Автореферат (1144109), страница 3

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 3)

Необходимость разработки данного метода диктуется статистикой по способамреализации кибератак, где лидирующим является внедрение ВПО. Для представленияповедения ПО в системе разработана графовая модель функционирования ПО, наоснове которой и происходит обнаружение ВПО. Для определения того, является лиПО вредоносным, предлагается осуществлять сравнение двух графов,8характеризующих поведение программы.

Схема работы метода представлена нарисунке 1.ЗАПУСК ПРОГРАММЫДЛЯ ОБУЧЕНИЯПОСТРОЕНИЕ ГРАФАРАБОТЫ ПРОГРАММЫМОНИТОРИНГЗАПУСК ПРОГРАММЫ ДЛЯАНАЛИЗАБДКОРРЕКТНОРАБОТАЮЩАЯПРОГРАММА ДЛЯОБУЧЕНИЯГРАФ КОРРЕКТНОЙРАБОТЫ ПРОГРАММЫПРОГРАММАЯВЛЯЕТСЯВРЕДОНОСНОЙПРОГРАММА ДЛЯ ПРОВЕРКИКОРРЕКТНОСТИ ЕЕ РАБОТЫГРАФ ТЕКУЩЕЙРАБОТЫ ПРОГРАММЫОЦЕНКА РАЗЛИЧИЯГРАФОВПРИНЯТИЕ РЕШЕНИЯ ОНАЛИЧИИ/ОТСУТСТВИИВРЕДОНОСНЫХ ФУНКЦИЙПРОГРАММАНЕ ЯВЛЯЕТСЯВРЕДОНОСНОЙРисунок 1 – Схема работы метода выявления ВПОПроведен анализ возможных метрик оценки подобия/различия графов.

Данныйметод позволяет обнаруживать даже сложное современное ВПО, характеризующеесяспособностью к межуровневой миграции, что обеспечивает надежную защитууправляющих узлов КФС.В третьей главе описан подход к обеспечению динамической защиты КФС,обеспечивающий автоматическое поддержание устойчивости функционирования вусловиях компьютерных атак на основе принципа гомеостаза. В основе предложенногоподхода лежит графовая модель переконфигурирования параметров и структуры< V ,E > , где: V = {v1 ,v2 ,...,vn } –системы: КФС представляется в виде графа G =множество вершин графа, которые представляют собой компоненты КФС. Каждыйузел характеризуется кортежем < id , type, Pvtype ,Fvtype > , где id – идентификатор узла,ididtype – тип узла (сетевое устройство, ПЭВМ, актуаторы, датчики и др.),Pvtype = (p type1, p type2 , ..., p typek ) – набор параметров, характеризующих каждое устройствоidсистемы в зависимости от его типа, а Fvtype = (fidm1 , fidm2 , ...) – множество функций,idподдерживаемых узлом, где индекс m ∈ {0;1} обозначает режим выполнения функции(использует ли данный узел функциональность fid j в текущем технологическомпроцессе или нет); E = {e1 ,e2 ,...,ed } – множество ребер, служащих для описаниямежкомпонентных связей КФC.

Каждая связь характеризуется набором < id ,Pei > , гдеid–идентификаторузла,Pei = (p1, p2 ,..., pk )–множествопараметров,характеризующих соединение. Пусть R = {Sij } – множество маршрутов графа G ,элементы которого представляют собой совокупность различных путей из вершины viввершинуvj :Sij = {sij(1) , sij(2) ,...} ,sij(k ) =< vi ,...,v j > ,k = 1,...,| Sij | . Любойтехнологический процесс, протекающий в КФС, есть набор рабочих маршрутовR process ⊆ R на множестве маршрутов графа G , что в функциональном смысле9представляется набором функций Ф = {ϕ1,ϕ2 ,...,ϕm } , ассоциированным с узлами КФСи выполняемым в системе. В соответствии с введенными выше обозначениями,технологический процесс может быть описан с помощью отображенияmFprocess : Ф → Fv , где F=m 1,vi ∈ R process } – множество функций вершинv { fi j |=системы, задействованных в процессе.В соответствии с принципом многоуровневости управления и введеннойграфовой моделью, изменение состояния КФС может быть связано: с изменениемпараметров устройств КФС (вершин графа); с изменением межкомпонентных связейКФС (ребер графа); с изменением архитектуры КФС (структуры всего графа).Для описания состояний КФС используются следующие множества матриц:множество X , где элементы каждой матрицы xi ∈ X представляют собой показателипараметров Pvi функционирования компонентов КФС; множество Y , где элементыкаждой матрицы yi ∈ Y есть показатели Pei , характеризующие параметры сетевогосоединения между компонентами КФС.Информация, полученная в результате анализа состояния КФС, используетсясистемой мониторинга для построения вспомогательных матриц, характеризующихструктуру управляемой сети: матрица смежности Z графа G , описывающаяструктурное состояние КФС; матрица достижимости DZ , вычисляемая по матрицесмежности Z .

Тогда совокупность возможных состояний КФС представляет собойдекартово произведение S= X × Y , а область устойчивого функционирования D ⊂ Sесть подмножество S .Нормальноефункционированиесистемыописываетсяуравнениемs (t + 1)= s (t ) + φ (t ) ∈ D , где φ (t ) – воздействия, инициированные в рамках внутреннегоконтура управления для перехода из состояния s (t ) в состояние s (t + 1) . В матричномвиде управляющее воздействие представляется матрицами, элементы которых –изменения параметров КФС, необходимые для перехода в следующее состояниеX t +=1 X t + ∆X φ ∈ D и Yt +1= Yt + ∆Yφ ∈ D .

Аналогично воздействию системыуправления, любое внешнее деструктивное воздействие d (t ) , оказываемое на КФС,(∆X d , ∆Yd ) таких, что в момент времени t :также задается парой матриц d =X t +=1 X t + ∆X φ + ∆X d ∈ S \ D и Yt +1= Yt + ∆Yφ + ∆Yd ∈ S \ D , состояние системы будетвыведено из области устойчивого функционирования. Или, в разностном виде:s' (t + 1)= s (t ) + φ (t ) + d (t ) ∈ S \ D . Общая задача обеспечения устойчивости КФСпредставляется как поиск отображения f : S → D , осуществляющего переводтекущего состояния системы si ∈ S , в котором система находится в момент времени tс учетом деструктивного воздействия d ( t ) , которое было оказано на КФС, в областьустойчивогоDфункционированияf (φ (t )) : s'' (t + 1)= s (t ) + f (φ (t )) + d (t ) ∈ D .10:∀tнайтиТеорема.

КФС может перейти в устойчивое состояние (сохранить устойчивоесостояние), если существует сценарий переконфигурирования, и время его реализациименьше времени атакующих воздействий.С точки зрения теории графов, воздействие, осуществляемое системойуправления для изменения состояния КФС, есть последовательность M = vi ei ...e j v j ,состоящая из компонентов КФС и связей между ними. Скорость принятия решения игенерации маршрута, выполняющего задачу системы управления, зависит от текущейконфигурации сети и имеет временную сложность TD , равную сложности поиска путина графе G : O( |V | + | E | ) .Среднее время, необходимое на изменение состояния отдельного узла, зависитот количества корректируемых параметров и определяется типом узла tvtype .

Тогдавремя выполнения всех узлов графа, ассоциированных с задачей управления, можноопределить так: TV = ∑ tvi . Скорость канала передачи информации Cetypevi ∈Mнакладывает свои ограничения на время выполнения маршрута, поэтому необходимоучитывать перемещение данных с учетом типа канала и объема информации V ' ,V ' (dataei )type. Тогда времяпередаваемой от компонента к компоненту: TE = ∑Ceie ∈Mitypeраспространения управляющего воздействия может быть представлено суммой:Tс = TD + TV + TE .С учетом введенных обозначений, справедливо следующее утверждение:система управления способна компенсировать атакующее воздействие, если времяраспространения воздействия, инициированного внутренним контуром управления,меньше периода атакующих воздействий: Tc < Ta .

Фактически, это означает, чтосистема должна быть способна в промежутке между атакующими воздействиямивыработать и реализовать компенсационную стратегию, обеспечивающую нужнуюустойчивость функционирования КФС.По результатам исследований возможных подходов к оценке устойчивостиКФС к деструктивным воздействиям, был выбран подход на основе вычисленияпоказателя способности системы к переконфигурированию, поскольку именно онпозволяет наиболее гибко и эффективно реагировать на деструктивные воздействияразличного типа.В основе предлагаемого метода оценки устойчивости КФС лежит принципизбыточности ресурсов.

В соответствии с данным принципом, любая КФС должнаобладать набором компонентов, которые могут быть легко инициированы и запущеныв случае выхода из строя подобных им компонентов. Описанному принципу внаибольшей степени соответствует подход, основанный на оценке способностисистемы к переконфигурированию. В соответствии с разработанной модельюпереконфигурирования структуры и параметров системы, функционирование любойКФС есть выполнение технологических процессов, представляемых рабочими путямиR process ⊆ R на множестве маршрутов графа G , что представляется набором функций11Ф = {ϕ1,ϕ2 ,...,ϕm } , ассоциированным с компонентами КФС и выполняемым в системе.Тогда устойчивость КФС вычисляется как количество различных путей из вершины viв вершину v j для всех i, j : vi ,v j ∈ R process .

Данный показатель является оценкойустойчивости КФС, а метод обеспечения устойчивости КФС заключается впереконфигурировании структуры и параметров таким образом, чтобымаксимизировать этот показатель.В рамках метода оценки устойчивости КФС к деструктивным воздействиямвыполняются: определение набора технологических процессов, необходимых дляреализации целевой функции КФС, их нумерация от 1 до t , t ∈  и представлениекаждого из них в виде набора путей Rtprocessна графе, характеризующем КФС:Rtprocess = {sij(1) , sij(2) ,...,sij(k) } .

Характеристики

Список файлов диссертации