуществляют развертывание и функционирование сети связи, а также развертывание и функционирования РСМ для нормальных условий функционирования СС.
В блоке 20 определяют окончание функционирование сети связи.
В блоке 21 устанавливают соединения с РСМ провайдера, предоставляющего услуги связи, и другими независимыми системами обнаружения ИТВ.
В блоке 22 во время функционирования СС проводят мониторинг технического состояния СС, параметров CP и ИТВ.
В блоке 23 при обнаружении эксплуатационных отказов и сбоев принимают меры по реконфигурации сети связи и устранению причин сбоя.
В блоке 24 при фиксации факта ведения CP включают точки мониторинга и изменяют количество контролируемых параметров CP и ИТВ согласно имеющихся моделей РСМ по уточнению параметров CP и идентификации злоумышленника.
В блоке 25 на основании имеющихся статистических данных прогнозируют параметры CP и ИТВ, а также параметры СС в условиях ведения ИТВ. Сравнивают спрогнозированные значения параметров СС с требуемыми и при необходимости выполняют необходимые действия по подготовке мероприятий по противодействию CP и ИТВ (например, включение, синхронизацию и обеспечение заданных режимов работы аппаратуры связи).
В блоке 26 при фиксации факта ведения ИТВ реконфигурируют РСМ путем изменения контролируемых параметров и точек мониторинга согласно имеющихся моделей РСМ контроля состояния СС при ИТВ.
В блоке 27 на основании данных, полученных от РСМ о параметрах ИТВ и СС, выполняют комплекс мероприятий по противодействию ИТВ (например включение, синхронизацию и обеспечение заданных режимов работы аппаратуры связи, перекоммутацию информационных потоков).
В блоке 28 согласно заданным критериям фиксируют факт окончания ИТВ. По окончанию воздействия сравнивают измеренные параметры ИТВ и значения параметров, полученные от независимых сторонних систем мониторинга.
В блоке 29 рассчитывают достоверность параметров, измеренных РСМ, быстродействие РСМ по обнаружению эксплуатационных отказов и сбоев, обнаружения действий CP и ИТВ.
В блоке 30 на основании проведенных расчетов достоверности и быстродействия РСМ оценивают правильность расстановки точек мониторинга и количества контролируемых параметров.
В блоке 31 при выявлении отклонений достоверности и быстродействия РСМ от требуемых значений осуществляют изменение количества контролируемых параметров и реконфигурируют РСМ.
Сформулированная задача изобретения подтверждается представленным расчетом заявленного способа.
Оценка эффективности заявленного способа производилась следующим образом. В качестве исходных данных использовались данные, указанные в фиг. 2, 3. На фигуре 2 представлен фрагмент РСМ и сети связи, где 1-6 точки коммутации и маршрутизации, на которых установлены точки мониторинга РСМ, 7-9 элементы сети связи (сервер). Между элементами 7-9 циркулируют информационные потоки, которые перенаправляются и распределяются в 1-6 точках коммутации и маршрутизации. Значения параметров, измеряемых в точках мониторинга, представлены в фигуре 3.
Расчет эффективности заявленного способа проводился в следующей последовательности.
На первом этапе осуществляется расчет корреляционных связей между контролируемыми параметрами всех элементов сети связи (исходные данные представлены на фигуре 3) для способа прототипа и заявленного способа по формуле (2):
,
Так как процесс расчета коэффициентов корреляции между контролируемыми параметрами технического состояния элементов сети связи измеряемых РСМ для предлагаемого способа и способа-прототипа идентичен, результаты расчетов также идентичны. Результаты вычислений представлены в фиг. 4.
Далее на основании оценки коэффициентов корреляции принимается решение о сокращении контролируемых параметров в каждой конкретной точке мониторинга.
Сокращение контролируемых параметров осуществляется согласно следующему критерию (statpsy.ru/correlation/velicina):
На основании рассчитанных значений коэффициентов корреляции (фиг. 4) и выбранного критерия (4) сокращают количество контролируемых параметров в каждой точке мониторинга. Результаты сокращения контролируемых параметров представлены в фиг. 5. Из чего следует, что количество контролируемых параметров сократилось с 42 до 24 параметров.
На втором этапе осуществляется расчет корреляционных связей между измеряемыми параметрами технического состояния в различных точках мониторинга (исходные данные представлены в фиг. 4, 5) для заявленного способа по формуле:
.
Результаты вычислений для заявленного способа представлены на фигурах 6-7. Согласно описанию способа-прототипа расчет корреляционных связей между измеряемыми параметрами технического состояния в различных точках мониторинга не осуществляется.
Таким образом в способе-прототипе единовременно обрабатывается 150 параметров технического состояния, при использовании заявленного способа единовременно обрабатывается 126 параметров технического состояния. Учитывая тот факт, что время обработки данных пропорционально зависит от объема входных данных справедливо считать, что отношения входных данных, полученных с использованием способа мониторинга, и заявленного пропорциональны отношению быстродействия распределенных систем мониторинга:
На основании того, что своевременность определения начала факта ведения CP и ИТВ прямо пропорционально зависит от быстродействия распределенной системы мониторинга, очевидно, что своевременность заявленного способа выше своевременности распределенной системы мониторинга использующей алгоритм способа прототипа выше на 16%.
Исходя из сравнения основных показателей способа прототипа и заявленного способа следует вывод, что заявленный способ расширяет возможности способа прототипа, за счет измерения и оценки контролируемых параметров CP и ИТВ, а также изменении количества точек мониторинга в зависимости от действий CP и ИТВ злоумышленника и ТС СС, повышает быстродействие распределенной системы мониторинга ТС СС, за счет сокращения количества точек мониторинга и повышает защищенность СС за счет своевременного определения начала, прогнозирования и принятия мер по противодействию ИТВ.
название | год | авторы | номер документа |
---|---|---|---|
СПОСОБ ИСПОЛЬЗОВАНИЯ ВАРИАНТОВ ПРОТИВОДЕЙСТВИЯ СЕТЕВОЙ И ПОТОКОВОЙ КОМПЬЮТЕРНЫМ РАЗВЕДКАМ И СЕТЕВЫМ АТАКАМ И СИСТЕМА ЕГО РЕАЛИЗУЮЩАЯ | 2018 |
|
RU2682108C1 |
СПОСОБ ОЦЕНКИ СПОСОБНОСТИ УЗЛА КОМПЬЮТЕРНОЙ СЕТИ ФУНКЦИОНИРОВАТЬ В УСЛОВИЯХ ИНФОРМАЦИОННО-ТЕХНИЧЕСКИХ ВОЗДЕЙСТВИЙ | 2016 |
|
RU2648508C1 |
Способ определения количества резервных линий связи, обеспечивающих устойчивое предоставление услуг электросвязи корпоративной сети связи | 2023 |
|
RU2824731C1 |
Адаптивная система мониторинга информационно-технических воздействий | 2019 |
|
RU2728763C1 |
СПОСОБ И УСТРОЙСТВО ОЦЕНКИ РАЗВЕДЫВАТЕЛЬНОЙ ДОСТУПНОСТИ УЗЛОВ КОММУТАЦИИ СЕТИ РАДИОСВЯЗИ | 2020 |
|
RU2751583C1 |
СПОСОБ ЗАЩИТЫ МОБИЛЬНЫХ УСТРОЙСТВ СВЯЗИ БЕСПРОВОДНЫХ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ ОТ ИНФОРМАЦИОННО-ТЕХНИЧЕСКИХ ВОЗДЕЙСТВИЙ | 2021 |
|
RU2757108C1 |
СПОСОБ КОНТРОЛЯ ДЕМАСКИРУЮЩИХ ПРИЗНАКОВ СИСТЕМЫ СВЯЗИ | 2009 |
|
RU2419153C2 |
Система выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий | 2019 |
|
RU2728289C1 |
СПОСОБ МОДЕЛИРОВАНИЯ ОЦЕНКИ УЩЕРБА, НАНОСИМОГО СЕТЕВЫМИ И КОМПЬЮТЕРНЫМИ АТАКАМИ ВИРТУАЛЬНЫМ ЧАСТНЫМ СЕТЯМ | 2016 |
|
RU2625045C1 |
СИСТЕМА ОБНАРУЖЕНИЯ КОМПЬЮТЕРНЫХ АТАК С АДАПТИВНЫМ ИЗМЕНЕНИЕМ КОМПЛЕКСНЫХ ПРАВИЛ | 2021 |
|
RU2782711C1 |
Изобретение относится к области телекоммуникаций, а именно к области диагностирования и контроля технического состояния информационно-телекоммуникационных сетей связи в условиях информационно-технических воздействий. Техническим результатом является создание способа мониторинга сетей связи в условиях ведения сетевой разведки и информационно-технических воздействий злоумышленника. Это достигается за счет измерения и оценки контролируемых параметров ведения сетевой разведки и информационно-технических воздействий, а также изменении количества точек мониторинга в зависимости от действий ведения сетевой разведки и информационно-технических воздействий злоумышленника и технического состояния элементов сети связи, а также за счет сокращения количества точек мониторинга, повышения защищенности элементов сети связи за счет своевременного определения начала прогнозирования и принятия мер по противодействию информационно-техническим воздействиям. 7 ил., 1 табл.
Способ мониторинга сетей связи в условиях ведения сетевой разведки и информационно-технических воздействий, заключающийся в том, что среди параметров сети связи (СС), сетевой разведки (CP) и информационно-технических воздействий (ИТВ) выделяют отдельные параметры, которые являются признаками технического состояния СС, ведения CP и ИТВ, сравнивают значения выделенных параметров с эталонными признаками исходного алфавита классов состояний и по результатам сравнения определяют группу классов возможного состояния в условиях ведения CP и ИТВ, сокращают количество контролируемых параметров состояния СС в условиях ведения CP и ИТВ за счет выявления сильной корреляционной зависимости между параметрами технического состояния СС, между параметрами CP и ИТВ, осуществляют контроль параметров СС, CP и ИТВ, с учетом динамики изменений выделенных контролируемых параметров осуществляют прогнозирование времени наступления критического (предотказового) состояния СС, отличающийся тем, что дополнительно измеряют параметры эксплуатационных отказов и сбоев на однотипных функционирующих сетях связи, измеряют параметры CP и ИТВ на однотипные функционирующие сети связи, сохраняют измеренные значения в блоке хранения данных, заносят измеренные значения в блок обработки данных, формируют физическую модель СС с учетом эксплуатационных отказов и сбоев, исходя из топологии создаваемой СС, определяют возможные места размещения точек мониторинга контролируемых параметров СС, CP и ИТВ, формируют физическую модель распределенной системы мониторинга (РСМ) технического состояния СС, сокращают количество точек мониторинга РСМ в условиях ведения CP и ИТВ за счет выявления сильной корреляционной зависимости между значениями параметров технического состояния СС в точках мониторинга в условиях эксплуатационных отказов и сбоев и параметрами CP и ИТВ, по заданной достоверности контроля технического состояния осуществляют контроль параметров СС, CP и ИТВ для случаев нормального функционирования СС, случаев эксплуатационных отказов и сбоев, ведения CP, ИТВ, изменяют количество точек мониторинга для нормального функционирования, формируют физические модели CP и ИТВ злоумышленника, моделируют функционирование СС и РСМ в условиях эксплуатационных отказов и сбоев, ведения CP и ИТВ, рассчитывают и оценивают достоверность измеренных параметров РСМ, изменяют количество и места расстановки точек мониторинга, рассчитывают параметры быстродействия распределенной системы мониторинга по обнаружению эксплуатационных отказов и сбоев, а также фактов ведения CP и ИТВ, разрабатывают мероприятия по противодействию CP и ИТВ, осуществляют развертывание и функционирование сети связи, осуществляют развертывание и функционирования РСМ для нормальных условий функционирования СС, устанавливают соединения с РСМ провайдера предоставляющего услуги связи и другими независимыми системами обнаружения ИТВ, во время функционирования СС проводят мониторинг технического состояния СС, параметров CP и ИТВ, при обнаружении эксплуатационных отказов и сбоев принимают меры по реконфигурации сети связи и устранению причин сбоя, при фиксации факта ведения CP включают все точки мониторинга и увеличивают количество контролируемых параметров CP и ИТВ, на основании имеющихся статистических данных прогнозируют параметры CP и ИТВ, а также параметры СС в условиях ведения ИТВ, при фиксации факта ведения ИТВ реконфигурируют РСМ путем сокращения контролируемых параметров и отключении некоторых точек мониторинга, на основании данных, полученных от РСМ, о параметрах ИТВ и прогнозируемых значений СС выполняют комплекс мероприятий по противодействию ИТВ, на основании заданных критериев фиксируют факт окончания ИТВ, по окончанию воздействия сравнивают измеренные параметры ИТВ и значения параметров, полученные от независимых сторонних систем мониторинга, рассчитывают достоверность параметров, измеренных РСМ, быстродействие РСМ по обнаружению эксплуатационных отказов и сбоев, обнаружения действий CP и ИТВ, на основании проведенных расчетов достоверности и быстродействия РСМ оценивают правильность расстановки точек мониторинга и контролируемых параметров, при выявлении отклонений достоверности и быстродействия РСМ от требуемых значений осуществляют изменение количества контролируемых параметров и реконфигурируют РСМ.
Авторы
Даты
2017-03-06—Публикация
2015-12-09—Подача