СПОСОБ УПРАВЛЕНИЯ ПОТОКАМИ ДАННЫХ РАСПРЕДЕЛЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ

Изобретение относится к области обеспечения информационной безопасности и может быть использовано для управления потоками данных в целях повышения защищенности распределенных информационных систем (РИС) посредством формирования маршрутов передачи данных с учетом вероятности возникновения события безопасности на элементах РИС и с учетом максимальной возможной для заданной сети скорости передачи данных при заданном коэффициенте ошибок.

В настоящее время существует ряд систем управления потоками данных, основанных на применении различных межсетевых экранов (TW 243555, H04L 9/00; H04L 12/22; H04L 29/06; H04L 9/00; H04L 12/22; H04L 29/06; опубл. 2005-11-11).

Межсетевые экраны в этих системах используются для фильтрации нежелательного сетевого трафика, причем правила фильтрации определяются для протоколов транспортного и сетевого уровней эталонной модели взаимосвязи открытых систем (согласно ГОСТ Р ИСО/МЭК 7498-1-99 "Взаимосвязь открытых систем. Базовая эталонная модель").

Основное назначение межсетевых экранов - это защита сети, к которой непосредственно подключен межсетевой экран (защищаемой сети), от атак из других, внешних сетей. Поэтому межсетевые экраны можно применять для управления доступом к ресурсам и сервисам защищаемой сети извне, но неудобно применять для контроля доступа из защищаемой сети в другие сети и сложно применять для управления доступом пользователей к ресурсам и серверам в рамках одной сети. Данный недостаток усугубляется тем, что из правил фильтрации невозможно однозначно определить, какие сетевые взаимодействия могут осуществляться, а какие нет, поскольку это зависит от последовательности событий.

Выявление определенных событий возможно также в системах обнаружения вторжений (US 7424744, G06F 11/00; G06F 11/00, опубл. 2008-09-09). Однако они не осуществляют управление потоками данных, а лишь уведомляют систему об обнаружении нежелательного трафика и в ряде случаев производят его частичную фильтрацию.

Известен также «Сетевой коммутатор» патент WO 2008077320, H04L 12/28, опубл. 03.07.2008, который осуществляет управление потоками данных в вычислительной сети путем коммутации сетевых пакетов. В сетевом коммутаторе для определения порта назначения передаваемых сетевых пакетов применяется таблица соответствия между портами коммутатора и сетевыми адресами подключенных к ним сетевых устройств.

Недостатком известного устройства является коммутация потоков данных без учета требований безопасности и ограничений на доступ. Кроме того, в большинстве коммутаторов таблица соответствия заполняется в процессе работы, что приводит к возможности переполнения этой таблицы и нарушению нормальной работы сетевого коммутатора.

Наиболее близким по технической сущности к предлагаемому способу является «Способ управления потоками данных защищенных распределенных информационных систем в сети шифрованной связи» патент RU №2402881, МПК H04L 9/32, опубл. 27.10.2010 г., бюл. №30. Способ-прототип заключается в следующих действиях: задают таблицу коммутации, определяющую соответствие между портами устройства подключения и сетевыми адресами соединенных с ним устройств, управляют коммутацией сетевых соединений с использованием динамической таблицы коммутации, определяющей разрешенные маршруты передачи потоков данных, выявляют события безопасности в передаваемом потоке данных, временно блокируют поток данных при обнаружении событий безопасности, анализируют обнаруженное событие для принятия решения о допустимости передачи связанного с этим событием потока данных, изменяют динамическую таблицу коммутации в зависимости от правил дополнительно определенной политики безопасности, блокируют поток либо передают его по назначению в зависимости от разрешения динамической таблицей коммутации сетевого взаимодействия, которое реализуется этим потоком данных.

Недостатком способа-прототипа является относительно низкая защищенность распределенной информационной системы, обусловленная тем, что при управлении потоками данных не учитывается статистика по возникновению событий безопасности на элементах ИТКС, а также не учитываются максимально возможные скорости передачи данных для конкретной (заданной) сети при заданном коэффициенте ошибок.

Целью заявленных технических решений является разработка способа управления потоками данных распределенных информационных систем, обеспечивающего повышение защищенности РИС за счет изменения сформированных маршрутов передачи данных с учетом требуемой вероятности возникновения события безопасности на элементах ИТКС, а также учета максимально возможной скорости передачи данных при заданном коэффициенте ошибки.

Технический результат:

повышение защищенности передаваемых информационных потоков за счет управления маршрутами передачи на основе учета вероятности возникновения события безопасности, а также учета максимально возможной скорости передачи данных для заданной сети при заданном коэффициенте ошибки.

Технический результат достигается тем, что в известном способе управления потоками данных защищенных распределенных информационных систем, заключающемся в том, что осуществляют управление коммутацией сетевых соединений с использованием динамической таблицы коммутации, определяющей разрешенные маршруты передачи потоков данных, при этом осуществляют выявление событий безопасности в передаваемом потоке данных, при обнаружении события безопасности временно блокируют поток данных, анализируют обнаруженное событие для принятия решения о допустимости передачи связанного с этим событием потока данных, при необходимости вносят изменения в динамическую таблицу коммутации, в зависимости от того, разрешено ли динамической таблицей коммутации сетевое взаимодействие, которое реализуется этим потоком данных, поток либо передают по назначению, либо блокируют, дополнительно задают требуемый коэффициент битовой ошибки потока данных в линии связи , количество существующих линий связи I; минимальную скорость передачи тестовой последовательности ϑ_min, максимальную (конечную) скорость передачи тестовой последовательности в i-той линии связи ϑ_{max i}, требуемую скорость передачи данных ϑ_тр, шаг увеличения скорости передачи тестовой последовательности Δϑ; требуемую вероятность возникновения события безопасности на маршруте передачи данных , матрицу коммутации, матрицу связности, матрицу вероятностей возникновения события безопасности, определяют максимально возможные скорости передачи данных при заданном коэффициенте ошибок на всех линиях связи, для чего выбирают первую линию связи, генерируют тестовую последовательность, устанавливают максимальную возможную скорость передачи данных для данной линии связи; передают тестовую последовательность; принимают тестовую последовательность; подсчитывают число ошибочно принятых символов; рассчитывают коэффициент ошибок; если коэффициент ошибок больше требуемого, то уменьшают скорость передачи данных на заданную величину и повторяют вышеперечисленные действия по определению коэффициента ошибок, если коэффициент ошибок меньше или равен требуемому, то запоминают значения максимально возможной скорости передачи данных и коэффициента ошибок в матрице M, повторяют вышеперечисленные действия по определению максимально возможной скорости передачи данных для всех существующих линий связи; формируют маршрут с учетом заданных требований по вероятности наступления события безопасности и скорости передачи данных, для чего вносят изменения в матрицу связности с учетом заданной вероятности наступления события безопасности; формируют маршрут с учетом заданной скорости передачи данных; если маршрут отсутствует, то изменяют требуемые значения вероятности наступления события безопасности и скорости передачи данных и повторяют действия по формированию маршрута с учетом заданных требований по вероятности наступления события безопасности и скорости передачи данных; если маршрут существует, передают поток данных.

Заявленный способ поясняется чертежами:

фиг. 1 - блок-схема алгоритма управления потоками данных распределенной информационной системы;

фиг. 2 - вариант распределенной информационной системы;

фиг. 3 - фрагмент матрицы связности;

фиг. 4 - фрагмент динамической таблицы коммутации;

фиг. 5 - фрагмент матрицы вероятностей возникновения события безопасности;

фиг. 6 - фрагмент матрицы максимально возможных скоростей передачи потоков данных.

Реализацию заявленного способа можно пояснить при помощи блок-схемы, представленной на фиг. 1, и схемы распределенной информационной системы (РИС), представленной на фиг. 2.

В общем случае распределенная информационная система представляет собой совокупность сетевых узлов (маршрутизаторов, концентраторов, коммутаторов, ПЭВМ), объединенных физическими линиями связи [Патент РФ RU 2509425, МПК H04L 9/32, G06F 21/60, опубл. 10.03.2014 г., бюл. №7]. Вариант распределенной информационной системы представлен в виде графа на фиг. 2, где 1, 2, 3, 4, 5, 6, 7 - сетевые узлы РИС. Данная РИС может быть описана матрицей связности (фиг. 3).

Матрица связности имеет размер m×m, где m - количество сетевых узлов РИС. Элемент матрицы, стоящий в i-ой строке и j-ом столбце, равен 1, если между i-ым и j-м узлом существует линия связи, и равен 0 в противном случае.

Также для РИС задается динамическая таблица коммутации, определяющая разрешенные маршруты передачи потоков данных [патент RU №2402881, МПК H04L 9/32, опубл. 27.10.2010 г., бюл. №30].

Потоком данных (или информационным потоком) называют непрерывную последовательность данных, объединенных набором общих признаков, выделяющих их из общего сетевого трафика [В.Г. Олифер, Н.А. Олифер. Компьютерные сети. Принципы, технологии, протоколы (4-е издание). - СПб. - 2012 г., стр. 63].

Вариант динамической таблицы коммутации представлен на фиг. 4. Динамическая таблица коммутации имеет размер m×m, где m - количество сетевых узлов РИС. Элемент таблицы, стоящий в i-ой строке и j-ом столбце, равен 1, если между i-ым и j-м разрешена передача потока данных, и равен 0 в противном случае.

Кроме того, в предлагаемом способе задается двумерная матрица вероятностей возникновения события безопасности на сетевых узлах РИС. Пример матрицы вероятностей возникновения события безопасности представлен на фиг. 5. В данной матрице номеру узла ставятся в соответствие вероятность появления события безопасности на данном узле исходя из статистических данных, собранных в процессе функционирования сети.

Событием безопасности является идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики безопасности или на отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности [ГОСТ Р ИСО/МЭК 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности, стр. 2].

Событие безопасности может возникнуть в любой случайный момент и продолжаться произвольный отрезок времени.

Суть предлагаемого способа заключается в следующем:

В блоке 1 происходит ввод данных. Исходными данными являются:

- - требуемый коэффициент битовой ошибки потока данных в линии связи;

- I - количество существующих линий связи;

- ϑ_min минимальная (начальная) скорость передачи тестовой последовательности;

- ϑ_{max i} максимальная (конечная) скорость передачи тестовой последовательности в i-той линии связи;

- ϑ_тр - требуемая (заказанная) потребителем скорость передачи данных;

- Δϑ шаг увеличения скорости передачи тестовой последовательности;

- - требуемая (заказанная) потребителем вероятность возникновения события безопасности на маршруте передачи данных;

- матрица связности;

- динамическая таблица коммутации;

- матрица вероятностей возникновения события безопасности.

В блоке 2 выбирают первую линию связи, входящую в состав распределенной информационной системы. Счетчику i присваивают значение 1.

В блоке 3 в любой заранее определенной комбинации (например, 0101…0101) генерируют тестовую последовательность, состоящую из n бит. Характеристики тестовой последовательности известны на приемной и передающей стороне.

В блоке 4 устанавливают максимальное значение скорости передачи тестовой последовательности ϑ_max.

В блоке 6 (на передающей стороне) с заданной скоростью подают на вход линии связи сгенерированную тестовую последовательность, состоящую из n импульсов.

В блоке 7 (на приемной стороне) осуществляют прием переданной тестовой последовательности.

В блоке 8 побитно сравнивают переданную и принятую тестовую последовательности и подсчитывают количество ошибочно принятых бит.

В блоке 9 рассчитывают коэффициент битовой ошибки. Коэффициент битовых ошибок - отношение числа ошибочно принятых бит (символов) к общему числу бит ("Средства измерений электросвязи сетей подвижной связи стандарта gsm 900/1800. Технические требования. РД 45.301-2002" (утв. Минсвязи РФ, введен Приказом Минсвязи РФ от 04.04.2003 N 34))

где n_ош - число ошибочно принятых символов;

n_общ - общее число принятых символов.

В блоке 10 проверяют выполнение условия:

В случае невыполнения условия, в блоке 5 уменьшают скорость передачи тестовой последовательности на заданный шаг Δϑ и повторяют действия, начиная от передачи тестовой последовательности (блок 6 фиг. 1) до проверки выполнения условия (2).

В случае выполнения условия (2) переходят к блоку 11, где запоминают скорость передачи тестовой последовательности ϑ и коэффициент ошибок K_ош в матрицу маршрутов максимально возможных скоростей передачи потоков данных M (фиг. 6).

Проверяют, для всех ли линий связи определены максимально возможные скорости передачи потоков данных и коэффициент ошибок.

В случае выполнения условия переходят к блоку 14.

В противном случае увеличивают значение счетчика i на 1, выбирают следующую линию связи и повторяют действия по определению максимально возможной скорости передачи потоков данных и коэффициента ошибок, начиная от генерации тестовой последовательности (блок 3 фиг. 1) до проверки условия, все ли линии пройдены (блок 12 фиг. 1).

В блоке 14 проверяют соответствие значений, полученных в ходе сбора статистики вероятностей возникновения событий безопасности, к требуемым (заданным потребителем). Элементы (узлы) сети, на которых вероятность возникновения событий безопасности превышает требуемое (заданное) значение, исключаются из матрицы связности и в формировании маршрута не участвуют.

В блоке 15 осуществляют формирование маршрута с учетом требуемой (заказанной) потребителем скорости передачи данных. Минимальная скорость передачи данных на любом участке маршрута должна быть больше или равна скорости, требуемой (заказанной) потребителем. Маршрут может формироваться по алгоритму Дейкстры (Национальный открытый институт ИН-ТУИТ. Введение в теорию графов. Лекция 9: Алгоритм Дейкстра поиска кратчайших путей в графе. URL: http://www.intuit.ru/studies/courses/1033/241/lecture/6224 URL: http://ru.wikipedia.org/wiki/Алгоритм_Дейкстры), весами дуг при формировании маршрута будет максимально возможная скорость передачи данных при заданном коэффициенте ошибок.

В блоке 16 проверяют наличие сформированного маршрута. Если маршрут отсутствует, то изменяют требуемые значения вероятности возникновения события безопасности или скорости передачи данных и повторяют действия по формированию маршрута с учетом заданных требований по вероятности возникновения события безопасности (блок 14) и скорости передачи данных (блок 15); если маршрут существует то переходят к блоку 18 и передают поток данных

В блоке 18 осуществляют передачу потока данных.

В блоке 19 осуществляют проверку потока данных и выявление событий безопасности. При выявлении событий безопасности в блоке 20 поток данных временно блокируют. В блоке 21 производят анализ события безопасности для принятия решения о допустимости передачи связанного с этим событием потока данных, при необходимости в блоке 22 вносят изменения в динамическую таблицу коммутации.

В зависимости от того, разрешено ли динамической таблицей коммутации сетевое взаимодействие, которое реализуется этим потоком данных, поток либо передают по назначению (блок 24), либо блокируют (блок 25).

Таким образом, за счет учета вероятности возникновения события безопасности на элементах (узлах) РИС и учета максимально возможной скорости передачи данных при заданном коэффициенте ошибок обеспечивается достижение технического результата.