Диссертация (1144110), страница 12
Текст из файла (страница 12)
Это связано с тем, что каждый интеллектуальныйкомпонент КФС, к которому можно получить доступ посредством сети Интернет,представляет для злоумышленника потенциальную точку нелегитимного входа всистему за счет, во-первых, уязвимостей прошивок самих компонентов, а вовторых, из-за большого числа различных сетевых промышленных протоколоввзаимодействия, также обладающих уязвимостями. Таким образом, числовозможных векторов атак на КФС и способов их реализации тем больше, чемсложнее система. К тому же, следует учесть, что интеграция КФС спромышленностью, с критическими отраслями деятельности, делает их желаннойцелью для атаки злоумышленников.На данный момент в мире отсутствуют решения и подходы, инвариантныек типам нарушений информационной безопасности (пункт 1.4.1).
Отсюда следует,что в этих условиях, для обнаружения различных типов деструктивныхвоздействий на КФС, единственно возможным подходом к защите являетсяодновременное использование большого спектра методов обнаружения нарушенийИБ, что требует существенных временных и вычислительных затрат. При этом, невсе существующие методы применимы к любым типам КФС, и не всегда структураКФС такова, что она может быть интегрирована с любым средством защиты.Также следует отметить, что, помимо обнаружения нарушений ИБ, важнойзадачей является также выявление вредоносного ПО, посредством которого могутбыть реализованы деструктивные воздействия на систему управления КФС.В данном разделе предлагается инвариантный к типу деструктивныхвоздействий метод определения нарушений ИБ КФС, основанный на применениимультифрактального анализа и статистических методов для контроля самоподобияпараметров функционирования КФС.
Также предлагается метод выявлениясовременного ВПО, направленного на нарушение ИБ системы управления КФС,59который основан на анализе графа событий, полученных в результате мониторингаработы ПО.2.1 Метод выявления нарушений ИБ КФС, направленных наизменение параметров ее функционирования, основанный на контролесамоподобияКФС представляют собой замкнутую систему, реализующую некоторуюцелевуюфункцию(например,функциюавтоматическойочисткиводы,реализуемой в несколько взаимосвязанных этапов), для реализации которой в нейпротекает конечное множество физических процессов, управляемых посредствоминформационного обмена между компонентами КФС.
Наличие целевой функциисистемы говорит о периодичности протекаемых в ней процессов – как всовокупности, так и по отдельности. Эта особенность, характерная для КФС, всовокупности с отсутствием человеческого фактора, позволяет говорить осамоподобии КФС и реализуемых в них процессов. В данном случае подсамоподобием КФС следует понимать инвариантность значений параметров КФСи ее процессов во времени, постоянное нахождение значений в определенномдиапазоне, выход из которого свидетельствует о нарушениях корректности работысистемы.Предлагаемый метод определения нарушений ИБ КФС базируется наоценкесамоподобияпараметровработысистемысиспользованиеммультифрактального анализа.2.1.1Возможныеподходыкоценкесамоподобияпараметровфункционирования системыОценка самоподобия является универсальной для КФС, поскольку обладаетинвариантностью к масштабам системы и способна отразить любые воздействия наКФС – как внешние, так и внутренние.
При этом, поскольку способов оценкисамоподобия может быть несколько, появляется возможность гибкой «настройки»порога чувствительности к изменениям работы системы. Степень самоподобия60определяется свойствами физической природы КФС и оценивается выбранноймоделью.Поскольку реализуемые КФС процессы являются периодическими – как всовокупности, так и по отдельности, можно говорить о том, что потоки данных (какзначений физических параметров, так и значений параметров информационных),генерируемых устройствами КФС, также представляют собой периодическийвременной ряд, обладающий свойством самоподобия.
Таким образом, оценкасамоподобия таких временных рядов позволяет сделать выводы о корректностифункционирования КФС или, напротив, о нарушении корректности ее работы [17].Анализ методов оценки безопасности КФС на основе оценки самоподобияпозволил выделить следующие методы:1.Фрактальные методы. К метрикам фрактальных методов относятся:1.1 Показатель Херста H – данный параметр характеризует степеньсамоподобия процесса.
Чем ближе этот параметр к единице, тем более яркопроявляется фрактальные свойства, в соответствии с источником [77]. Напротив,равенство H = 0,5 говорит об отсутствии самоподобия. В соответствии систочником [78], для вычисления значения коэффициента Херста, может бытьиспользована R / S статистика (или, так называемая, статистика нормированногоразмаха). Для этого требуется вычислить размах ряда, обозначаемый R (формула1), который представляет собой разность между максимальным и минимальнымзначением ряда, и стандартное отклонение Suu∑∑=S1 u( xi − X cp ) 2∑N i =1=R max ( xi − X cp ) − min ( xi1≤ u ≤ N i 11≤ u ≤ N i 1 ==− X cp )(1)(2)61где X cp =1 N∑ xi – среднее арифметическое ряда наблюдений за N периодов.N − 1 i =1Тогда показатель Херста H вычисляется по следующей формуле: H = logR/Slog(α N ), где α – заданная константа, α > 0 . Применение коэффициента Херста для оценкисамоподобия данных, генерируемых компонентами КФС, описано в работах [79,80].
Демонстрируется, что до проведения атаки отказа в обслуживании на один изкомпонентов системы значение коэффициента Херста было равным 0,81, чтоговорило о том, что временной ряд, содержащий данные этого компонента,является самоподобным. А при реализации атаки значение коэффициента Херстастало равным 0,33, что говорит об отсутствии свойства самоподобия.1.2 ПоказательГельдера.МногиепроцессыКФС,связанныеспромышленными отраслями деятельности, являются сложными и содержатподпроцессы. Поэтому, говоря о самоподобии процессов КФС, во многих случаяхкорректнее говорить не столько о самоподобии как фрактальности, а как осамоподобии, проявляемом в мультифрактальных свойствах процессов. Всоответствии с источниками [81-83], большинство реальных процессов обладаетмультифрактальнойструктурой,следовательно,процессымасштабноинвариантны на более коротких временных отрезках, и при этом для каждогоотрезка времени процесс имеет отличный от другого временного промежуткафрактальный алгоритм.
В связи с этим, для оценки самоподобия технологическихпроцессов КФС целесообразно применять мультифрактальные модели [84].Обладание свойством масштабной инвариантности говорит о том, что наразличных интервалах времени процессы КФС протекают схожим образом, однакоих динамика отличается при рассмотрении на небольших и больших временныхинтервалах. Мультифрактальные свойства отражают мультифрактальный спектрЛежандра и показатель Гельдера, изменение во времени которого позволяетотслеживать изменения в мультифрактальных свойствах процессов. Источник [81]утверждает, что функция f имеет локальный показатель Гельдера α ≥ 0 в точке ϑ62тогда, когда существует константа K ≥ 0 и полином pϑ порядка m = α такой, что∀t ∈ R :| f (t ) − pϑ (t ) |≤ K | t − ϑ |α.Графическимультифрактальныйпроцесспредставляется в виде мультифрактального спектра.
В работе [85] авторыдемонстрируют, как меняются характеристики спектра для сетевого трафика припроведении DoS-атак (Denial-of-Service, атак отказа в обслуживании): измененияширины мультифрактального спектра (Рисунок 2) и изменения ширины правой«ветви» спектра, отвечающей за незначительные флуктуации (Рисунок 3).Рисунок 2 — Ширина мультифрактального спектра без атаки и при атаке SlowLorisРисунок 3 — Ширина правой «ветви» мультифрактального спектра без атаки ипри атаке Slow Loris632.Статистические методы. К статистическим показателям может бытьотнесено значение главной компоненты, отражающей не все показатели,формирующиепространствопризнаков,аегомалуючасть,наиболеечувствительную к изменениям параметров процессов КФС. Метод главныхкомпонент часто используется для сокращения размерности данных, однако вданном случае он также может быть использован для контроля самоподобияпроцессов, поскольку по изменению значения главной компоненты можно быстрообнаружить нарушение информационной безопасности, а также отследить, чтопараметры процесса или КФС вернулись в норму.