Система выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий

Изобретение относится к области информационной безопасности компьютерных сетей, а именно к средствам мониторинга информационной безопасности и минимизации ущерба от информационно-технических воздействий.

Анализ инцидентов информационной безопасности показывает, что существенный ущерб причиняют групповые разнородные информационно-технических воздействия.

Под групповыми разнородными информационно-техническими воздействиями понимается применение в ходе одного воздействия нескольких классов компьютерных атак, таких как компьютерная разведка, MITM-атака, DDoS-атаки, Фишинговая-атака, SQL-инъекции и др. [Гречишников Е.В., Добрышин М.М. Подход к моделированию узла компьютерной сети как объект разнородных компьютерных атак проводимых одновременно / Сборник трудов IV Межвузовской научно-практической конференции «Проблемы технического обеспечения войск в современных условиях: Военная академия связи. – Санкт-Петербург. –2019. – С. 19-23].

Стратегия применения групповых разнородных информационно-технических воздействий – последовательность применения информационно-технических воздействий скоординированных во времени, направленных на достижение цели воздействия (блокирование, модификация или подмена защищаемой информации) и осуществляемые как на один уровень эталонной модели взаимодействия открытых систем (ЭМВОС), так и на разные уровни [Гречишников Е.В., Добрышин М.М. Подход к моделированию узла компьютерной сети как объект разнородных компьютерных атак проводимых одновременно / Сборник трудов IV Межвузовской научно-практической конференции «Проблемы технического обеспечения войск в со-временных условиях: Военная академия связи. – Санкт-Петербург. –2019. – С. 19-23].

Стратегия защиты от групповых разнородных информационно-технических воздействий – последовательность применения (в том числе и автоматическое) средств и способов защиты от выявленных информационно-технических воздействий.

Под пользовательским интерфейсом понимается интерфейс, обеспечивающий передачу информации между пользователем-человеком и программно-аппаратными компонентами компьютерной системы [Systems and software engineering – Vocabulary. INTERNATIONAL STANDARDISO/IEC/IEEE 24765:2017 [Электронный ресурс] URL: http:\\standards.iso.org/ittf/PubliclyAvailableStandards/c071952_ISO_IEC_IEEE_24765_2017.zip#en].

Информационно-техническое воздействие – совокупность специально организованной информации, информационных технологий, способов и средств, позволяющих целенаправленно изменять (уничтожать, искажать), копировать, блокировать информацию, преодолевать системы защиты, ограничивать допуск законных пользователей, осуществлять дезинформацию, нарушать функционирование систем обработки информации, дезорганизовывать работу технических средств, компьютерных систем и информационно-вычислительных сетей, а также другой инфраструктуры высокотехнологического обеспечения жизни общества и функционирования системы управления государством, применяемое в ходе информационной операции для достижения поставленных целей [Макаренко С. И. Информационное оружие в технической сфере: терминология, классификация, примеры / Системы управления, связи и безопасности № 3. 2016 / URL: http://sccs.intelgr.com/archive/2016-03/11-Makarenko.pdf].

Под организационно-техническими системами понимается совокупность технических, организационных, управленческих и методических систем, а так же персонал использующий их [Аверченков В.И. Автоматизация проектирования комплексных систем защиты информации: монография/ В.И. Аверченков, М.Ю. Рытов, О.М. Голембиовская – Брянск: БГТУ, 2012. – 139 с.].

Известно «Устройство измерения качества каналов связи передачи цифровой информации» (патент РФ № 2230437, H04B 17/00 опубл. 10.06.2004 г. Бюл. № 16.). Устройство содержит индикатор работоспособности, анализатор, элемент И, измеряемый приемник, первый блок переключения, оконечная аппаратура, второй блок переключения, блок измерения исправляющих способностей приемника, блок контроля оконечной аппаратуры, блок измерения коэффициента исправного действия.

Известно «Устройство диагностирования каналов передачи цифровой информации» (патент РФ № 2473114, G06F 11/30, H04B 17/00 опубл. 20.01.2013 г. Бюл. № 2.) Устройство содержит измеряемые приемники, первый блок переключения, оконечную аппаратуру, второй блок переключения, блок измерения коэффициента исправного действия, индикатор работоспособности, анализатор, элемент И, блок измерения исправляющих способностей приемника, блок контроля оконечной аппаратуры, устройство управления, устройство вероятностного прогнозирования, блок расчета коэффициента оперативной готовности, система цифровой обработки сигналов.

Наиболее близким по технической сущности и выполняемым функциям аналогом (прототипом) к заявленному, является «Система определения причин отказа в обслуживании, вызванного эксплуатационными отказами и сбоями и (или) информационно-техническими воздействиями» (патент РФ № 2680742, G06F 11/30 G06F 21/00 опубл. 26.02.2019 Бюл. № 6). Указанная система включает: n - комплектов средств измерения физических параметров канала связи; m-комплектов оконечной аппаратуры; g – комплектов пользовательского интерфейса; блок анализа физических параметров канала связи; блок анализа сетевого потока; блок оценки качества предоставляемых услуг связи; блок контроля значений параметров системы; базы данных и блока визуализации. Первый выход n - комплектов средств измерения физических параметров канала связи соединен со входом блока анализа физических параметров канала связи, второй выход n - средств измерения физических параметров канала связи соединен с входом m - комплектов оконечной аппаратуры; первый выход m - комплектов оконечной аппаратуры соединен с входом блока анализа сетевого потока, второй выход соединен с g – комплектами пользовательских интерфейсов; выход g – комплектов пользовательских интерфейсов соединен со входом блока оценки качества предоставляемых услуг связи; выходы блоков анализа физических параметров канала связи, блока анализа сетевого потока и блока оценки качества предоставляемых услуг связи соединены с первым входом блока контроля значений параметров системы, второй вход блока контроля значений параметров системы соединен с выходом базы данных.

Техническая проблема: низкая защищенность узлов связи от групповых разнородных информационно-технических воздействий, из-за низкой обоснованности применения имеющихся средств и способов противодействия групповым разнородным информационно-техническим воздействиям вызванной низкой достоверностью выявления групповых разнородных информационно-технических воздействий.

Решение технической проблемы обеспечивается за счет создания системы выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий, использование которой позволяет на основе идентификации и классификации к одиночным или групповыми разнородными информационно-техническими воздействиями, сформировать обоснованную последовательность применения средств и способов противодействия информационно-техническим воздействиям.

Технический результат: повышение защищенности узлов связи от групповых разнородных информационно-технических воздействий, путем повышения обоснованности применения имеющихся средств и способов противодействия информационно-техническим воздействиям за счет повышения достоверности выявления групповых разнородных информационно-технических воздействий.

Техническая проблема решается тем, что в систему выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий состоящую из n - комплектов средств измерения физических параметров канала связи [Программно-аппаратный информационный комплекс AnCom KMC. Каталог, описание товаров AnCom: URL: https://ancom.nt-rt.ru/images/showcase/catalog_ancom.pdf]; m-комплектов оконечной аппаратуры [Программно-аппаратный информационный комплекс AnCom TDA-9. Каталог, описание товаров AnCom: URL: https://ancom.nt-rt.ru/images/showcase/catalog_ancom.pdf]; g – комплектов пользовательского интерфейса [Программно-аппаратный информационный комплекс AnCom AnCom AT-9/FXO. Каталог, описание товаров AnCom: URL: https://ancom.nt-rt.ru/images/showcase/catalog_ancom.pdf]; блока анализа физических параметров канала связи [блок возможно реализовать при помощи среды моделирования AnyLogic 5.3.1]; блока анализа сетевого потока [блок возможно реализовать при помощи среды моделирования AnyLogic 5.3.1]; блок оценки качества предоставляемых услуг связи [блок возможно реализовать при помощи среды моделирования AnyLogic 5.3.1]; блока контроля значений параметров системы; базы данных [Microsoft – SQL Server] и блока визуализации [формирование изображения и графической информации с помощью мониторов компьютера].

Первый выход n - комплектов средств измерения физических параметров канала связи, соединен с входом m - комплектов оконечной аппаратуры; второй выход n - средств измерения физических параметров канала связи, соединен с входом блока анализа физических параметров канала связи; первый выход m - комплектов оконечной аппаратуры, соединен с g – комплектами пользовательских интерфейсов; второй выход m - комплектов оконечной аппаратуры, соединен c входом блока анализа сетевого потока; выход g – комплектов пользовательских интерфейсов, соединен с входом блока оценки качества предоставляемых услуг связи; выход базы данных соединен с первым входом блока контроля значений параметров системы; выходы блоков анализа физических параметров канала связи, блока анализа сетевого потока и блока оценки качества предоставляемых услуг связи соединены с вторым, третьем и четвертым входами блока контроля значений параметров системы [блок возможно реализовать при помощи среды моделирования AnyLogic 5.3.1].

Дополнительно введены: блок анализа девиантного поведения системы [блок возможно реализовать при помощи среды моделирования AnyLogic 5.3.1]; блок оценки возможностей одиночных информационно-технических воздействий [SIM (Security Information Management) - системы, анализируют накопленную информацию со стороны статистики, различных отклонений от «нормального поведения» и т.д. https://www.anti-malware.ru/analytics/Technology_Analysis/Overview_SECURITY_systems_global_and_Russian_market]; блок оценки возможностей групповых разнородных информационно-технических воздействий [SIM (Security Information Management) - системы, анализируют накопленную информацию со стороны статистики, различных отклонений от «нормального поведения» и т.д. https://www.anti-malware.ru/analytics/Technology_ Analysis/Overview_SECURITY_systems_global_and_Russian_market]; блок выбора вариантов стратегии защиты [возможно реализовать на базе данных Microsoft – SQL Server] и блок формирования отчета [возможно реализовать на базе данных Microsoft – SQL Server].

Первый выход блока контроля значений параметров системы соединен с первым входом блока анализа девиантного поведения системы; второй выход базы данных соединен со вторым входом блока анализа девиантного поведения системы; второй выход блока контроля значений параметров системы соединен с первым входом блока формирования отчета; первый выход блока анализа девиантного поведения системы соединен с входом блока оценки возможностей одиночных информационно-технических воздействий; первый выход блока оценки возможностей одиночных информационно-технических воздействий соединен с третьим входом блока анализа девиантного поведения системы; второй выход блока оценки возможностей одиночных информационно-технических воздействий соединен с входом блока оценки возможностей групповых разнородных информационно-технических воздействий; третий выход блока оценки возможностей одиночных информационно-технических воздействий соединен с первым входом блока выбора вариантов стратегии защиты; выход блока оценки возможностей групповых разнородных информационно-технических воздействий соединен со вторым входом блока выбора вариантов стратегии защиты; выход блока выбора вариантов стратегии защиты соединен со вторым входом блока формирования отчета; выход блока формирования отчета соединен с входом блока визуализации.

Перечисленная новая совокупность существенных признаков обеспечивает повышение защищенности узлов связи от групповых разнородных информационно-технических воздействий, за счет повышения достоверности оценки ущерба от проводимых одновременно нескольких воздействий и на основе этих оценок повысит обоснованность применения имеющихся средств и способов противодействия групповым разнородным информационно-техническим воздействиям.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленной системы, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "новизна".

«Промышленная применимость» способа обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данную систему с достижением указанного в изобретении результата.

Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».

Заявленные объекты системы поясняются чертежами, на которых показаны:

Фиг.1 – структурная схема системы выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий.

Фиг. 2 – структурная схема блока контроля значений параметров системы.

Фиг. 3 – структурная схема блока оценки возможностей групповых разнородных информационно-технических воздействий.

Система выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий (фиг. 1) состоит из n - комплектов средств измерения физических параметров канала связи (блок 1);
m - комплектов оконечной аппаратуры (блок 2); g - пользовательских интерфейсов (блок 3), блока анализа физических параметров канала связи (блок 4), блока анализа сетевого потока (блок 5), блока оценки качества предоставляемых услуг связи (блок 6), блока контроля значений параметров системы (блок 7), базы данных (блок 8); блока анализа девиантного поведения системы (блок 9); блока оценки возможностей одиночных информационно-технических воздействий (блок 10); блока оценки возможностей групповых разнородных информационно-технических воздействий (блок 11); блока выбора вариантов стратегии защиты (блок 12); блок формирования отчета (блок 13); блока визуализации (блок 14).

Заявленная система (фиг. 1) работает следующим образом. На первоначальном этапе формируют базу данных (блок 8). В базу на основании заблаговременных измерений заносят значения параметров, характеризующие корректное функционирование системы: – набор нормированных значений физических параметров канала связи (в качестве параметров могут применяться: спектральная характеристика источника излучения, мощность излучения передатчика, ширина спектральной линии, стабильность механических соединений, коэффициент обратного отражения, однородность волокон по затуханию и дисперсии, значение вносимого затухания при соединении строительных длин, чувствительность приемника и др.); – набор нормированных значений параметров сетевого потока (в качестве параметров могут применяться: вероятность битовой ошибки, время задержки прихода сообщений, джиттер, информационная скорость входящего и исходящего трафика, загрузка процессора и др.); – набор нормированных значений параметров качества предоставляемых услуг связи (замирание видео изображения, количество артефактов в видео изображении, задержки аудио контента, время ответа на запрос, и др.).

Допустимые значения отклонений параметров от нормы: – набор значений допустимого отклонения физических параметров канала связи; – набор значений допустимого отклонения параметров сетевого потока; – набор значений допустимого отклонения параметров качества предоставляемых услуг связи.

Отклонение значений контролируемых параметров от нормы при различных видах информационно-технических воздействиях: – набор отклонений значений физических параметров канала связи вызванный применением вида ИТВ, целью которых является воздействие на физические параметры канала связи; – набор отклонений значений параметров сетевого потока вызванный применением вида ИТВ, целью которых является воздействие на параметры сетевого потока; – набор отклонений значений параметров качества предоставляемых услуг связи вызванные применением вида ИТВ, целью которых является воздействие на предоставляемые услуги связи.

Нормированные значения вероятности нарушения нормального функционирования организационно-технических систем при воздействии , или вида ИТВ (,,) от заданных значений системы (,,).

После чего на вход n - комплектов средств измерения физических параметров канала связи (блок 1) поступает информационный сигнал. В блоке 1 измеряют фактические значения параметров информационного сигнала.

Первый выход блока 1 соединен с входом m - комплектов оконечной аппаратуры (блок 2) в который поступает информационный сигнал. В блоке 2 измеряют фактические значения параметров сетевого соединения.

Первый выход блока 2 соединен с входом g - пользовательских интерфейсов (блок 3) в который поступает информационный сигнал. В блоке 3 измеряют фактические значения параметров качества предоставляемых услуг связи.

Второй выход блока 1 соединен с входом блока анализа физических параметров канала связи (блок 4). В блоке 4 измеренные значения физических параметров канала связи () упорядочиваются в набор значений для дальнейших преобразований:

(1)

где k – количество физических параметров канала связи; n – количество наборов значений физических параметров канала связи.

Второй выход блока 2 соединен с входом блока анализа сетевого потока (блок 5). В блоке 5 измеренные значения параметров сетевого соединения () упорядочиваются в набор значений для дальнейших преобразований:

(2)

где l – количество параметров сетевого потока; m – количество наборов значений параметров сетевого потока.

Выход блока 3 соединен с входом блок оценки качества предоставляемых услуг связи (блок 6). В блоке 6 измеренные значения параметров качества предоставляемых услуг связи () упорядочиваются в набор значений для дальнейших преобразований:

(3)

где y – количество параметров качества предоставляемых услуг связи; g – количество наборов значений параметров качества предоставляемых услуг связи.

Выход базы данных (блок 8) соединен с первым входом блока контроля значений параметров системы (блок 7). С выхода блока 8 на первый вход блока 7 передаются нормированные наборы значений параметров (,,), а так же допустимые значения отклонений параметров от нормы (,,).

Выходы блоков 4, 5 и 6 соединены со вторым, третьим и четвертым входами блока 7 соответственно. Из которых передаются сформированные наборы значений параметров организационно-технической системы (,,).

В блоке 7 оценивают отклонение измеренных значений параметров организационно-технической системы (,,) от нормированных наборов значений параметров (,,).

В блоке 7.1 рассчитывают фактическое отклонение измеренных значений параметров системы (,,) от нормированных наборов значений параметров (,,):

3.1 3.2 3.3

В блоке 7.2 сравнивают фактическое отклонение измеренных значений параметров системы (,,) с допустимыми значениями отклонений параметров от нормы (,,):

4.1 4.2 4.3

Если все условия (4.1 - 4.3) выполняются, то с второго выхода блока 7 на первый вход блока формирования отчета (блок 13) передается сообщение об отсутствии выявленных признаков информационно-технических воздействий. Если одно из условий (4.1, 4.2 или 4.3) не выполняется, то измеренные значения параметров системы (,,) и значения отклонений измеренных параметров системы (,,) со второго выхода блока 7 передаются на первый вход блока анализа девиантного поведения системы (блок 9).

На второй вход блока 9 со второго выхода базы данных поступают значения отклонений контролируемых параметров от нормы при различных информационно-технических воздействиях (, , ).

В блоке 9 на основании сопоставления значений отклонений измеренных параметров системы (,,), со значениями контролируемых параметров от нормы при различных информационно-технических воздействиях (, , ), определяют вид ИТВ проводимый против организационно-технической системы.

После определения вида ИТВ с выхода блока 9 на вход блока оценки возможностей одиночных информационно-технических воздействий (блок 10) передаются измеренные значения параметров системы (,,).

В блоке 10 с использованием измеренных значений параметров системы (,,) определяют вероятности нарушения нормального функционирования организационно-технических систем при воздействии , или вида ИТВ (,,) [вероятности нарушения нормального функционирования организационно-технических систем от различных видов ИТВ рассчитается с помощью известного математического аппарата реализованного в программах для ЭВМ (Расчет возможностей средств сетевой и потоковой компьютерных разведок по вскрытию виртуальной части сети связи / Свидетельство о государственной регистрации программы для ЭВМ № 2016618853 от 09.08.2016 г. Расчет возможностей злоумышленника по подавлению Web-сервера с использованием DDoS-атак / Свидетельство о государственной регистрации программы для ЭВМ № 2016661321 от 05.10.2016 г. Программа расчета вероятности осуществления злоумышленником сетевой атаки типа «Фишинг» / Свидетельство о государственной регистрации программы для ЭВМ № 2019610015 от 10.01.2019 г. Бюл. № 1. Программа расчета способности сети связи функционировать при воздействии сетевой атаки типа «Человек посередине» / Свидетельство о государственной регистрации программы для ЭВМ № 2019610010 от 10.01.2019 г. Бюл. № 1.].

Если на основании проведенных расчетов выявлен один вид информационно-технических воздействий, то рассчитанные значения вероятности нарушения нормального функционирования организационно-технических систем (,,) и вид информационно-технических воздействий с первого выхода блока 10 передаются на первый вход блока выбора вариантов стратегии защиты (блок 12).

Если на основании проведенных расчетов выявлено два и более вида информационно-технических воздействий превышающих допустимое значение, то измеренные значения параметров системы (,,) со второго выхода блока 10 передаются на первый вход блока оценки возможностей групповых разнородных информационно-технических воздействий (блок 11).

В блоке 11 рассчитывают значения вероятности нарушения нормального функционирования организационно-технической системы при проведении групповых разнородных информационно-технических воздействий () для различных () стратегий применения информационно-технических воздействий (блок 11.1) [Гречишников Е.В., Добрышин М.М. Подход к моделированию узла компьютерной сети как объект разнородных компьютерных атак проводимых одновременно / Сборник трудов IV Межвузовской научно-практической конференции «Проблемы технического обеспечения войск в со-временных условиях: Военная академия связи. – Санкт-Петербург. –2019. – С. 19-23]. Количество стратегий применения информационно-технических воздействий рассчитывается как задача комбинаторики при помощи известного математического аппарата [Н.Я. Виленкин «Комбинаторика», М.: Наука. Гл. ред. физ.-мат. лит., 1969.-323 с.].

Рассчитанные значения вероятности нарушения нормального функционирования организационно-технической системы при проведении нескольких информационно-технических воздействий () для различных стратегий применения информационно-технических воздействий ранжируют (блок 11.2) на основании их численных значений.

В блоке 11.3 определяют наиболее вероятные стратегии применения информационно-технических воздействий, путем сравнения рассчитанных значений вероятности нарушения нормального функционирования организационно-технической системы при проведении нескольких информационно-технических воздействий () с нормированным значением вероятности нарушения нормального функционирования организационно-технической системы при проведении нескольких информационно-технических воздействий ().

С выхода блока 11 на второй вход блока 12 передаются рассчитанные значения вероятности нарушения нормального функционирования организационно-технической системы при проведении нескольких информационно-технических воздействий (), а так же вероятные стратегии применения групповых разнородных информационно-технических воздействий.

В блоке 12 на основании полученных из блоков 10 и 11 значений вероятностей нарушения нормального функционирования организационно-технической системы (,,,, выявленных одиночных информационно-технических воздействий, стратегий групповых воздействий определяют необходимые средства защиты от выявленных информационно-технических воздействий, а так же последовательность их активации. Если информационно-технических воздействий не выявлено (блок 7), то указанная последовательность соответственно не формируется.

С выхода блока 12 на вход блока блок формирования отчета (блок 13) поступает сформулированная последовательность активации средств защиты, на основании которой определяется последовательность действий оператора по активации средств защиты.

Выход блока 13 соединен с входом блока визуализации (блок 14). Блок 14 обеспечивает визуализацию результатов работы системы выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий.

Расчёт эффективности заявленной системы проводился следующим образом:

На первом этапе моделируются воздействия одиночных информационно-технических воздействий (в качестве моделируемых воздействий используются сканирование портов, DDoS-атака, MITM-атака, Фишинговая атака и SQL-иньекция).

При выявлении указанных одиночных информационно-технических воздействий и система прототип и разработанная система выявляют все проводимые воздействия и осуществляют противодействие им.

На втором этапе моделируются воздействия групповых разнородных информационно-технических воздействий (в качестве моделируемых воздействий используются следующие стратегии: стратегия 1 – сканирование портов, DDoS-атака, Фишинговая атака; стратегия 2 – сканирование портов, DDoS-атака, SQL-иньекция; стратегия 3 – MITM-атака, SQL-иньекция).

При выявлении указанных групповых разнородных информационно-технических воздействий система прототип выявила только стратегию 3, а при выявлении стратегий 1 и 2 допустила ошибки. Разработанная система выявила все три стратегии воздействия. Как следствие система-прототип не осуществила противодействие двум групповым разнородным информационно-техническим воздействиям, а разработанная система осуществила противодействие всем трем воздействиям.

На основании этого, следует вывод, что заявленная система выбора средств и способов защиты организационно-технических систем от групповых разнородных информационно-технических воздействий обеспечивает повышение достоверности выявления групповых разнородных информационно-технических воздействий, что повышает обоснованность применения имеющихся средств и способов противодействия информационно-техническим воздействиям и как следствие обеспечивает повышение защищенности узлов связи от групповых разнородных информационно-технических воздействий.