Диссертация (1144110), страница 25

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 25)

Были смоделированыследующие типы деструктивных воздействий:−атаки отказа в обслуживании на компоненты экспериментальногостенда;−атаки, заключающиеся в модификации данных от компонентовэкспериментального стенда;−нелегитимное внесение изменений в структуру экспериментальногостенда.При реализации атак отказа в обслуживании мультифрактальные свойстваатакуемых компонентов стенда менялись, поскольку в связи с большим числомсетевых запросов заметно снижалась производительность компонентов, чтопроявлялось в параметрах его работы. На рисунке 18 представлен графикизмененияширинымультифрактальногоспектрадлявременногоряда,сформированного из параметров датчика оценки уровня воды в резервуаре.

Этопривело к задержке отправления датчиком данных и, как следствие, кпереполнению резервуара.144Рисунок 18 — График изменения ширины мультифрактального спектра длявременного ряда, сформированного из параметров датчика оценки уровня воды врезервуареСледует отметить, что для различных типов атак отказа в обслуживаниимультифрактальные характеристики демонстрировали различную эффективностьи точность обнаружения. Так, ширина левой «ветви» мультифрактального спектраЛежандра лучше обнаруживала нарушения безопасности при реализациивысокоинтенсивных атак отказа в обслуживании, в то время как ширина «правой»ветви продемонстрировала наибольшую эффективность при моделированиинизкоинтенсивных атак отказа в обслуживании.Из 15нарушенийИБ КФС, вызванныхатакамиданноготипа,мультифрактальные метрики обнаружили все 15, причем наилучшие результатыпоказала характеристика ширина левой «ветви» спектра – 13 верно обнаруженныхатак из 15, а две другие характеристики показали одинаковые результаты,обнаружив по 11 атак.

Процент ошибок первого рода составил 5%, процент ошибоквторого рода составил 0%. Ошибки первого рода обусловлены попаданием мусорав систему очистки воды.145Смоделированные атаки, заключающиеся в модификации данных откомпонентов экспериментального стенда, также были успешно обнаружены сиспользованиеммультифрактальныххарактеристик.Модификацияданныхпроизводилась следующим образом:−осуществлялась фальсификация данных от расходомеров;−осуществлялась фальсификация значений датчика проводимости;−осуществлялась фальсификация значений датчика pH;−осуществляласьфальсификациязначенийокислительно-восстановительного потенциала;−осуществлялась фальсификация измерения жесткости воды;−осуществлялась фальсификация значений датчика перепада давления;−осуществлялась фальсификация значений датчика уровня воды;−осуществлялась фальсификация данных о состоянии клапана воды;−осуществлялась фальсификация данных о состоянии приводногонасоса;−осуществлялась фальсификация данных о состоянии дозирующегонасоса;−осуществлялась фальсификация данных о состоянии питающегонасоса.Успешная реализация таких деструктивных воздействий привела бы,соответственно, к отключению насоса, направляющего дехлорированную воду вблок обратного осмоса; к отсутствию воды в резервуаре и, напротив – к егопереполнению.Пример обнаружения атаки фальсификация значений датчика уровня водыпредставлен на рисунке 19.146Рисунок 19 — График изменения ширины правой «ветви» мультифрактальногоспектра для временного ряда, сформированного из параметров датчика уровняводы при фальсификации значенийИз 48 нарушений ИБ, вызванных атаками данного типа, мультифрактальныехарактеристики обнаружили 46, причем наименьшую точность обнаруженияпродемонстрировала ширина мультифрактального спектра Лежандра.

Процентошибок первого рода составил 7% процент ошибок второго рода составил 4%.Ошибки первого рода обусловлены засорением фильтров, а ошибки второго рода –недостаточным временем обучения. В ходе повторного эксперимента, времяобучения было увеличено и пропущенные нарушения ИБ КФС были выявлены.Наилучшие результаты были получены при выявлении нарушений ИБ,вызванных деструктивным воздействием, заключающимся в нелегитимномвнесении изменений в структуру экспериментального стенда. При реализациитаких атак в состав стенда вносились следующие изменения:−эмулировалась работа еще дополнительных датчиков;−включались зарезервированные исполнительные устройства;−разрывались соединения между компонентами системы очистки воды.147Из 24 смоделированных атак такого типа были обнаружены все 24,наилучшие результаты продемонстрировала характеристика ширина левой «ветви»спектра.

На рисунке 20 представлен график изменения значений даннойхарактеристики при разрыве соединения между расходомером и моторизованнымклапаном воды.Рисунок 20 — График изменения ширины правой «ветви» при разрывесоединения между расходомером и моторизованным клапаном водыОшибки первого рода составила 5% процентов, ошибки второго родасоставили 0%. Ошибки первого рода обусловлены нестабильным соединениемкомпонентов системы очистки воды.5.3.2Экспериментальные исследования метода выявления ВПО,основанного на оценке различия графов последовательности действий ПОНепосредственноеиспользованиеметрикоценкиподобияграфовсопряжено с большими временными затратами, вызванными необходимостьювычисления максимального общего подграфа. На рисунке 21 представлен графикзависимостивременивычисленияспомощьюалгоритмаМакГрегора148максимального общего подграфа MCS (G1 ,G2 ) от числа вершин в каждом из графовG1 ,G2 .Рисунок 21 — График зависимости времени вычисления MCS (G1 ,G2 ) от числавершин в графах G1 ,G2Для увеличения быстродействия процесса анализа графовой структуры,детализированная информация о событиях подвергается фильтрации длявыделения событий, значимых с точки зрения безопасности.

Затем полученныеданныеагрегируются,врезультатечегонесколькимсобытиямможетсоответствовать один узел графа, характеризующий макрособытие. В общемслучае, можно определить шаблоны последовательностей вызовов функций,которые могут описать поведение программы [140]. Так, для кейлоггера это можетбыть использование функций FindWindowA, ShowWindow, GetAsyncKeyState,SetWindowsHookEx, RegisterHotKey, GetMessage,UnhookWindowsHookEx, для149программы, внедряющей DLL в другой процесс - OpenProcess, VirtualAllocEx,WriteProcessMemory, CreateRemoteThread, а выявление факта выполненияпрограммыподотладчикомIsDebuggerPresent,можнореализоватьспомощьюCheckRemoteDebuggerPresent,OutputDebugStringW.ИспользованиеподобныхфункцийOutputDebugStringAшаблоновподразумеваетвысокоуровневое описание функционирования программы, позволяет добитьсязначительного понижения размерности графа программы и сократить времявычисление метрики до приемлемых значений.

Например, для макрособытиямодификацииреестраможноопределитьцепочку( Re gCreateKeyA → DeleteValueA) ∨ ( Re gCreateKeyA → Re gCloseKeyA),длямакрособытия скачивания и исполнения файла — цепочку событий вида(recv ^ write)^(open → write)^(recv → write)^(write → exec) и т.д.Полученные в результате анализа данные могут быть использованы длякорректировки состояния системы с помощью установленных агентов и, взависимости от степени вредоносности исследуемой программы, включатьследующие действия:−завершить вредоносный процесс и удалить файлы;−активировать работу компонентов защиты в специальном режиме;−восстановить потерянные данные;−запустить процесс восстановления системы.Для исследования возможности применения метрик ∆1 , ∆ 2 , ∆3 для решениязадачи обнаружения ВПО была составлена тестовая выборка из 2000 приложений,в которую вошло 1000 легитимных и 1000 вредоносных программ, взятых из базыпроектов theZoo, VirusSign, VirusShare.

Для каждого приложения вычислялисьзначения метрики, характеризующие различия между анализируемой программойизвыборкиизаданнымилегитимнымиприложениями.Анализируемоеприложение классифицируется как легитимное, если минимальное значениеметрики между графом этого приложения и графами легитимных приложенийменьше 0,4.

В противном случае, данное приложение признается вредоносным. В150таблице 3 приведены характеристики метрик и доля правильно обнаруженногоВПО.Таблица 3 — Характеристики метрикЗначениеМетрикаЗначениеприДоляприпустомобнаруженнG1 ≅ G2графеого ВПООпределениеMCS (G1 ,G2 )∆11−∆2| MCS (G1 ,G2 ) || G1 | + | G2 | − | MCS (G1 ,G2 )|| mcs (G1 ,G2 )|-|MCS (G1 ,G2 )|∆31−| MCS (G1 ,G2 ) |max { | G1 |,| G2 | }01877/10000|G1 | + |G2 |832/100001909/1000В результате экспериментальных исследований было определено, чтометрика ∆3 позволяет выявить большее число вредоносных программ. В таблице 4представлена оценка качества проводимого анализа на основе метрики ∆3 .Таблица 4 — Оценка качества проводимого анализаПредсказанный классВПОЛегитимное приложениеРеальныйВПО90981классЛегитимное15985приложениеВ результате проведенных экспериментальных исследований 1894 образцовбыли классифицированы корректно, в то время как 96 программ были отнесены нек своему классу.

График кривой ошибок, позволяющий оценить эффективность151использования метрики ∆3 для решения задачи выявления ВПО, и ееколичественнаяинтерпретацияAUC=0,88, представленынарисунке22.Полученные результаты демонстрируют эффективность данного подхода.Рисунок 22 — ROC-кривая предлагаемого метода выявления ВПОПредлагаемыйподход,основанныйнасобытийномописаниифункционирования программы, позволяет выразить процесс воздействия насистему через цепочку событий, возникающих на различных уровнях системы.Использование событийного графа дает возможность проанализировать поведениепрограммы на основе генерируемых событий и взаимодействия с компонентамиОС. Для оценки подобия полученной структуры графа и структуры графовзаданных легитимных приложений можно использовать метрику, основанную намаксимальном общем подграфе.1525.3.3Экспериментальныеисследованияметодаприоритизациисетевых потоков данных в ПКСДля оценки разработанного метода приоритизации сетевых потоков данныхв ПКС на основе решения задачи многокритериальной оптимизации параметровкачества обслуживания проведены эксперименты, связанные с исследованиемвозможности сетевой инфраструктуры к обработке разнородного сетевого трафикапри разном уровне загрузки сетевых ресурсов, что характерно для условийэксплуатации реальных КФС.

В ПКС были проведены следующие эксперименты:1)сравнение пропускной способности сетевой инфраструктуры ПКС,использующей разработанный способ, и обычной ПКС при обработке сетевыхпакетов различной длины;2)сравнение пропускной способности сетевой инфраструктуры ПКС,использующей разработанный способ, и обычной ПКС при обработке небольшогообъема сетевого трафика;3)сравнение пропускной способности сетевой инфраструктуры ПКС,использующей разработанный способ, и обычной ПКС при обработке среднегообъема сетевого трафика;4)сравнение пропускной способности сетевой инфраструктуры ПКС,использующей разработанный способ, и обычной ПКС при обработке максимальновозможного объема сетевого трафика;5)сравнение пропускной способности сетевой инфраструктуры ПКС,использующейразработанныйспособ,иобычнойПКСприобработкеуменьшающегося объема сетевого трафика;6)сравнение пропускной способности сетевой инфраструктуры ПКС,использующейразработанныйспособ,иобычнойПКСприобработкеувеличивающегося объема сетевого трафика;7)сравнение пропускной способности сетевой инфраструктуры ПКС,использующей разработанный способ, и обычной ПКС при обработке динамическименяющегося объема сетевого трафика.153В ходе проведения эксперимента по сравнению пропускной способностисетевой инфраструктуры ПКС, использующей разработанный способ, и обычнойПКС при обработкеразработанныйсетевых пакетов различнойспособуправлениясетевымидлиныпоказано, чтопотокамиповышаетпроизводительность сетевой инфраструктуры ПКС вне зависимости от длиныпередаваемых данных на 3% - 7% (Рисунок 23).Пропускная способность, Гбит/с12001000800600Без ПКСПКС4002000204060801001201401601802002202402602803003203403603804004204404604805005205405605806000Время, сРисунок 23 — Результаты эксперимента по сравнению производительности приобработке сетевых пакетов различной длиныВ ходе проведения эксперимента по сравнению пропускной способностисетевой инфраструктуры ПКС, использующей разработанный способ, и обычнойПКС при обработке небольшого объема сетевого трафика показано, чторазработанныйспособуправлениясетевымипотокамиповышаетпроизводительность сетевой инфраструктуры ПКС на 1% - 3% (Рисунок 24).Пропускная способность, Гбит/с15412001000800600Без ПКС400ПКС200004080 120 160 200 240 280 320 360 400 440 480 520 560 600Время, сРисунок 24 — Результаты эксперимента по сравнению производительности приобработке небольшого объема сетевого трафикаВ ходе проведения эксперимента по сравнению пропускной способностисетевой инфраструктуры ПКС, использующей разработанный способ, и обычнойПКС при обработке среднего объема сетевого трафика показано, чторазработанныйспособуправлениясетевымипотокамиповышаетПропускная способность, Гбит/спроизводительность сетевой инфраструктуры ПКС на 2% - 4% (Рисунок 25).12001000800600Без ПКС400ПКС200004080 120 160 200 240 280 320 360 400 440 480 520 560 600Время, сРисунок 25 — Результаты эксперимента по сравнению производительности приобработке среднего объема сетевого трафика155В ходе проведения эксперимента по сравнению пропускной способностисетевой инфраструктуры ПКС, использующей разработанный способ, и обычнойПКС при обработке максимально возможного объема сетевого трафика показано,чторазработанныйспособуправлениясетевымипотокамиповышаетпроизводительность сетевой инфраструктуры ПКС на 7% - 10% (Рисунок 26).Пропускная способность, Гбит/с12001000800600Без ПКСПКС4002000204060801001201401601802002202402602803003203403603804004204404604805005205405605806000Время, сРисунок 26 — Результаты эксперимента по сравнению производительности приобработке максимально возможного объема сетевого трафикаВ ходе проведения эксперимента по сравнению пропускной способностисетевой инфраструктуры ПКС, использующей разработанный способ, и обычнойПКС при обработке уменьшающегося объема сетевого трафика показано, чторазработанныйспособуправлениясетевымипотокамиповышаетпроизводительность сетевой инфраструктуры ПКС на 4% - 7% (Рисунок 27).Пропускная способность, Гбит/с15612001000800600Без ПКС400ПКС200004080 120 160 200 240 280 320 360 400 440 480 520 560 600Время, сРисунок 27 — Результаты эксперимента по сравнению производительности приобработке уменьшающегося объема сетевого трафикаВ ходе проведения эксперимента по сравнению пропускной способностисетевой инфраструктуры ПКС, использующей разработанный способ, и обычнойПКС при обработке увеличивающегося объема сетевого трафика показано, чторазработанныйспособуправлениясетевымипотокамиповышаетПропускная способность, Гбит/спроизводительность сетевой инфраструктуры ПКС на 3% - 6% (Рисунок 28).12001000800600Без ПКС400ПКС200004080 120 160 200 240 280 320 360 400 440 480 520 560 600Время, сРисунок 28 — Результаты эксперимента по сравнению производительности приобработке увеличивающегося объема сетевого трафика157В ходе проведения эксперимента по сравнению пропускной способностисетевой инфраструктуры ПКС, использующей разработанный способ, и обычнойПКС при обработке динамически меняющегося объема сетевого трафика показано,чторазработанныйспособуправлениясетевымипотокамиповышаетпроизводительность сетевой инфраструктуры ПКС на 5% - 6% (Рисунок 29).Пропускная способность, Гбит/с12001000800600Без ПКСПКС4002000204060801001201401601802002202402602803003203403603804004204404604805005205405605806000Время, сРисунок 29 — Результаты эксперимента по сравнению производительности приобработке динамически меняющегося объема сетевого трафикаСовременные КФС применяются для решения разнородных задач во многихсферах жизнедеятельности людей, поэтому одна и та же сетевая инфраструктурадолжна иметь возможность адаптироваться к текущим условиям, для реализациикоторых может потребоваться динамическое изменение сетевой топологии иликонфигурации устройств.

Характеристики

Список файлов диссертации