Изобретение относится к области инфокоммуникаций, а именно к обеспечению информационной безопасности цифровых систем связи, и, в частности, заявленный способ маскирования структуры сети связи предназначен для использования в распределенных сетях связи, построенных на основе сети связи общего пользования (например, Интернет).
Известен способ обеспечения корректировки маршрутов к абонентам сети, реализованный в «Способе корректировки маршрутов в сети передачи данных» по патенту РФ №2220190 МПК H04L 12/28, опубл. 10.10.1998 г.
Способ заключается в том, что поиск маршрутов доставки сообщений к абоненту осуществляется по сетевому адресу узла коммутации его текущей привязки. Выбор маршрутов к абоненту осуществляется на узлах коммутации по служебному корректирующему сообщению, содержащему сетевые адреса абонента, узла коммутации и код признака корректировки «запись», «стирание».
Недостатком данного способа является отсутствие адаптации к изменениям структуры сети связи. Это вызвано тем, что корректировка осуществляется децентрализовано и охватывает не всю сеть связи, а ее отдельные локальные участки. Отсутствие параметров выбора маршрутов к абоненту приводит к низкому качеству выбора.
Известен также способ обеспечения безопасности информации, циркулирующей в распределенной телекоммуникационной системе при передаче ее по каналам связи общего пользования, реализованный в «Распределенной телекоммуникационной системе для передачи разделенных данных, предназначенной для их раздельной передачи и приема» по патенту US №6912252 МПК H04L 12/56; H04L 12/28, опубл. 08.11.2001 г.
Способ заключается в выполнении следующих действий: исходные данные у отправителя разделяют на N частей. Далее из их комбинаций формируют группы промежуточных данных. Затем передают промежуточные данные независимо по N каналам связи. У получателя принимают группы промежуточных данных, пришедших по N каналам связи, и восстанавливают первоначальные данные.
Недостатком данного способа является относительно низкая скрытность связи и увеличение вероятности идентификации корреспондирующих субъектов в результате увеличения числа каналов связи между корреспондентами. Наличие транзитных узлов сети и каналов связи разных типов, обладающих низким уровнем безопасности, увеличивает потребность в ассортименте средств связи и создает предпосылки для перехвата нарушителями информационного обмена абонентов сети.
Известен также «Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети» по заявке на изобретение РФ №2004111798 МПК H04L 1/00, опубл. 10.05.2005 г.
Способ учитывает критерии качества маршрутов и информацию о структуре сети связи, включающую адреса узлов сети и наличие связи между ними. Для целевого адреса сети выбирают один маршрут, в соответствии с предварительно заданными критериями качества маршрутов, и передают по выбранному маршруту сообщения.
Недостатком указанного способа является относительно низкая скрытность связи при использовании выбранного маршрута информационного обмена абонентов в сети связи. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата нарушителями информационного обмена абонентов сети и реконструкции трафика распределенной сети в некоторой точке сети Интернет.
Известен также «Способ выбора безопасного маршрута в сети связи» по патенту РФ №2331158 МПК H04L 12/28, опубл. 10.08.2008 г.
Способ обеспечивает повышение скрытности связи за счет задания информации о структуре сети связи, исходных данных об узлах и абонентах сети, расчета комплексных показателей безопасности узлов сети, и на основе этих данных управления маршрутами информационного обмена абонентов в сети связи и выбора наиболее безопасного маршрута.
Недостатком указанного способа является низкая скрытность связи абонентов сети, обусловленная возможностью идентификации пакетов сообщений относительно конкретных пользователей сети и, следовательно, вскрытие структуры распределенной сети связи, в случае компрометации выбранного безопасного маршрута связи абонентов.
Известен также «Способ маскирования структуры сети связи» по патенту РФ №2645292 МПК H04L 12/28, опубл. 19.02.2018 г.
Способ обеспечивает повышение скрытности связи и затруднение идентификации абонентов сети несанкционированными абонентами за счет непрерывного изменения идентификаторов абонентов сети в передаваемых пакетах сообщений, передачи пакетов сообщений по всем допустимым маршрутам связи и передачи маскирующих сообщений по маскирующим маршрутам связи.
Недостатками указанного способа являются относительно высокая вероятность перегрузки абонентов сети обработкой маскирующих сообщений, обусловленная возможностью образования очередей пакетов сообщений у передающего абонента, занятого обработкой и передачей в сеть связи маскирующих сообщений, и ухудшение показателя своевременности доставки пакетов сообщений принимающему абоненту, что может привести к потере фрагментов пакетов сообщений, вызванной истечением предельно допустимого времени их пребывания на маршруте связи. Повторная передача потерянных пакетов сообщений приводит к дополнительной нагрузке на сеть связи и абонентов, а повторная передача потерянных маскирующих пакетов сообщений может привести к компрометации результатов маскирования структуры сети связи.
Известен также «Способ маскирования структуры сети связи» по патенту РФ №2682105 МПК H04L 12/28, опубл. 14.03.2019 г.
Способ обеспечивает повышение скрытности связи и затруднение идентификации структуры сети связи несанкционированными абонентами, а также устраняет ряд недостатков аналогов за счет динамического изменения длины пакетов маскирующих сообщений и выбора для каждого маскирующего маршрута связи узлов-терминаторов маскирующих сообщений. В аналоге достигают уменьшения времени ожидания в очереди пакетов сообщений у передающего абонента, а также улучшения показателя своевременности доставки пакетов сообщений принимающему абоненту.
Недостатками указанного способа является высокая вероятность ухудшения показателя своевременности доставки пакетов сообщений принимающему абоненту при высокой интенсивности пакетов маскирующих сообщений в случаях сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе, которые могут быть вызваны влиянием случайных и преднамеренных помех, и относительно низкая достоверность выбора узлов-терминаторов маскирующих сообщений, обусловленная отсутствием адаптации маскирующего маршрута связи к изменению структуры и параметров сети связи.
Наиболее близким аналогом (прототипом) по своей технической сущности к заявленному способу является «Способ маскирования структуры сети связи» по патенту РФ №2739151 МПК H04L 12/28, опубл. 24.03.2020 г.
Ближайший аналог обеспечивает улучшение показателя своевременности доставки пакетов сообщений принимающему абоненту при высокой интенсивности пакетов маскирующих сообщений в случаях сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе, которые могут быть вызваны влиянием случайных и преднамеренных помех, и повышения достоверности выбора узлов-терминаторов маскирующих сообщений. Указанный результат в прототипе достигается за счет мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе и адаптацией маскирующего маршрута связи к изменению структуры и параметров сети связи.
Недостатком указанного прототипа является относительно низкая результативность маскирования структуры сети связи, обусловленная тем, что результативность маскирования сети связи оценивается только локально, то есть по каждому информационному направлению и маскирующему маршруту связи независимо от других. Использованием прототипа невозможно синтезировать структуру сети маскирующего обмена и обосновать количественные значения показателя интенсивности маскирующего трафика в нескольких информационных направлениях.
Целью заявленного изобретения является разработка способа маскирования структуры сети связи, обеспечивающего повышение результативности маскирования структуры сети связи, за счет синтеза структуры сети маскирующего обмена, и вычисления количественных значений показателя интенсивности маскирующего трафика в нескольких информационных направлениях.
Указанный технический результат достигается тем, что в известном способе маскирования структуры сети связи, заключающемся в том, что для сети связи G, содержащей совокупность из X узлов сети связи, имеющих адреса IPX, предварительно задают исходные данные, содержащие информацию о структуре сети связи, включающую адрес сервера безопасности IРСБ и адреса абонентов IPa, подключенных к сети связи. Задают для каждого х-го узла сети связи, где x=1, 2,…,X, совокупность Y параметров безопасности и их значения bxy, где у=1,2,…, Y. Далее задают допустимое значение среднего показателя безопасности маршрута связи, а также массив памяти для хранения вычисленных значений максимально возможной длины MTU пакета сообщений, который может быть передан без фрагментации узлами сети связи, принадлежащими маскирующему маршруту связи . Затем задают массив памяти для хранения вычисленных значений длины каждого маскирующего маршрута связи , массив памятидля хранения значения интенсивности маскирующих сообщений, направленных отправителем получателю для каждого маскирующего маршрута связи и массив памяти для хранения значения интенсивности маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи . После чего задают массив памяти для хранения результатов вычисления коэффициента результативности терминации маскирующих сообщений для каждого маскирующего маршрута связи , значение допустимого коэффициента результативности терминации маскирующих сообщений. После этого вычисляют комплексный показатель безопасности для каждого t-го узла связи информационного направления еТ и формируют матрицу смежности вершин графа информационного направления еТ, для чего запоминают в структурном массиве адреса узлов связи IРУС и адреса абонентов IPa, а так же информацию о наличии связи между узлами и абонентами в информационном направлении eT. После чего формируют совокупность возможных маршрутов связи между i-м и j-м абонентами в информационном направлении eT, где i=1, 2,…, j=1, 2,…, и i≠j, в виде Nij деревьев графа информационного направления eT, причем каждое n-ое, где n=1,2,…,Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов связи информационного направления eT. Затем для каждого из Nij возможных маршрутов связи вычисляют средний показатель безопасности маршрута связи как среднее арифметическое комплексных показателей безопасности узлов связи информационного направления eT, входящих в n-ый маршрут связи. Затем сравнивают значения средних показателей безопасности маршрутов связи с предварительно заданным допустимым значением . По результатам сравнения в случае, если , то формируют допустимые маршруты связи и запоминают их. В противном случае, то есть если , то формируют маскирующие маршруты связи и запоминают их. Вычисляют длину каждого маскирующего маршрута связи , запоминают значение длины каждого маскирующего маршрута связи в массив памяти . Вычисляют значения MTU каждого узла сети связи, принадлежащего маскирующему маршруту связи и запоминают их в массиве памяти . Выбирают для каждого маскирующего маршрута связи узел-терминатор GT IP-пакетов маскирующих сообщений и запоминают его. Считывают из массива памяти значение MTU узла-терминатора GT IP-пакетов маскирующих сообщений и запоминают его. Затем формируют сообщения, включающие информацию о запомненных маскирующих маршрутах связи и значениях MTU узлов-терминаторов GT IP-пакетов маскирующих сообщений, и отправляют сформированные сообщения о запомненных маскирующих маршрутах связи , значениях MTU узлов-терминаторов GT IP-пакетов маскирующих сообщений и принимают их i-ми абонентами сети связи. Далее формируют маскирующие сообщения, содержащие маскирующую информацию, фрагментируют маскирующие сообщения на F фрагментов, сравнивают длину Lƒ каждого ƒ-го фрагмента с принятым значением MTU узла-терминатора GT IP-пакетов маскирующих сообщений. В случае, если длина Lƒ ƒ-го фрагмента меньше или равна принятому значению MTU узла-терминатора GT IP-пакетов маскирующих сообщений, то дефрагментируют маскирующие сообщения до значений длины Lƒ фрагментов большей принятого значения MTU узла-терминатора. В противном случае, то есть если длина Lƒ ƒ-го фрагмента больше принятого значения MTU узла-терминатора GT IP-пакетов маскирующих сообщений, то запрещают фрагментацию IP-пакета сообщений при его передаче по сети связи. Затем сформированные маскирующие сообщения передают по маскирующим маршрутам связи . Затем вычисляют значение интенсивности IP-пакетов маскирующих сообщений, направленных i-м отправителем j-му получателю для каждого маскирующего маршрута связи , запоминают значение интенсивности IP-пакетов маскирующих сообщений в массиве памяти . Вычисляют значение интенсивности IP-пакетов маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи , запоминают значение интенсивности IP-пакетов маскирующих сообщений в массиве памяти . После чего вычисляют значение коэффициента результативности терминации. IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи , запоминают значение коэффициента результативности терминации IP-пакетов маскирующих сообщений в массиве памяти . Далее сравнивают значения коэффициента результативности терминации IP-пакетов маскирующих сообщений со значением допустимого коэффициента результативности терминации IP-пакетов маскирующих сообщений. В случае, если , считывают значение длины маскирующего маршрута связи из массива памяти , устанавливают в служебном поле «Time То Live» заголовка IP-пакета маскирующих сообщений, передаваемых от отправителя, значение, равное уменьшенному на единицу значению длины маскирующего маршрута связи , переходят к передаче маскирующих сообщений по маскирующим маршрутам связи . В противном случае, то есть если , передают маскирующие сообщения по маскирующим маршрутам связи . Дополнительно в исходные данные задают информационные направления е, где е=1,2,…,E между узлами X сети связи G, задают для каждого х-го узла сети связи ранги r, где r=1,2,…, R, задают требуемое значение коэффициента сходства структуры сети маскирующего обмена с имитируемой структурой сети связи, задают массив памяти [T] для хранения выбранных и произвольно добавленных информационных направлений eT, образующих структуру сети маскирующего обмена ET. После чего задают массив памяти [S] для хранения количества s информационных направлений eT в ET, массив памяти [W] для хранения значений весового коэффициента we каждого информационного направления е, вычисляют значение весового коэффициента we каждого информационного направления е. Затем выбирают произвольно замещающий узел связи xT∈X для имитации узла связи наивысшего ранга r. Далее выбирают минимальное по значению весового коэффициента we смежное с выбранным замещающим узлом связи xT информационное направление eT и запоминают eT в массиве памяти [T]. Далее выбирают минимальное по весу we информационное направление eT смежное с ET и запоминают eT в массиве памяти [T]. Затем исключают информационное направление eT из массива памяти [T] в случае образования цикла на структуре ET. Далее вычисляют количество s информационных направлений в ET, и сравнивают его значение со значением (X-1). По результатам сравнения если количество s информационных направлений в ET меньше (Х-1), то действия по выбору минимального по весу we информационного направления eT смежного с ET и его запоминанию в массиве памяти [T] повторяют. В противном случае, то есть если количество информационных направлений в ET равно (Х - 1), то вычисляют коэффициент сходства KCX структуры сети маскирующего обмена ET с имитируемой структурой сети связи. Далее сравнивают коэффициент сходства KCX структуры сети маскирующего обмена ET с предварительно заданным требуемым значением если то в ET добавляют произвольно информационное направление, если то запоминают в [S] количество s информационных направлений в ET, затем вычисляют интенсивность маскирующего трафика каждого информационного направления в структуре сети маскирующего обмена ET. После формирования и запоминания маскирующих маршрутов уменьшают значение количества запомненных в [S] информационных направлений на единицу, и если значение количества запомненных в [S] информационных направлений больше нуля, то продолжают формирование допустимых и маскирующих маршрутов в структуре сети маскирующего обмена ET. В противном случае, то есть если значение количества запомненных в [S] информационных направлений равно нулю, то формирование допустимых и маскирующих маршрутов прекращают. После отправки сформированных сообщений о запомненных маскирующих маршрутах связи, значениях MTU узлов-терминаторов GT маскирующих сообщений и приема их i-ми абонентами сети устанавливают интенсивность передачи данных по маскирующему маршруту связи равной вычисленному значению .
Весовой коэффициент we каждого информационного направления е вычисляют по формуле , где λе - интенсивность передачи данных в информационном направлении е, λmax - максимальная интенсивность передачи данных в сети связи G.
Для имитации узла связи наивысшего ранга r произвольно выбирают любой узел связи хТ ∈ X.
Для вычисления длины каждого маскирующего маршрута суммируют количество узлов сети связи между i-м и j-м абонентами.
Для достижения требуемого значения коэффициента сходства KCX структуры сети маскирующего обмена ET с имитируемой структурой сети связи добавляют произвольно случайное информационное направление.
Коэффициент сходства KCX структуры сети маскирующего обмена ET с имитируемой структурой сети связи вычисляют по формуле где - компоненты признакового описания структуры имитируемой сети связи G и структуры сети маскирующего обмена ET.
Значение коэффициента результативности терминации маскирующих сообщений для каждого маскирующего маршрута связи вычисляют по формуле .
Интенсивность маскирующего трафика для информационных направлений e∉G, вычисляют по формуле , где λs - интенсивность трафика замещаемого информационного направления, ранг которого необходимо снизить маскирующим обменом, - интенсивность трафика замещающего информационного направления, ранг которого необходимо повысить маскирующим обменом.
Интенсивность маскирующего трафика в информационных направлениях е ∈ G, вычисляют по формуле .
Благодаря новой совокупности существенных признаков, за счет синтеза структуры сети маскирующего обмена и вычисления количественных значений показателя интенсивности маскирующего трафика в нескольких информационных направлениях, в заявленном способе обеспечивается повышение результативности маскирования структуры сети связи.
Заявленные объекты изобретения поясняются чертежами, на которых показаны:
фиг. 1 - пример структуры распределенной сети связи, иллюстрирующий ее реконструкцию нарушителем;
фиг. 2 - вариант структуры сети связи для иллюстрации порядка расчетов;
фиг. 3 - блок-схема последовательности действий, реализующих заявленный способ маскирования структуры сети связи;
фиг. 4 - представление массивов исходных данных;
фиг. 5 - структура сети связи с вычисленными весовыми коэффициентами информационных направлений;
фиг. 6 - результат построения минимального остовного дерева на исходной структуре сети связи;
фиг. 7 - структура сети маскирующего обмена;
фиг. 8 - пример определения функций информационных направлений и расчета маскирующей нагрузки;
фиг. 9 - интерпретация нарушителем результатов компьютерной разведки.
Заявленный способ реализуют следующим образом. В общем случае распределенные сети связи (фиг. 1a) строят для соединения абонентов сети 1 посредством сети связи общего пользования (например, Интернет), представляющей собой совокупность физических линий (каналов) связи 2, соединяющих собой X узлов сети 3 в единую инфраструктуру.
Различные серверы цифровых систем связи могут быть доступны или выделенной совокупности абонентов, как, например, сервер безопасности 4, или представлять собой общедоступные серверы 5 сети связи общего пользования (например, Интернет 6).
Целесообразно рассматривать случаи, когда количество узлов сети X больше двух. Все элементы инфраструктуры определяются идентификаторами, в качестве которых в наиболее распространенном семействе протоколов TCP/IP используют сетевые адреса (TP-адреса). При необходимости распределенной обработки информации и (или) ее передачи абоненты осуществляют подключение к сети связи общего пользования.
Множества адресов абонентов, подключенных к сети связи, и адресов узлов сети не пересекаются. Например, при использовании абонентами сервиса электронной почты схема связи абонентов включает в себя абонентов 1 Абi и Абj (фиг. 1б), сервер 5 электронной почты и каналы связи между ними 2. Абоненты 1 Абi и Абj и сервер 5 электронной почты используют уникальные IP-адреса.
При передаче пакетов сообщений по сетям связи общего пользования к абонентам сети, узлам сети и линиям (каналам) связи предъявляют требования информационной безопасности, характеризующие допустимые значения показателей безопасности элементов сети связи.
В случае (фиг. 1a) компрометации безопасного маршрута связи абонентов и получения нарушителем 7 несанкционированного доступа к элементам сети связи 2 и (или) 3 схема связи абонентов становится доступной нарушителю. Доступность схемы связи абонентов нарушителю обуславливается низкой скрытностью абонентов сети, использующих открытые IP-адреса, и возможностью идентификации по ним пакетов сообщений относительно конкретных пользователей сети и (или) узлов связи.
Например, на фиг. 1в, пользователи User №1 и User №2 (см. фиг. 1б) сгруппированы нарушителем в абонента Абi 1 по признаку использования ими одного IP-адреса, так как они подключены к сети связи общего пользования через один маршрутизатор (см. фиг. 1a). Структуры пакета сообщений и его IP-заголовка известны и представлены на фиг. 2. Использование абонентами для подключения к сети связи общего пользования одного маршрутизатора демаскирует их принадлежность к одному узлу связи. В то же время нарушитель наблюдает именно двух пользователей, сгруппированных в абонента Абi 1, так как между абонентами Абi и Абj кроме линии прямой связи существует альтернативный канал связи (показан на фиг. 1в пунктирной линией), включающий сервер электронной почты 5, что демаскируется полями «From» и «То» заголовка сообщения электронной почты, передаваемого абонентами. Структура служебных полей заголовка сообщения электронной почты известна и описана в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc822).
В подобных описанному на фиг. 1 случаях считают, что нарушитель реконструирует (вскрывает) структуру сети связи и может осуществлять деструктивные воздействия на все ее элементы, а сама структура сети связи обладает низкой скрытностью связи.
Реконструкция структуры сети связи происходит вследствие известности (открытости) структуры пакетов сообщений, где адреса отправителя и получателя демаскируют абонентов сети.
Для вскрытия структуры сети связи и осуществления деструктивных воздействий нарушитель располагает ограниченным ресурсом сил и средств. Это значит, что ему целесообразно осуществлять преднамеренные деструктивные воздействия на наиболее важный узел связи, сконцентрировав на нем все усилия, а подавление второстепенных осуществлять при наличии свободного ресурса.
Следовательно, необходимо маскировать структуру сети связи путем изменения интенсивности (объемов) трафика между узлами связи. Это позволит формировать у нарушителя ложное (неверное) представление о структуре сети связи и предотвращать деструктивные воздействия на объекты защиты или снижать их результативность и эффективность.
Для маскирования структуры сети связи реализуют маскирующий обмен. Передача маскирующих сообщений может осуществляться между абонентами Абi и Абj, а также между специально подключенными к сети связи общего пользования ложными абонентами Абƒ с помощью которых добиваются искажения структуры сети связи при ее реконструкции нарушителем. Возможен также вариант организации маскирующего обмена между абонентами Абi или Абj и ложными абонентами Абƒ 8, как это показано на фиг. 1б пунктирными линиями.
Результативность маскирующего обмена достигают увеличением объема трафика между узлами сети связи и формированием маскирующих (ложных) связей между узлами связи для искажения уровней их иерархии. Для этого необходимо в качестве исходных данных принять требуемую ложную структуру сети связи, которую требуется имитировать. Навязывание нарушителю такой структуры посредством реализации маскирующего обмена по синтезированной структуре сети маскирующего обмена вынудит его принимать решения в условиях неполноты и противоречивости информации, и некорректно определять первоочередные цели для информационно-технических воздействий (компьютерных атак). Степень близости сформированной структуры сети маскирующего обмена к ложной структуре (сходство, выражаемое, например, коэффициентом сходства) и определяет, в конечном итоге, результативность маскирующего обмена.
Рассмотрим вариант структуры распределенной сети связи. На фиг. 2 представлен вариант структуры сети связи для иллюстрации порядка расчетов. Сеть связи представляет собой совокупность из восьми (УС1, УС2, …, УС8) узлов сети 3, сервера безопасности 4 и абонентов сети 1, объединенных физическими линиями связи 2.
На фиг. 3 представлена блок-схема последовательности действий, реализующих заявленный способ маскирования структуры сети связи, в которой приняты следующие обозначения:
СБ - сервер безопасности;
- массив памяти для хранения значения интенсивности IP-пакетов маскирующих сообщений, направленных отправителем получателю для каждого маскирующего маршрута связи ;
- массив памяти для хранения значения интенсивности IP-пакетов маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи ;
- массив памяти для хранения значения коэффициента результативности терминации IP-пакетов маскирующих сообщений маскирующего маршрута связи ;
- массив памяти для хранения вычисленных значений максимально возможной длины MTU IP-пакета сообщений, который может быть передан без фрагментации узлами сети связи;
- массив памяти для хранения вычисленных значений длины каждого маскирующего маршрута связи ;
[Т] - массив памяти для хранения выбранных и произвольно добавленных информационных направлений eT, образующих структуру сети маскирующего обмена ЕТ;
[S] - массив памяти для хранения количества s информационных направлений eT в ЕТ;
[W] - массив памяти для хранения значения весового коэффициента we каждого ИН е;
Х - число узлов сети связи;
Y - число учитываемых параметров безопасности узлов сети;
bxy - значение y-го параметра безопасности x-го узла сети, где х=1,2,…,X, у=1,2,…, Y;
- комплексный показатель безопасности t-го узла связи информационного направления eT;
- средний показатель безопасности маршрута связи между i-м и j-м абонентами сети;
- допустимое значение среднего показателя безопасности маршрута связи между i-м и j-м абонентами сети;
Nij - количество деревьев графа сети связи, соответствующее совокупности возможных маршрутов связи между i-м и j-м абонентами сети, где i=1,2,…,j=1,2,…, и i≠j;
- количество допустимых маршрутов между i-м и j-м абонентами сети;
- количество маскирующих маршрутов между i-м и j-м абонентами сети;
Lƒ - длина ƒ-то фрагмента маскирующего сообщения;
- длина маскирующего маршрута связи ;
- значение коэффициента результативности терминации IP-пакетов маскирующих сообщений маскирующего маршрута связи ;
- значение допустимого коэффициента результативности терминации IP-пакетов маскирующих сообщений маскирующего маршрута связи ;
GT - узел-терминатор IP-пакетов маскирующих сообщений;
е - информационные направления в G;
eT - информационные направления, входящие в структуру сети маскирующего обмена ET;
r - ранги узлов сети связи;
- требуемое значение коэффициента сходства структуры сети маскирующего обмена с имитируемой структурой;
KCX - значение коэффициента сходства структуры сети маскирующего обмена с имитируемой структурой.
На начальном этапе в сервере безопасности задают исходные данные о сети связи G (бл. 1 на фиг. 3), включающую адрес сервера безопасности IРСБ, адреса узлов связи IРУС и адреса абонентов IPa, подключенных к сети связи, массив памяти для хранения вычисленных значений MTU (maximum transmission unit) - максимально возможной длины IP-пакета сообщений, который может быть передан без фрагментации узлами сети связи, принадлежащими маскирующему маршруту связи . В компьютерных сетях термин MTU означает максимально допустимый размер поля данных одного пакета, который может быть передан протоколом без фрагментации за одну итерацию (см., например, Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: учебник для вузов. - СПб.: Питер, 2003. - 864 с.: ил.). Значение MTU определяется стандартом соответствующего протокола, но может быть переопределено автоматически для определенного потока или вручную для нужного интерфейса. В большинстве типов локальных и глобальных сетей значения MTU отличаются. Основными значениями MTU в зависимости от интерфейса являются: Internet Path MTU для Х.25 - 576 байт; Ethernet II - 1500 байт; Ethernet с LLC и SNAP, РРРоЕ - 1492 байта; WLAN 802.11 - 2272 байта; 802.5 Token ring - 4464 байта; FDDI- 4478 байта.
Задают массив памяти для хранения значения интенсивности IP-пакетов маскирующих сообщений, направленных отправителем получателю для каждого маскирующего маршрута связи , массив памяти для хранения значения интенсивности IP - пакетов маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи , массив памяти для хранения результатов вычисления значения коэффициента результативности терминации IP-пакетов маскирующих сообщений маскирующего маршрута связи , массив памяти для хранения вычисленных значений длины каждого маскирующего маршрута связи , массив памяти [T] для хранения выбранных и произвольно добавленных информационных направлений eT, образующих структуру сети маскирующего обмена ET, массив памяти [S] для хранения количества s информационных направлений eT в ET, массив памяти [W] для хранения значения весового коэффициента we каждого информационного направления е.
Информационное направление - это совокупность маршрутов связи между смежными узлами связи.
Для каждого х-го узла сети, где х=1, 2,…,X, задают Y≥2 параметров безопасности и их значения bxy, где у=1, 2,…,Y. Задают допустимое значение среднего показателя безопасности маршрута. Перечисленные исходные данные представляют в виде таблиц (фиг. 4). Массив для хранения адреса сервера безопасности IРСБ, адресов узлов связи IРУС, адресов абонентов IPa сети, а также информации о наличии связи между ними (фиг. 4а), характеризуется только двумя значениями, «1»-наличие связи и «0»-ее отсутствие.
Параметры безопасности узлов сети определяют, например, в соответствии с ГОСТ Р ИСО/МЭК 15408-2012 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Значения bx1 параметра у=1 безопасности узлов сети определяют, например, по характеристикам производителей оборудования узлов сети, информацию о которых можно получить из физических адресов узлов сети. Физические адреса узлов сети представляют в виде шестнадцатеричной записи, например 00:10:5a:3F:D4:E1, где первые три значения определяют производителя (00:01:е3 - Siemens, 00:10:5а - 3Com, 00:03:ba - Sun). Например, для УС1 (х=1 на фиг. 4а) физический адрес которого 00:01:e3:3F:D4:E1, первые три значения определяют производителя Siemens, что соответствует значению параметра безопасности b11=0,3. Аналогично определяются значения bx1 параметра у=1 безопасности узлов сети УС2 - УС8, а так же значения bxy всех заданных Y≥2 параметров безопасности (фиг. 4б). В качестве остальных параметров безопасности узла сети можно рассматривать тип его оборудования, версию установленного на нем программного обеспечения, принадлежность узла государственной или частной организации и другие известные сведения.
Далее для ранжирования информационных направлений определяют весовой коэффициент we каждого информационного направления е (бл. 2 на фиг. 3). Весовой коэффициент we каждого информационного направления е вычисляют по формуле , где λе - интенсивность информационного обмена в информационном направлении, λmax - максимальная интенсивность информационного направления в G. Пусть в результате расчетов весовые коэффициенты we информационных направлений на предложенной структуре G примут значения, приведенные на фиг. 5 в квадратных ячейках на линиях связи (см. сноску 9). Приведенные в квадратных ячейках цифры означают долю интенсивности трафика в информационном направлении от интенсивности трафика в информационных направлениях узла связи УС1 (r=1, ранг №1), принятую в 100%.
Далее используя известный (см., например, Кормен, Т. Алгоритмы: построение и анализ / Т. Кормен, Ч. Лейзерсон, Р. Ривест, К. Штайн. - 3-е изд. - М: ООО «И.Д. Вильяме», 2013. - 1328 с.) математический аппарат построения минимальных остовных деревьев, необходимо по критерию минимальной интенсивности информационного обмена между узлами сети построить на структуре сети связи минимальное остовное дерево для сети маскирующего обмена, и модифицировать полученную оптимальную структуру до возможности получения допустимых структур сети связи.
Минимальным остовным деревом является ациклическое подмножество Т⊂G, которое соединяет все вершины структуры G и общий вес ребер Т которого минимален: .
Для имитации узла связи наивысшего ранга r выбирают узел связи xT ∈ X (бл. 3 на фиг. 3). Выбор такого узла связи может быть произвольным. Данный узел связи является исходной точкой для построения структуры сети маскирующего обмена. Узлом связи высшего ранга в представленной схеме является узел связи №1 (YC1 на фиг. 2). Пусть в соответствии с замыслом маскирования в качестве ложного узла связи высшего ранга выбирают (назначают) узел связи №7 (УС7 на фиг. 2).
Для построения минимального остовного дерева необходимо найти подграф в структуре сети связи, в котором вес ребер минимален (результат представлен сплошными ребрами графа на фиг. 6). Выбирают минимальное по весу we смежное с выбранным замещающим узлом связи xT информационное направление eT (бл. 4 на фиг. 3) и запоминают eT в массиве памяти [T] (бл. 5 на фиг. 3). Полученная структура, которая хранится в массиве памяти [T], включает выбранные и произвольно добавленные информационные направления eT, образующие структуру сети маскирующего обмена ET.
Выбирают минимальное по весу w информационное направление eT, смежное с ET (бл. 6 на фиг. 3), и запоминают eT в массиве памяти [Т] (бл. 7 на фиг. 3). Корректное построение минимального остовного дерева требует (см., например, Кормен, Т. Алгоритмы: построение и анализ / Т. Кормен, Ч. Лейзерсон, Р. Ривест, К. Штайн. - 3-е изд. - М: ООО «И.Д. Вильяме», 2013. - 1328 с.) исключать информационное направление из массива памяти [T] в случае образования цикла на структуре ET (бл. 8 на фиг. 3).
Вычисляют количество s информационных направлений в ET (бл. 9 на фиг. 3). Если количество s информационных направлений в ET меньше (Х-1), то действия по выбору минимального по весу w информационного направления eT смежного с ET и его запоминанию в массиве памяти [T] повторяют (бл. 10 на фиг. 3).
Построенная известными способами (см., например, Кормен, Т. Алгоритмы: построение и анализ / Т. Кормен, Ч. Лейзерсон, Р. Ривест, К. Штайн. - 3-е изд. - М: ООО «И.Д. Вильяме», 2013. - 1328 с.) структура (остовное дерево исходного графа сети связи) не будет отражать замысел маскирования, а будет являться минимальным подграфом заданного графа (фиг. 6). Необходимо достичь необходимой степени сходства имитируемых (навязываемых нарушителю) ложных структур сети связи и структуры сети маскирующего обмена. Коэффициент сходства KCX (степень близости сформированной структуры сети маскирующего обмена к ложной структуре сети связи) структуры сети маскирующего обмена ET с имитируемой структурой вычисляют (бл. 11 на фиг. 3) тогда, когда завершено построение минимального остовного дерева, то есть если количество информационных направлений в ET равно (X-1). Пусть, например, здесь и далее дополнительные ложные узлы связи в структуру сети связи не вводятся, а искажаются ранги существующих (в частности - инверсией их важности).
Теоретические основы для вычисления мер близости для количественных шкал подробно изложены в специальной литературе (см., например, Жамбю М. Иерархический кластер-анализ и соответствия: Пер. с фр. - М.: Финансы и статистика, 1988. - 342 с.; А.Е. Давыдов, Р.В. Максимов, O.K. Савицкий. Защита и безопасность ведомственных интегрированных инфокоммуникационных систем. - М.: ОАО «Воентелеком», 2015. - 520 с.), а автоматизацию расчетов реализуют, например, специальным программным обеспечением «SPSS Statistics» (см., например, https://ru.wikipedia.org/wiki/SPSS).
Для сравнения структур, задаваемых матрицами смежностей, подходит использование Евклидова расстояния, когда коэффициент сходства вычисляют по формуле: , где Gij и - компоненты признакового описания структуры имитируемой сети связи G и структуры сети маскирующего обмена ET.
Возможно применение и других формул для расчета. Например, в «Способе обнаружения удаленных атак на автоматизированные системы управления» по патенту РФ №2264649 МПК G06F 12/14, опубл. 20.11.2005 г. коэффициент сходства рассчитывают по формуле , переменные в которой применительно к
сравнению структур необходимо интерпретировать следующим образом:
N11 - количество признаков, общих для сравниваемых структур;
N00 - количество признаков, отсутствующих в сравниваемых структурах;
N10 - количество признаков i-й структуры, отсутствующих в j-й структуре;
N01 - количество признаков, отсутствующих в i-й структуре, но имеющихся в в j-й структуре.
Применение других известных мер близости, таких как корреляция Пирсона, обобщенное степенное расстояние Минковского, расстояние Козина и др. в целом дает аналогичные результаты.
После вычисления коэффициента сходства KCX сравнивают его значение с предварительно заданным требуемым значением (бл. 12 на фиг. 3), если , то в Е произвольно добавляют информационное направление (бл. 13 на фиг. 3). Такое изменение структуры сети маскирующего обмена необходимо для достижения требуемого значения коэффициента сходства KCX структуры сети маскирующего обмена с имитируемой структурой сети связи. При этом такую модификацию структуры сети маскирующего обмена ET осуществляют путем произвольного выбора случайного информационного направления. Поскольку прямых (расчетных) методов синтеза для структур не существует (задача синтеза структур относится к классу NP-полных, как это описано, например, в книге А.Е. Давыдов, Р.В. Максимов, O.К. Савицкий. Защита и безопасность ведомственных интегрированных инфокоммуникационных систем. - М.: ОАО «Воентелеком», 2015. - 520 с.), то такую задачу решают путем «синтез через анализ», перебирая случайные информационные направления наугад, используя опыт и интуицию лиц, принимающих решения, или методом полного перебора.
В случае, если , то запоминают в [S] количество s информационных направлений в ET (бл. 14 на фиг. 3).
Выполнение условия означает, что требуемая структура сети маскирующего обмена - получена (фиг. 7). Далее для ее реализации необходимо определить функции информационных направлений в сети связи G и рассчитать интенсивность маскирующего трафика.
После запоминания количества s информационных направлений в ET вычисляют интенсивность маскирующего трафика каждого информационного направления в структуре сети маскирующего обмена ET (бл. 15 на фиг. 3).
При этом интенсивность маскирующего трафика для информационных направлений е ∉ G, то есть для информационных направлений, которые отсутствуют в исходной структуре сети связи и созданы для достижения необходимого сходства с имитируемой структурой посредством полной утилизации маскирующим трафиком, вычисляют по формуле: , где λs - интенсивность трафика замещаемого информационного направления, ранг которого необходимо снизить маскирующим обменом, - интенсивность трафика замещающего информационного направления, ранг которого необходимо повысить маскирующим обменом.
Интенсивность маскирующего трафика для информационных направлений е ∈ G, то есть для информационных направлений, которые организованы в исходной структуре сети связи и которые необходимо частично утилизировать маскирующим обменом вычисляют по формуле
При реализации полученной структуры сети маскирующего обмена учитывают следующее:
для информационных направлений, которые не входят в ET информационный обмен определяется только конструктивным трафиком, в соответствии со структурой сети связи G;
для информационных направлений, которые входят в ET, но отсутствуют в исходной структуре сети связи G, информационный обмен определяется только маскирующим трафиком;
для остальных информационных направлений, которые входят в ET информационный обмен задается и конструктивным, и маскирующим трафиком.
Пример определения функций информационных направлений и расчета маскирующей нагрузки на структуре сети связи представлен в таблице на фиг. 8. Принятые в таблице сокращения:
КТ - конструктивный (исходный) трафик;
МТ - маскирующий трафик;
ИН - информационное направление.
В первом (слева направо) столбце таблицы записаны наименования информационных направлений е и eT между узлами связи YC1 - УС8. Во втором - интенсивность исходного (конструктивного) трафика в каждом информационном направлении. В третьем столбце приведено значение каждого информационного направления при построении минимального остовного дерева и, далее, структуры сети маскирующего обмена:
замещаемое - его весовой коэффициент необходимо исказить (снизить) маскирующим обменом;
замещающее - его весовой коэффициент необходимо исказить (повысить) маскирующим обменом.
Информационные направления w18, w48, w57 отсутствуют в исходной структуре и предназначены для передачи только маскирующего трафика.
При таком способе расчета маскирующей нагрузки неизбежны следующие ограничения. Если замещаемое информационное направление совпадает с замещающим (см. w28 в табл. на фиг. 8), то интенсивность либо не меняется, либо такое информационное направление замещает произвольно выбранное информационное направление исходной структуры (в табл. w28 замещает w14). Так как маскирующий трафик не может иметь отрицательное значение (т.е. снизить интенсивность конструктивного трафика), то нет решения по замещению информационного направления с большей интенсивностью.
Затем для каждого х-го узла информационного направления eT по значениям bxy его параметров безопасности вычисляют комплексный показатель безопасности (бл. 16 на фиг. 3).
Комплексный показатель безопасности для каждого x-го узла информационного направления eT вычисляют путем суммирования , или перемножения , или как среднее арифметическое значение его параметров безопасности bxy.
Принципиально способ вычисления не влияет на результат выбора безопасного маршрута.
Возможен утилитарный подход к определению комплексных показателей безопасности для каждого t-го узла, когда их задают бинарно - опасный узел, либо безопасный узел, в последнем случае полагая, что его безопасность доказана, но количественные значения показателей безопасности недоступны лицам, принимающим решение на выбор маршрута.
Далее формируют матрицу смежности вершин графа сети информационного направления eT (бл. 17 на фиг. 3), для чего запоминают в структурном массиве (фиг. 4а) адреса узлов связи eT IРУС и адреса абонентов IPa сети, а также информацию о наличии связи между узлами и абонентами в информационном направлении.
Способы формирования матриц смежности вершин графа известны (см., например, Басакер Р., Саати Т. Конечные графы и сети. - М.: Наука, 1973, 368 с.).
Формируют совокупность возможных маршрутов связи между i-м и j-м абонентами eT (бл. 18 на фиг. 3), где i=1, 2,…,j=1, 2,…, и i≠j, в виде Nij деревьев графа сети связи. Каждое n-ое, где n=1,2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети. Порядок формирования деревьев графа известен и описан (см., например, Кристофидес Н. Теория графов: Алгоритмический подход. Пер. с англ. - М.: Мир, 1978, 432 с.).
Общее число Nij деревьев графа сети связи между i-м и j-м абонентами сети может быть определено различными методами. В заявленном способе общее число Nij деревьев графа находят с использованием матрицы смежности по формуле: , где Bo=М×Н - преобразованная матрица смежности вершин графа сети связи, а М=Мр - 1, Н - соответственно число строк и столбцов матрицы, Мр - число строк исходной матрицы смежности, равное общему количеству узлов сети связи; - транспонированная матрица к Во. Удаляя одну строку матрицы В, получают матрицу Во, а затем транспонированную к ней матрицу . Порядок получения транспонированной матрицы известен и описан (см., например, Г. Корн, Т. Корн. Справочник по математике для научных работников и инженеров. - М: Наука, 1977 г.).
Построение маршрутов связи между абонентами на основе деревьев графа еТ обеспечивает нахождение всех возможных маршрутов связи и их незамкнутость, т.е. исключает неприемлемые для передачи сообщений замкнутые маршруты.
Для обоснования и объективного выбора допустимых и маскирующих маршрутов связи из совокупности Nij возможных маршрутов связи между i-м и j-м абонентами в eT вычисляют средние показатели безопасности (бл. 19 на фиг. 3) как среднее арифметическое комплексных показателей безопасности узлов связи, входящих в n-ый маршрут связи .
Далее сравнивают значения средних показателей безопасности маршрутов с предварительно заданным допустимым значением (бл. 20 на фиг. 3). Те маршруты, значения средних показателей безопасности которых удовлетворяют условию , запоминают как допустимые маршруты (бл. 21 на фиг. 3) и используют для последующей передачи по ним конструктивного трафика.
В том случае, если по результатам сравнения комплексных показателей безопасности маршрутов с предварительно заданным допустимым значением выявляют те маршруты, что удовлетворяют условию , то такие маршруты запоминают как маскирующие маршруты (бл. 22 на фиг. 3) и используют для последующей передачи по ним маскирующих (ложных) сообщений и введения нарушителей в заблуждение относительно структуры сети связи.
В том случае, если по результатам сравнения комплексных показателей безопасности маршрутов с предварительно заданным допустимым значением маршруты, что удовлетворяют условию не выявлены, то для выбора маскирующих маршрутов необходимо снизить требования к допустимому значению среднего показателя безопасности маршрута связи между i-м и j-м абонентами в информационном направлении eT.
Вычисление комплексных показателей безопасности узлов и средних показателей безопасности маршрутов дает основание для объективного выбора допустимых и маскирующих маршрутов связи между абонентами сети. В результате расчетов и маскирования структуры сети связи достигают исключения транзитных узлов сети, обладающих низким уровнем безопасности, который указывает на высокую вероятность несанкционированного перехвата передаваемых абонентами сообщений на маршруте. Выбранные допустимые маршруты связи между i-м и j-м абонентами проходят через транзитные узлы сети, обладающие максимально высокими уровнями безопасности, что снижает вероятность перехвата нарушителями информационного обмена абонентов сети.
Известные протоколы маршрутизации (routing protocols), такие как RIP, OSPF, NLSP, BGP предназначены для передачи пользовательской информации с маршрутизацией от источника (source specified routing) и обеспечивают в способе обмен информацией по заданному маршруту (см., например, Олифер В.Г. и Олифер Н.А. «Компьютерные сети. Принципы, технологии, протоколы.», уч. для Вузов, 5-е изд.; - СПб.: Питер, 2015). Таким образом, у абонентов имеется возможность передачи сообщений именно по заданному маршруту.
После формирования и запоминания маскирующих маршрутов eT уменьшают значение количества запомненных в [S] информационных направлений ET на единицу (бл. 23 на фиг. 3). Затем сравнивают полученное значение с 0 (бл. 24 на фиг. 3). Такое сравнение необходимо для выбора допустимых и маскирующих маршрутов для всех информационных направлений eT сети маскирующего обмена ET.
Если S>0, то продолжают формирование допустимых и маскирующих маршрутов в информационных направлениях eT. Если S=0, то формирование допустимых и маскирующих маршрутов прекращают (бл. 25 на фиг. 3).
После завершения формирования допустимых и маскирующих маршрутов вычисляют длину каждого маскирующего маршрута посредством суммирования количества узлов сети связи между i-м и j-м абонентами и запоминают вычисленные значения в массиве памяти (бл. 26 на фиг. 3).
После вычисления длины каждого маскирующего маршрута вычисляют (бл. 27 на фиг. 3) значения MTU каждого узла сети (определяют по передающему интерфейсу узла сети - маршрутизатора), принадлежащего маскирующему маршруту и запоминают их в массиве памяти (бл. 28 на фиг. 3). Передача между узлами сети пакетов сообщений с длиной, большей значения MTU, без фрагментации невозможна. Для вычисления значения MTU каждого узла сети, принадлежащего маскирующему маршруту, применяют процедуру Path MTU Discovery, как это описано, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc1191). Другим вариантом вычисления значения MTU каждого узла сети, принадлежащего маскирующему маршруту, является применение процедуры установления связи с каждым узлом сети, для чего отправляют каждому узлу сети TCP-пакеты сообщений с установленным флагом SYN служебного поля FLAGS в заголовке TCP-пакета сообщений (см., например, https://tools.ietf.org/html/rfc4413). После этого принимают ответный пакет сообщений, содержащий сегмент Maximum Segment Size поля опций заголовка TCP-пакета сообщений, считывают его значение и добавляют к этому значению значение длины заголовка IP-пакета сообщений. В качестве значения сегмента Maximum Segment Size абонент записывает максимально допустимую длину данных, которые он готов принять, и для фрагмента маскирующих сообщений абонент устанавливает это значение относительно малым так, чтобы оно было меньше любого MTU на протяжении маскирующего маршрута между отправляющей и принимающей стороной.
Рассчитанные значения MTU каждого узла сети запоминают в массиве памяти в виде таблицы (фиг. 4г).
Для передачи маскирующих (ложных) сообщений и введения нарушителей в заблуждение относительно структуры сети связи выбирают для каждого маскирующего маршрута связи G узел-терминатор GT IP-пакетов маскирующих сообщений и запоминают его (бл. 29 на фиг. 3).
Под термином «узел-терминатор маскирующих сообщений» понимают узел сети, принадлежащий маскирующему маршруту связи, который прекращает дальнейшую передачу пакетов маскирующих сообщений, если длина g-го фрагмента сообщения больше принятого на узле-терминаторе значения MTU. При сравнении длины Lƒ ƒ-го фрагмента сообщения с принятым значением MTU узла-терминатора GT IP-пакетов маскирующих сообщений учитывают длину служебной части пакета сообщения, добавляемую при передаче адресату к каждому пакету сообщений.
Выбор узла-терминатора GT IP-пакетов маскирующих сообщений необходим для того, чтобы улучшить показатель своевременности доставки пакетов сообщений принимающему абоненту. Этого достигают тем, что пакеты маскирующих сообщений не будут доставляться принимающему абоненту (если он не является ложным - см. Абƒ 8 фиг. 1 б), а будут уничтожаться на узле-терминаторе. Например, для структуры, показанной на фиг. 1 а, если пакеты маскирующих сообщений передают между абонентами Абj и Абi по маскирующему маршруту через узлы сети УС3, УС4 и УС1, то нарушитель перехватит анализаторами протоколов 7 пакеты маскирующих сообщений из УС4 и канала (линии) связи между УС3 и УС4, а пакеты маскирующих сообщений будут уничтожены на выбранном в качестве узла-терминатора УС1. В результате принимающий абонент Абi не будет перегружен маскирующими сообщениями, и показатель своевременности доставки ему конструктивных (не маскирующих) сообщений будет улучшен.
В том случае, если принимающий абонент является ложным, то в качестве узла-терминатора GT IP-пакетов маскирующих сообщений выбирают принимающего абонента.
Затем считывают и запоминают (бл. 30 на фиг. 3) из массива памяти значение MTU узла-терминатора GT IP-пакетов маскирующих сообщений.
Далее формируют сообщения, включающие информацию о запомненных маскирующих маршрутах связи и значениях MTU узлов-терминаторов GT IP-пакетов маскирующих сообщений, отправляют сформированные сообщения абонентам сети (бл. 31 на фиг. 3) и принимают их i-ми абонентами сети (бл. 32 на фиг. 3).
Таким образом, каждого абонента сети уведомляют о маскирующих маршрутах ко всем остальным абонентам, а также о значениях MTU, которые необходимо устанавливать для маскирующих сообщений, чтобы они уничтожались на выбранном узле-терминаторе каждого маскирующего маршрута.
После отправки сформированных сообщений о запомненных маскирующих маршрутах связи, значениях MTU узлов-терминаторов GT маскирующих сообщений и принятии их i-ми абонентами сети устанавливают (бл. 33 на фиг. 3) интенсивность (скорость) передачи данных по маскирующему маршруту связи равной вычисленному значению . Затем формируют маскирующие сообщения (бл. 34 на фиг. 3).
Для формирования маскирующих сообщений генерируют ложные исходные пакеты данных, в информационную часть которых записывают случайную или произвольную цифровую последовательность (случайную последовательность сигналов логический «0» и логическая «1»).
После формирования маскирующих сообщений, содержащих маскирующую информацию, фрагментируют (бл. 35 на фиг. 3) маскирующие сообщения на F фрагментов. Фрагментация маскирующих сообщений необходима для уменьшения среднего времени нахождения в очереди конструктивных (немаскирующих) пакетов, имеющих больший приоритет при отправке в сеть. Однако фрагментированные маскирующие сообщения могут иметь длину меньшую, чем MTU узла-терминатора. Для устранения этого противоречия необходимо сравнивать (бл. 36 на фиг. 3) длину Lƒ каждого ƒ-го фрагмента с принятым значением MTU узла-терминатора GT IP-пакетов маскирующих сообщений. Сравнение необходимо для того, чтобы определить, будет ли уничтожен пакет маскирующего сообщения на узле-терминаторе. При сравнении длины Lƒ каждого ƒ-го фрагмента с принятым значением MTU узла-терминатора GT IP-пакетов маскирующих сообщений учитывают длину служебной части пакета сообщения, добавляемую при передаче адресату к каждому пакету сообщений. И в случае, если длина Lƒ ƒ-го фрагмента больше принятого значения MTU узла-терминатора GT IP-пакетов маскирующих сообщений, то запрещают фрагментацию IP-пакета маскирующих сообщений (бл. 38 на фиг. 3) при его передаче по сети связи. Для запрещения фрагментации IP-пакета сообщений при его передаче по сети связи устанавливают в единицу значение флага DF (Do not Fragment) «не фрагментировать» в заголовке IP-пакета сообщений. Установка этого флага в единицу означает запрет фрагментации (см., например, https://tools.ietf.org/html/rfc791) на узле-терминаторе, что приводит к запрету ретрансляции пакета сообщений дальше узла-терминатора.
В противном случае, то есть если длина Lƒ ƒ-го фрагмента меньше или равна принятого значения MTU узла-терминатора GT маскирующих сообщений, то дефрагментируют маскирующие сообщения до значений длины Lƒ фрагментов большей принятого значения MTU узла-терминатора (бл. 37 на фиг. 3), для чего объединяют между собой два или более фрагмента маскирующих сообщений. Таким образом, за счет динамического изменения длины пакетов маскирующих сообщений, достигают уменьшения среднего времени ожидания в очереди пакетов сообщений у передающего абонента.
Далее передают сформированные маскирующие сообщения по маскирующим маршрутам связи (бл. 39 на фиг. 3).
Затем, после передачи сформированных маскирующих сообщений по маскирующим маршрутам связи , вычисляют значение интенсивности IP-пакетов маскирующих сообщений, направленных i-м отправителем j-му получателю для каждого маскирующего маршрута связи (бл. 40 на фиг. 3), запоминают значение интенсивности IP-пакетов маскирующих сообщений в массиве памяти (бл. 41 на фиг. 3).
Вычисляют значение интенсивности IP-пакетов маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи (бл. 42 на фиг. 3), далее запоминают значение интенсивности IP-пакетов маскирующих сообщений в массиве памяти (бл. 43 на фиг. 3).
Ненулевое значение может быть вызвано неверным выбором значений MTU IP-пакетов маскирующих сообщений или отказами (сбоями) их терминации на узле-терминаторе.
Для обеспечения снижения вероятности ухудшения показателя своевременности доставки пакетов сообщений принимающему абоненту при высокой интенсивности пакетов маскирующих сообщений после мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе вычисляют коэффициент результативности терминации IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи (бл. 44 на фиг. 3) и запоминают значение коэффициента результативности терминации IP-пакетов маскирующих сообщений в массиве памяти (бл. 45 на фиг. 5). Значение коэффициента результативности терминации IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи вычисляют по формуле .
Далее сравнивают значения коэффициента результативности терминации IP-пакетов маскирующих сообщений со значением допустимого коэффициента результативности терминации IP-пакетов маскирующих сообщений (бл. 46 на фиг. 3).
В случае, если , считывают значение длины маскирующего маршрута связи из массива памяти (бл. 47 на фиг. 3). Устанавливают i-м абонентом сети связи в служебном поле «Time То Live» заголовка IP-пакета маскирующих сообщений, передаваемых от отправителя, значение, равное уменьшенному на единицу значению длины маскирующего маршрута связи , (бл. 48 на фиг. 3). При использовании интернет-протокола 6 версии (IPv6) для передачи маскирующих сообщений используется служебное поле «Нор Limit», означающее количество ретрансляций IP-пакета на его пути следования от отправителя к получателю, значение которого устанавливают равное уменьшенному на единицу значению длины маскирующего маршрута связи.
Далее переходят к передаче маскирующих сообщений по маскирующим маршрутам связи (бл. 49 на фиг. 3).
В противном случае, то есть если , переходят к передаче маскирующих сообщений по маскирующим маршрутам связи (бл. 49 на фиг. 3).
В результате построения структуры сети маскирующего обмена и реализации на ней маскирующего обмена в сети связи в соответствии с предложенным способом нарушитель, осуществляя компьютерную разведку путем мониторинга и анализа алгоритмов функционирования сети связи, интерпретируя результаты разведки, получит ложную структуру сети связи, в которой ранги узлов связи искажены (фиг. 9), а показатель своевременности доставки пакетов сообщений принимающему абоненту будет улучшен за счет выбора узлов-терминаторов маскирующих сообщений, адаптации маскирующих маршрутов связи к изменению структуры и параметров сети связи, мониторинга сбоев (отказов) терминации пакетов маскирующих сообщений на узле-терминаторе.
Так, узлом связи первого (высшего) ранга будет считаться УС7 (фиг. 9), который в исходной структуре сети связи имеет третий (низший) ранг. С другой стороны, УС1, который в исходной схеме информационных направлений был узлом связи первого (высшего) ранга, после построения структуры сети маскирующего обмена и реализации маскирующего обмена будет идентифицирован как узел связи третьего (низшего) ранга. Кроме того, в рамках построения сети маскирующего обмена возможно введение ложных узлов связи и информационных направлений, что еще больше затруднит вскрытие структуры сети связи и правильную идентификацию важности ее элементов. Поскольку в заявленном способе используют построение минимального остовного дерева, то полученное решение следует считать оптимальным.
Таким образом заявленным способом маскирования структуры сети связи за счет синтеза структуры сети маскирующего обмена, и вычисления количественных значений показателя интенсивности маскирующего трафика в нескольких информационных направлениях обеспечивают повышение результативности маскирования структуры сети связи.
название | год | авторы | номер документа |
---|---|---|---|
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ | 2023 |
|
RU2794532C1 |
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ | 2022 |
|
RU2793104C1 |
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ | 2020 |
|
RU2739151C1 |
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ | 2018 |
|
RU2682105C1 |
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ | 2016 |
|
RU2645292C2 |
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ | 2017 |
|
RU2668979C2 |
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ | 2017 |
|
RU2656839C1 |
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ | 2023 |
|
RU2805354C1 |
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ | 2022 |
|
RU2789810C1 |
СПОСОБ СРАВНИТЕЛЬНОЙ ОЦЕНКИ СТРУКТУР СЕТИ СВЯЗИ | 2016 |
|
RU2626099C1 |
Изобретение относится к области информационной безопасности систем связи. Техническим результатом является повышение результативности маскирования структуры сети связи за счет синтеза структуры сети маскирующего обмена и вычисления количественных значений показателя интенсивности маскирующего трафика в нескольких информационных направлениях. В способе вычисляют значение весового коэффициента we каждого информационного направления е, затем выбирают произвольно замещающий узел связи для имитации узла связи наивысшего ранга r, выбирают минимальное по значению весового коэффициента we смежное с выбранным замещающим узлом связи xT информационное направление eT и запоминают eT в массиве памяти [T], далее выбирают минимальное по весу we информационное направление eT, смежное с ET, и запоминают eT в массиве памяти [T], вычисляют коэффициент сходства KCX структуры сети маскирующего обмена ET с имитируемой структурой сети связи, далее сравнивают коэффициент сходства KCX структуры сети маскирующего обмена ET с предварительно заданным требуемым значением КсхТреб, если Ксх<КсхТреб, то в ET добавляют произвольно информационное направление, если Ксх>КсхТреб, то запоминают в [S] количество s информационных направлений в ET, затем вычисляют интенсивность маскирующего трафика λem каждого информационного направления в структуре сети маскирующего обмена ET. 8 з.п. ф-лы, 14 ил.
1. Способ маскирования структуры сети связи, заключающийся в том, что для сети связи G, содержащей совокупность из X узлов сети связи, имеющих адреса IPX, предварительно задают исходные данные, содержащие информацию о структуре сети связи, включающую адрес сервера безопасности IРСБ и адреса абонентов IPa, подключенных к сети связи, задают для каждого х-го узла сети связи, где х=1, 2,…,X, совокупность Y параметров безопасности и их значения bxy, где у=1,2,…, Y, допустимое значение среднего показателя безопасности маршрута связи, массив памяти для хранения вычисленных значений максимально возможной длины MTU пакета сообщений, который может быть передан без фрагментации узлами сети связи, принадлежащими маскирующему маршруту связи , массив памяти для хранения вычисленных значений длины каждого маскирующего маршрута связи , массив памяти для хранения значения интенсивности маскирующих сообщений, направленных отправителем получателю для каждого маскирующего маршрута связи , массив памяти для хранения значения интенсивности маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи , массив памяти для хранения результатов вычисления коэффициента результативности терминации маскирующих сообщений для каждого маскирующего маршрута связи , значение допустимого коэффициента результативности терминации маскирующих сообщений, вычисляют комплексный показатель безопасности для каждого t-го узла связи информационного направления eT, формируют матрицу смежности вершин графа информационного направления eT, для чего запоминают в структурном массиве адреса узлов связи IPУС и адреса абонентов IPa, а так же информацию о наличии связи между узлами и абонентами в информационном направлении eT, после чего формируют совокупность возможных маршрутов связи между i-м и j-м абонентами в информационном направлении eT, где i=1,2,…, j=1,2,…, и i≠j, в виде Nij деревьев графа информационного направления eT, причем каждое n-ое, где n=1,2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов связи информационного направления eT, затем для каждого из Nij возможных маршрутов связи вычисляют средний показатель безопасности маршрута связи как среднее арифметическое комплексных показателей безопасности узлов связи информационного направления eT, входящих в n-ый маршрут связи, сравнивают значения средних показателей безопасности маршрутов связи с предварительно заданным допустимым значением , по результатам сравнения в случае, если , формируют допустимые маршруты связи и запоминают их, в противном случае, то есть если , то формируют маскирующие маршруты связи и запоминают их, вычисляют длину каждого маскирующего маршрута связи , запоминают значение длины каждого маскирующего маршрута связи в массив памяти , вычисляют значения MTU каждого узла сети связи, принадлежащего маскирующему маршруту связи , и запоминают их в массиве памяти , выбирают для каждого маскирующего маршрута связи узел-терминатор GT IP-пакетов маскирующих сообщений и запоминают его, считывают из массива памяти значение MTU узла-терминатора GT IP-пакетов маскирующих сообщений и запоминают его, формируют сообщения, включающие информацию о запомненных маскирующих маршрутах связи и значениях MTU узлов-терминаторов GT IP-пакетов маскирующих сообщений, отправляют сформированные сообщения о запомненных маскирующих маршрутах связи , значениях MTU узлов-терминаторов GT IP-пакетов маскирующих сообщений и принимают их i-ми абонентами сети связи, формируют маскирующие сообщения, содержащие маскирующую информацию, фрагментируют маскирующие сообщения на F фрагментов, сравнивают длину Lƒ каждого ƒ-го фрагмента с принятым значением MTU узла-терминатора GT IP-пакетов маскирующих сообщений, и в случае, если длина Lƒ ƒ-го фрагмента меньше или равна принятому значению MTU узла-терминатора GT IP-пакетов маскирующих сообщений, то дефрагментируют маскирующие сообщения до значений длины Lƒ фрагментов, большей принятого значения MTU узла-терминатора, в противном случае, то есть если длина Lƒ ƒ-го фрагмента больше принятого значения MTU узла-терминатора GT IP-пакетов маскирующих сообщений, то запрещают фрагментацию IP-пакета сообщений при его передаче по сети связи, затем сформированные маскирующие сообщения передают по маскирующим маршрутам связи , затем вычисляют значение интенсивности IP-пакетов маскирующих сообщений, направленных i-м отправителем j-му получателю для каждого маскирующего маршрута связи , запоминают значение интенсивности IP-пакетов маскирующих сообщений в массиве памяти , вычисляют значение интенсивности IP-пакетов маскирующих сообщений, не терминированных на узле-терминаторе и полученных принимающим абонентом для каждого маскирующего маршрута связи , запоминают значение интенсивности IP-пакетов маскирующих сообщений в массиве памяти , вычисляют значение коэффициента результативности терминации IP-пакетов маскирующих сообщений для каждого маскирующего маршрута связи , запоминают значение коэффициента результативности терминации IP-пакетов маскирующих сообщений в массиве памяти , сравнивают значения коэффициента результативности терминации IP-пакетов маскирующих сообщений со значением допустимого коэффициента результативности терминации IP-пакетов маскирующих сообщений, и в случае, если , считывают значение длины маскирующего маршрута связи из массива памяти, устанавливают в служебном поле «Time То Live» заголовка IP-пакета маскирующих сообщений, передаваемых от отправителя, значение, равное уменьшенному на единицу значению длины маскирующего маршрута связи , переходят к передаче маскирующих сообщений по маскирующим маршрутам связи , а в противном случае, то есть если , передают маскирующие сообщения по маскирующим маршрутам связи , отличающийся тем, что дополнительно в исходные данные задают информационные направления е, где е=1, 2,…,E между узлами X сети связи G, задают для каждого х-го узла сети связи ранги r, где r=1, 2,…, R, задают требуемое значение коэффициента сходства структуры сети маскирующего обмена с имитируемой структурой сети связи, задают массив памяти [T] для хранения выбранных и произвольно добавленных информационных направлений eT, образующих структуру сети маскирующего обмена ET, массив памяти [S] для хранения количества s информационных направлений eT в ET, массив памяти [W] для хранения значений весового коэффициента we каждого информационного направления е, вычисляют значение весового коэффициента we каждого информационного направления е, затем выбирают произвольно замещающий узел связи xT∈Х для имитации узла связи наивысшего ранга r, выбирают минимальное по значению весового коэффициента we смежное с выбранным замещающим узлом связи xT информационное направление eT и запоминают eT в массиве памяти [T], далее выбирают минимальное по весу we информационное направление eT смежное с ET и запоминают eT в массиве памяти [T], исключают информационное направление eT из массива памяти [T] в случае образования цикла на структуре ET, далее вычисляют количество s информационных направлений в ET, и сравнивают его значение со значением (X-1), и по результатам сравнения если количество s информационных направлений в ET меньше (X-1), то действия по выбору минимального по весу we информационного направления eT смежного с ET и его запоминанию в массиве памяти [T] повторяют, в противном случае, то есть если количество информационных направлений в ET равно (X-1), то вычисляют коэффициент сходства KCX структуры сети маскирующего обмена ET с имитируемой структурой сети связи, далее сравнивают коэффициент сходства KCX структуры сети маскирующего обмена ET с предварительно заданным требуемым значением если то в ET добавляют произвольно информационное направление, если то запоминают в [S] количество s информационных направлений в ET, затем вычисляют интенсивность маскирующего трафика каждого информационного направления в структуре сети маскирующего обмена ET, затем после формирования и запоминания маскирующих маршрутов уменьшают значение количества запомненных в [S] информационных направлений на единицу, и если значение количества запомненных в [S] информационных направлений больше нуля, то продолжают формирование допустимых и маскирующих маршрутов в структуре сети маскирующего обмена ET, в противном случае, то есть если значение количества запомненных в [S] информационных направлений равно нулю, то формирование допустимых и маскирующих маршрутов прекращают, после отправки сформированных сообщений о запомненных маскирующих маршрутах связи, значениях MTU узлов-терминаторов GT маскирующих сообщений и приема их i-ми абонентами сети устанавливают интенсивность передачи данных по маскирующему маршруту связи , равной вычисленному значению
2. Способ по п. 1, отличающийся тем, что весовой коэффициент we каждого информационного направления е вычисляют по формуле где λе - интенсивность передачи данных в информационном направлении е, λmax - максимальная интенсивность передачи данных в сети связи G.
3. Способ по п. 1, отличающийся тем, что для имитации узла связи наивысшего ранга r произвольно выбирают любой узел связи xT ∈ X.
4. Способ по п. 1, отличающийся тем, что для вычисления длины каждого маскирующего маршрута суммируют количество узлов сети связи между i-м и j-м абонентами.
5. Способ по п. 1, отличающийся тем, что для достижения требуемого значения коэффициента сходства KCX структуры сети маскирующего обмена ET с имитируемой структурой сети связи добавляют произвольно случайное информационное направление.
6. Способ по п. 1, отличающийся тем, что коэффициент сходства KCX структуры сети маскирующего обмена ET с имитируемой структурой сети связи вычисляют по формуле , где Gij и - компоненты признакового описания структуры имитируемой сети связи G и структуры сети маскирующего обмена ET.
7. Способ по п. 1, отличающийся тем, что значение коэффициента результативности терминации маскирующих сообщений для каждого маскирующего маршрута связи вычисляют по формуле .
8. Способ по п. 1, отличающийся тем, что интенсивность маскирующего трафика для информационных направлений e∉G вычисляют по формуле где λs - интенсивность трафика замещаемого информационного направления, ранг которого необходимо снизить маскирующим обменом, - интенсивность трафика замещающего информационного направления, ранг которого необходимо повысить маскирующим обменом.
9. Способ по п. 1, отличающийся тем, что интенсивность маскирующего трафика в информационных направлениях е∈G вычисляется по формуле
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ | 2020 |
|
RU2739151C1 |
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ | 2016 |
|
RU2645292C2 |
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ | 2018 |
|
RU2682105C1 |
СПОСОБ СРАВНИТЕЛЬНОЙ ОЦЕНКИ СТРУКТУР СЕТИ СВЯЗИ | 2016 |
|
RU2626099C1 |
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ | 2018 |
|
RU2690749C1 |
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ | 2017 |
|
RU2668979C2 |
СПОСОБ МАСКИРОВАНИЯ СТРУКТУРЫ СЕТИ СВЯЗИ | 2016 |
|
RU2622842C1 |
US 6912252 B2, 28.06.2005 | |||
US 6577601 B1, 10.06.2003. |
Авторы
Даты
2021-11-09—Публикация
2021-01-28—Подача