Диссертация (1144110), страница 24
Текст из файла (страница 24)
Требование кпропускной способностимаршрута3-й бит байта ToS. Требование ковремени задержки (delay)передачи IP-сегмента.5-й бит байта ToS. Требование кПотери пакетовнадежности (reliability) передачиIP-сегмента.Метод оценки0 — низкая, 1 — высокаяпропускная способность.0 — нормальная, 1 —низкая задержка.0 — нормальная, 1 —высокая надежность.Критерий «пропускная способность маршрута, по которому долженотправляться IP-сегмент» определяет требования к каналу передачи данных междуконечными участниками сетевого обмена. Для оценки выполнения данногокритерия необходимо использовать четвертый бит байта ToS.Критерий «время задержки передачи IP-сегмента» определяет требования кзадержке во время передачи данных.
Это обусловлено тем, что для передачинекоторого типа трафика критично время, за которое полностью осуществитсяпередача пакетов. Для оценки выполнения данного критерия необходимоиспользовать третий бит байта ToS.Критерий «надежность передачи IP-сегмента» определяет требования кнадежности передачи данных. Для передачи определенного типа информациинеобходимо обеспечить наиболее высокую надежность при передаче пакетов. Для135оценки выполнения данного критерия необходимо использовать пятый бит байтаToS.Дляоценкиэффективностиуправлениясетевымиресурсами,инфраструктурой и потоками данных в ПКС на основе контроля QoS используетсявычисление среднеквадратичного отклонения и метод многокритериальнойоптимизации. Для оценки эффективности управления сетевыми ресурсами,инфраструктурой и потоками данных в ПКС на основе контроля QoS (формула 23)используется значение среднеквадратичного отклонения величинвсех OpenFlow сетевых коммутаторов, гдеFi ( f ( x )) на одном коммутаторе.n∑ Fi ( f ( x )) дляi =1F(f(∑ i x )) — сумма значений функцийni =121 nσ = ⋅ ∑ ( Yi − Y ) ,n i =1(23)nгде Yi = ∑ Fi ( f ( x )) .i =1Если значение σ > 0 ,2Y , существующее распределение потоков передачиданных в OpenFlow сетевых коммутаторов не обеспечивает выполнениеразработанных критериев оценки эффективности управления сетевыми ресурсами,инфраструктурой и потоками данных в программно-конфигурируемой сети наоснове контроля QoS.Предложенный метод оценки эффективности управления сетевымиресурсами, инфраструктурой и потоками данных в программно-конфигурируемойсети на основе контроля QoS и метода взвешенной суммы обеспечиваетвыполнение определенных выше критериев, которые являются основой дляэффективной работы сетевой инфраструктуры КФС.
Патент, полученный наданное изобретение, имеет номер №2530279 и представлен в приложении Г.1364.4 ВыводыВ данной главе сформулированы требования к среде реализациипредложенной методологии обеспечения ИБ КФС. Поскольку данная методологияпри реализации вносит изменения в сетевую структуру КФС с цельюпротиводействия деструктивным воздействиям и одновременного сохранениякорректной работы системы, необходимо, чтобы среда реализации позволялаосуществлять быстрое и эффективное внесение изменений с минимальнымвоздействием на не требующие узлы элементы сети.Сформулированы следующие требования:−единство управления всей сетью для обладания информацией о всейсистеме, а не только об отдельных устройствах;−гибкость переконфигурирования – для приоритизации различныхсетевых потоков с целью повышения производительности КФС;−производительность среды сетевого обмена КФС – для максимальнобыстрого переконфигурирования;−программная реализация переконфигурирования – для устранениянеобходимости в обеспечении физического доступа к сетевым компонентам;−предварительная эмуляция – для проверки соблюдения всех условий,которые требуются для обеспечения устойчивости КФС.Всем выделенным требованиям удовлетворяет технология программноконфигурируемых сетей.
ПКС обеспечивает гибкое управление всей сетевойинфраструктурой как единым целым, что позволяет получать полную картину того,какие проблемы существуют в сетевой структуре КФС и быстро осуществлятьпереконфигурирование нужных компонентов сетевой структуры. Помимо гибкогоуправления всей сетью, технология ПКС обладает следующими преимуществами:−возможностьюреализациисобственноймоделиклассификациисетевого трафика с помощью назначения правил обработки различных типовтрафика;−повышением производительности среды сетевого обмена КФС;137−разделением уровней управления сетевой структурой и передачиданных;−возможностью предварительной эмуляции сетевой структуры КФС.Разработан метод приоритизации сетевых потоков данных, позволяющийобеспечить высокую производительность функционирования КФС в условияхроста числа ее компонентов.
В основу метода положена задача управлениясетевыми ресурсами и потоками данных в программно-конфигурируемой сети иавтоматической оценки эффективности управления сетевым оборудованием.Метод обеспечивает повышение производительности и масштабируемостипрограммно-конфигурируемой сети и сокращение ошибок ее администрирования.Таким образом, выбранная среда реализации предложенной методологииобеспечения информационной безопасности киберфизических систем, основаннаяна базе технологии программно-конфигурируемых сетей, позволяет учесть всесформулированные требования и обеспечить эффективное и гибкое управлениесетевой инфраструктурой КФС.1385ЭКСПЕРИМЕНТАЛЬНЫЕ ИССЛЕДОВАНИЯ РЕАЛИЗАЦИИМЕТОДОЛОГИИОБЕСПЕЧЕНИЯИНФОРМАЦИОННОЙБЕЗОПАСНОСТИ КИБЕРФИЗИЧЕСКИХ СИСТЕМ5.1 Архитектурагомеостатическойсистемыобеспеченияинформационной безопасности киберфизических системС учетом предложенных подходов и методов предлагается общаяархитектура гомеостатической системы обеспечения ИБ КФС, представленная нарисунке 16.
Блок управления безопасностью включает в себя три обобщенныхкомпонента:блокмониторинга,блокпринятиярешенийиблокпереконфигурирования.КФСВУУстройствоВУАгенты мониторингадействий ПОВУУстройствоУстройствоБлокпереконфигурированияУстройствоБлок принятия решенийБлок мониторингаМодуль оценкиустойчивостиМодуль сбора данныхМодуль выработки действийМодуль обработки данныхМодульвыявления нарушенийИБ КФСБаза данныхМодульсимуляцииБазасценариевМодульгомеостазаРисунок 16 — Архитектура гомеостатической системы управления КФСКонтроль КФС и диагностика возникающих в ней неполадок и возможныхпроблем безопасности составляют неотъемлемую часть общего процесса139управления.
Целью мониторинга является определение первичной оценкисостояния системы для принятия решения о необходимости вмешательства.Данный блок реализует следующие функции:−сбор данных от компонентов КФС;−обработка данных с целью приведения их к единому формату исокращения их размерности;−организация хранения данных;−выявление нарушений ИБ КФС.Модуль выявления нарушений ИБ КФС реализует разработанные методвыявления нарушений ИБ КФС, основанный на контроле самоподобия параметровфункционирования системы с использованием характеристик мультифрактальногоспектра Лежандра, и метод выявления ВПО, основанный на оценке различияграфов последовательности действий ПО. Основываясь на полученных значениях,системаделаетвыводотом,какиекомпонентыКФСнеобходимопереконфигурировать.На границе блока мониторинга и блока принятия решений находитсяоценка устойчивости, которая определяет, какие компоненты КФС необходимопереконфигурировать, чтобы обеспечить защиту от узлов КФС, на которыхзафиксированы нарушения, а также определяет, что необходимо сделать дляобеспечения нужного уровня устойчивости.
По результатам оценки устойчивостиблок принятия решений делает окончательный вывод о необходимостивмешательства в функционирование производственного комплекса.При неудовлетворительном прогнозе активируется блок генерациикомпенсирующего воздействия, включающий генератор действий и компонентывыработки действия на базе симуляции, базы известных сценариев реакции и блокагомеостаза, реализующего комплексный подход к синтезу управляющеговмешательства на базе описанных выше принципов.В соответствии с ключевыми особенностями каждой КФС, в основу еефункционирования должен быть заложен определенный набор сценариев реакции,140осуществляющий самоадаптацию системы для возвращения ее в устойчивоесостояние и сохранения корректности ее функционирования.Сценарии реакции можно разделить на 3 группы:−сценарии, отвечающие за создание новых объектов системы илиактивацию уже существующих, в таком случае, для реализации такой стратегиицелесообразно вкладывать некоторую избыточность в состав системы, этопозволит повысить ее устойчивость;−сценарии, отвечающие за организацию взаимодействия объектовсистемы и их совместное функционирование;−сценарии, определяющие поведение всей системы и заключающиеся взадании связи между компонентами КФС и потоком управляющих воздействий,циркулирующим между ними.При этом, для некоторых КФС целесообразно обеспечить возможностьвозврата к предыдущему устойчивому состоянию.
Внесение изменений в процессфункционирования системы не должно быть резким, для этого в блок генерациикомпенсирующего воздействия заложена функция симуляции, обеспечивающаяподготовку плана изменений в работе на уже функционирующей системе.5.2 Экспериментальный макет киберфизической системыДля оценки эффективности предложенной методологии динамическогопереконфигурирования параметров и структуры системы с использованиемпринципа гомеостаза был разработан экспериментальный макет предлагаемойсистемы для обеспечения ИБ, реализующий процесс очистки воды, аналогичнойКФС, описанной в работе [139].Очистка воды включает в себя шесть подпроцессов P1-P6 (Рисунок 17):1) P1: сбор и хранение необработанных вод;2) P2: предварительная очистка воды;3) P3: первичная обработка воды, предусматривающая использованиетехнологий ультрафильтрации и обратной промывки;4) P4: вторичная обработка (дехлорирование);1415) P5: обратный осмос;6) P6: передача очищенной воды, обратная промывка и очистка.ПОСТУПЛЕНИЕНЕОЧИЩЕННЫХВОДСБОР И ХРАНЕНИЕНЕОБРАБОТАННЫХ ВОДОЦЕНКА УРОВНЯВОДЫСБОР ВОДЫПЕРВИЧНАЯ ОБРАБОТКАВОДЫПРЕДВАРИТЕЛЬНАЯОЧИСТКА ВОДЫФИНАЛЬНАЯ ОЧИСТКАВОДЫОБРАТНАЯПРОМЫВКА ВОДЫОЧИСТКА ВОДЫОЦЕНКА УРОВНЯВОДЫПОДКАЧКА ВОДЫОБРАТНАЯПРОМЫВКА ВОДЫЦИРКУЛЯЦИЯВОДЫОЧИЩЕННАЯВОДАУЛЬТРАФИЛЬТРАЦИЯВОДЫВТОРИЧНАЯ ОБРАБОТКАВОДЫДЕХЛОРИРОВАНИЕВОДЫОБРАТНЫЙ ОСМОСУЛЬТРАФИЛЬТРАЦИЯВОДЫОБРАТНАЯПРОМЫВКА ВОДЫПЕРЕДАЧАОЧИЩЕННОЙ ВОДЫРисунок 17 – Архитектура экспериментальной КФС очистки водыПосле сбора сырой, неочищенной воды и ее грубой очистки от основноймассы загрязнений осуществляется обработка с помощью физико-химическихметодов.
Для этого используется система ультрафильтрации и дехлорирования,после чего вода обрабатывается системой обратного осмоса. Процесс обратнойпромывки очищает мембраны модуля ультрафильтрации, используя воду,выработанную в процессе P5.Управление в рамках каждого подпроцесса выполняется с помощьюпрограммируемого логического контроллера, взаимодействующего с сенсорами иактуаторами физического уровня. С каждым из подпроцессов ассоциированотдельный набор датчиков и актуаторов.
Датчики позволяют считыватьинформацию о перепадах уровней воды, потоке воды в трубах, давлении и др.Актуаторы аккумулируют информацию о состоянии водяных насосов, моторныхклапанов, ультрафиолетового дехлоратора.Экспериментальный макет предлагаемой системы для обеспечения ИБ,реализующий процесс очистки воды имеет следующий состав:1421)Датчики:−расходомеры, которые измеряют приток воды;−датчики уровня воды;−датчики проводимости, измеряют уровень хлорида натрия (NaCl)−датчики pH, измеряют показатель хлороводорода в воде;−датчики ORP (окислительно-восстановительного потенциала);−датчики расхода воды;−датчики перепада давления;−датчики измерения жесткости воды;−датчики электропроводности воды, измеряют гипохлорит натрияв воде;(NaOCl);датчики давления.−2)Актуаторы (исполнительные устройства):−моторизованные клапаны воды;−приводные насосы;−дозирующие насосы;−питающие насосы;−передатчики;−актуаторы для дехлорирования воды.3)Сетевая среда на базе ПКС:−коммутаторы OpenFlow;−контроллер ПКС.4)Система управления КФС:−ПК;−сервера.5)Гомеостатическая система обеспечения ИБ КФС.1435.3 Экспериментальные исследования разработанных методов иподходов, направленных на обеспечение ИБ КФСВ данном подразделе представлены экспериментальные исследованияразработанных методов и подходов, направленных на обеспечение ИБ КФС напримере разработанного экспериментального макета.5.3.1Экспериментальныеисследованияметодаобнаружениянарушений ИБ КФСЭкспериментальные исследования метода обнаружения нарушений ИБКФС заключались в моделировании деструктивных воздействий различного типана компоненты экспериментального стенда очистки воды.