Диссертация (1144110), страница 11
Текст из файла (страница 11)
Таким образом, сам контроллер выступает в качествесвязующего звена, обеспечивая при этом подлинность источника данных. В случаесбоя в работе, функции контроллера безопасности будет выполнять пограничныйконтроллер, однакосложныеКФС требуют введенияинтеллектуальныхмеханизмов обеспечения устойчивости, которые бы позволили не толькообеспечивать оптимизацию сценариев работы и своевременного реагирования вслучае сбоя важных компонентов системы, но и поддерживать внутреннеесостояние среды при направленных долговременных атаках путем введениядополнительных компенсирующих воздействий.Таким образом, можно сделать вывод о том, что в настоящее времяисследователи большее внимание уделяют практическим аспектам реализацииКФС и их интеграции с такими современными сетевыми технологиями, как ПКС,чем задаче обеспечения безопасности КФС.
Многие подходы используюттехнологию ПКС для гибкого управления сложными системами, однако при этомлибо не задаются вопросами обеспечения безопасности, либо не используютпреимущества ПКС для реализации быстрого динамического перестроенияконфигурации сетевой инфраструктуры.1.5 Предлагаемыйподходкобеспечениюинформационнойбезопасности киберфизических системДля обеспечения ИБ КФС предлагается подход, который основан не надетализации системы, а наоборот – на создании интегральной оценки системы,инвариантной к типу деструктивного воздействия и учитывающей особенноститехнологического процесса, реализуемого системой [76].
Такой универсальнойоценкойявляетсясамоподобиепараметровфункционированиясистемы,свойственное всем КФС, исходя из их природы: они реализуют какой-либопериодический процесс, все параметры которого связаны между собой ипринадлежат определенным диапазонам значений.Для выявления современного ВПО предлагается комплексный подходконтролю функционирования ПО на всех уровнях системы. В основе подхода54лежит графовая модель функционирования ПО, которая позволяет связыватьсобытия, происходящие на разных уровнях работы системы.
Предлагаемый подходк выявлению современного ВПО, направленного на нарушение ИБ системыуправления КФС, осуществляет контроль безопасности компонентов системы наоснове многоуровневого сбора и анализа событий. Многоуровневый анализсобытий предполагает внедрение специальных программных компонентов,именуемых агентами, которые могут реализовывать сбор данных о событияхвышележащего уровня. Выделяется 4 уровня: уровень приложений ОС, уровеньядра ОС, уровень гипервизора и уровень аппаратного обеспечения. Для каждогоуровняиерархиинаборотслеживаемыхсобытийзависитотстепениконкретизации.
Полученная на этапе сбора информация используется дляопределения связей между событиями, в результате чего генерируется графсобытий ПО, характеризующий его поведение. На основе построенного графовогопредставленияповеденияПОосуществляетсяизвлечениехарактеристик,необходимых для принятия решения о том, является ли программа вредоноснойили нет.В качестве развития методологии динамической защиты предлагаетсяиспользованиеобеспечивающегобиоинспирированногосохранениегомеостатическоговнутреннейсредыиподхода,устойчивостифункционирования на основе управления параметрами и сетевой структурой КФС.Особенностью предлагаемого гомеостатического подхода является способность кподдержанию функциональной устойчивости КФС за счет перераспределенияфункцийкомпонентов,работоспособностькоторыхнарушенавследствиедеструктивного воздействия на КФС между другими компонентами системы.Организация процесса обеспечения устойчивости функционирования КФСв условиях целенаправленных деструктивных воздействий требует общейэволюции методологии динамической защиты.
Для формализации требований корганизации процесса обеспечения ИБ КФС сформулированы специфическиеособенности данных систем:55−транзитивное замыкание всех компонентов КФС, являющихсяодновременно источником угроз безопасности и возможностью к сохранениюустойчивости функционирования КФС за счет дублирования его компонентов;−распределение функций, которые должна реализовывать КФС, помножествам его компонентов, с учетом возможности их дублирования;−наличиенесколькихконфликтующихмеждусобойконтуровуправления.Таким образом, в качестве развития методологии динамической защитыпредлагаетсяиспользоватьметодологиюобеспеченияИБКФСпутемдинамического переконфигурирования параметров и сетевой структуры системы сиспользованием принципа гомеостаза, включающую оценку безопасности КФС,основанную на ее устойчивости к деструктивным воздействиям, набор механизмовпереконфигурирования, обеспечивающих удержание КФС в безопасном состояниии ее возвращение в него на основе принципа гомеостаза и условия достижимостибезопасности КФС в условиях деструктивных воздействий.
При этом самоподобиепредлагаетсяиспользоватькакцелевуюфункциюгомеостатическогопереконфигурирования параметров и структуры КФС.Дляреализациидинамическойзащитынаосновепредлагаемойметодологии обеспечения ИБ КФС путем динамического переконфигурированияпараметров и сетевой структуры системы с использованием принципа гомеостазапредлагается использовать технологию ПКС. Для повышения производительностиПКС предлагается осуществлять приоритизированное формирование таблицсетевыхпотоковOpenFlow-коммутаторовобеспечивающегоначальноеконфигурирование сетевых ресурсов, при помощи задания правил в таблицахсетевых потоков, после получения нового типа сетевого пакета и поддержаниекорректного состояния таблиц сетевых потоков OpenFlow коммутаторов во времяфункционирования ПКС.На начальном этапе работы сети главной задачей является заданиеконфигурации сетевых устройств, при помощи системы управления ПКС.
Решение56данной задачи заключается в определении способа формирования записей втаблицах сетевых потоков на основе расчета приоритета пакетов, принадлежащихданномусетевомупотоку.Приобработкепакета,длякоторогонетсоответствующих записей в таблице сетевых потоков на OpenFlow коммутаторе,сетевойустройствопередаетпакетсистемеуправленияпрограммно-конфигурируемой сетью, которая принимает его, выделяет необходимую длясоздания новой записи в таблице сетевых потоков информацию. На следующемэтапе система управления программно-конфигурируемой производит расчетприоритета данного сетевого потока и создает запись в таблице сетевогоустройства.Для обеспечения наиболее эффективной передачи данных системауправления программно-конфигурируемой сетью выделяет байт, отвечающий захарактеристики передачи пакета, байт ToS, содержащийся в IPv4-пакетах.Предлагаемый способ формирования таблиц сетевых потоков для программноконфигурируемой сети заключается в формировании данных таблиц сетевыхпотоков на основе параметров передачи пакетов, а именно параметров качестваобслуживания – QoS.
Система управления программно-конфигурируемой сетьювыделяет следующие параметры передачи пакета: приоритет пакета; требование кзадержке при передаче пакета; требование к полосе пропускания, при передачепакета и требование к надежности при передаче пакета. Для расчета приоритетазаписи в таблице сетевых потоков сетевого устройства используется вычислениеприоритета на основе метода многокритериальной оптимизации. ПКС, как средареализации методологии обеспечения ИБ КФС обеспечивает возможностьдинамического переконфигурирования параметров и сетевой структуры системы сиспользованием принципа гомеостаза1.6 ВыводыУчитывая результаты проведенного анализа безопасности КФС инедостатки,выделенныевсуществующихрешениях,направленныхнаобеспечение ИБ КФС, можно сделать вывод о необходимости создания57методологии динамического переконфигурирования параметров и структурысистемы с использованием принципа гомеостаза.
Данная методология должнавключать в себя:1.Метод выявления нарушений ИБ КФС, направленных на изменениепараметров ее функционирования, основанный на контроле самоподобия.2.Метод выявления ВПО, функционирующего на узлах системыуправления КФС.3.Подход к обеспечению динамической защиты КФС, обеспечивающийавтоматическое поддержание устойчивости функционирования в условияхкомпьютерных атак, включающий:−метод оценки устойчивости КФС к деструктивным воздействиям;−сценарии переконфигурирования, обеспечивающие удержание КФС вустойчивом состоянии и возвращение в него;−условиядостижимостиустойчивостиКФСприреализациидеструктивных воздействий на нее;4.Требованияксредереализациипредложеннойметодологиидинамического переконфигурирования параметров и структуры системы сиспользованием принципа гомеостаза.5.Архитектурусистемыобеспеченияэкспериментального макета предлагаемой системы.ИБКФСиреализацию582МЕТОДЫВЫЯВЛЕНИЯНАРУШЕНИЙИБКФСИВЫЯВЛЕНИЯ СОВРЕМЕННОГО ВПОСложность КФС, их крупномасштабность и большое число входящих в ихсостав разнородных компонентов значительно затрудняют решение задачиобнаружения нарушений ИБ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
