Содержание к диссертации
Введение
Глава 1. Проблема производительности кткс. анализ объекта исследования 9
1.1. Общая структура КТКС 10
1.2. Показатели производительности КТКС 14
1.3. Причины снижения производительности КТКС 16
1.4. Уточнение задачи исследования 28
Выводы к главе 1 30
Глава 2. Разработка и исследование аналитических моделей оценки производительности КТКС 31
2.1. Замкнутая модель КТКС 31
2.2. Разомкнутая модель КТКС 42
2.3. Экспериментальное исследование моделей оценки производительности КТКС 50
Выводы к главе 2 53
Глава 3. Разработка и исследование моделей повышения производительности КТКС 55
3.1. Структурная модель системы защиты информации КТКС 55
3.2. Модели организации защитных механизмов в КТКС 58
3.3. Модель распределенной системы противодействия угрозам ИБ 83
Выводы к главе 3 89
Глава 4. Экспериментальные исследования производи тельности КТКС 91
4.1. Разработка экспериментальной установки КТКС 91
4.2. Результаты и анализ экспериментальных исследований 93
Выводы к главе 4 102
Заключение 103
Список используемой литературы
- Причины снижения производительности КТКС
- Разомкнутая модель КТКС
- Модели организации защитных механизмов в КТКС
- Результаты и анализ экспериментальных исследований
Введение к работе
з
Актуальность темы. Проблема повышения производительности корпоративных телекоммуникационных сетей (КТКС) в последние годы существенно обострилась как в отечественной науке и промышленности, так и за рубежом. Это обусловлено рядом причин, среди которых выделим две основные:
постоянно возрастающая структурная сложность и размерность современных КТКС, характеризующихся множественными изменяющимися во времени информационными связями;
постоянно возрастающие потребности практики в увеличении уровня информационной безопасности (ИБ) КТКС, особенно предназначенных для работ на опасных промышленных объектах.
Анализ современных КТКС показывает, что существенное снижение производительности сети происходит из-за угроз ИБ, реализация которых способна полностью блокировать работу КТКС. Для эффективного проектирования и эксплуатации КТКС, функционирующих в условиях воздействия угроз ИБ, необходимо располагать моделями и алгоритмами, позволяющими оценивать, прогнозировать и обеспечивать требуемый уровень производительности, как одного из основных показателей-индикаторов эффективности КТКС и качества обслуживания абонентов.
Известные сетевые модели с использованием аппарата теории массового обслуживания, предложенные В.М. Вишневским, А.И. Герасимовым, Б.В.Гнеденко, П.П. Бочаровым, Л. Клейнроком не учитывают параметры угроз ИБ и систем защиты (СЗИ). Подходы к обеспечению ИБ в телекоммуникационных сетях, предложенные в трудах российских ученых В.А. Герасименко, СП. Расторгуева, П.Д. Зегжды, В.И. Завгороднего, А.А. Малюка, А.А. Грушо, В.В.Домарева, зарубежных исследователей Р. Брэтта, К. Касперски, С. Норкатта, В. Столингса, хоть и обеспечивают существенное повышение защищенности КТКС, но не используют в качестве критерия эффективности производительность.
Таким образом, исследования, направленные на разработку моделей повышения производительности КТКС, функционирующей в условиях воздействия угроз ИБ, актуальны и имеют теоретическое и практическое значение при моделировании, проектировании и эффективной эксплуатации телекоммуникационных сетей.
Объект исследования - корпоративная телекоммуникационная сеть.
Цель работы - решение научно-технической задачи разработки новых моделей и процедур управления, направленных на повышение производительности корпоративной телекоммуникационной сети в условиях воздействия угроз информационной безопасности.
Для достижения поставленной цели в работе решены следующие задачи:
1. Выявление угроз ИБ, вызывающих существенное снижение производительности КТКС.
Синтез аналитических моделей оценки производительности КТКС в условиях воздействия угроз ИБ.
Разработка алгоритмов достоверного обнаружения реализации угроз ИБ в КТКС за ограниченное время.
Разработка модели распределенной системы противодействия угрозам информационной безопасности в КТКС.
Разработка средств экспериментального исследования характеристик производительности КТКС с учетом воздействия и противодействия угрозам ИБ.
В ходе решения перечисленных задач использовались следующие методы исследования: анализ структур и процессов функционирования КТКС, моделирование и синтез оптимальных процедур управления и обработки информации. Научные положения, выводы и рекомендации, сформулированные в диссертации, теоретически обосновываются с помощью аппарата теории вероятностей, теории очередей.
Научные результаты, выносимые на защиту:
аналитические модели оценки производительности КТКС в условиях воздействия угроз информационной безопасности;
алгоритмы достоверного обнаружения реализации угроз ИБ в КТКС за ограниченное время;
- модель распределенной системы противодействия угрозам ИБ.
Научная новизна работы:
Разработано семейство аналитических моделей оценки производительности КТКС в условиях воздействия угроз ИБ, отличающихся тем, что они учитывают параметры угроз ИБ и систем защиты информации.
Предложена методика повышения производительности КТКС в условиях воздействия угроз ИБ, включающая:
- алгоритмы обнаружения угроз ИБ за ограниченное время;
модель противодействия угрозам ИБ, обеспечивающая максимальную производительность КТКС;
средства и механизмы, позволяющие автоматизировать процессы определения характеристик производительности КТКС в условиях воздействия угроз ИБ.
Практическая ценность работы заключается в следующем:
Разработанные инструментальные средства в среде Adobe Flash CS3 Professional, позволяют: моделировать воздействие угроз ИБ и СЗИ на производительность замкнутой и разомкнутой систем, определять характеристики производительности по аналитическим алгоритмам.
Предложенные имитационные модели КТКС в среде GPSS World, позволяют количественно оценить характеристики производительности в условиях воздействия угроз ИБ и снять ограничения, накладываемые аналитическими моделями.
3. Разработанные инструментальные средства подсистемы раннего
обнаружения информационных атак, позволяют снижать время обнаруже-
5 ния минимум на 20% по сравнению со стандартной системой обнаружения вторжений, что при оперативном инициировании средства противодействия угрозам ИБ в наиболее уязвимых узлах КПСС позволяет повысить производительность не менее чем в 2 раза.
Реализация и внедрение результатов работы. Исследования и практические разработки, выполненные в диссертационной работе, являются частью научно-исследовательских работ, выполненных Владимирским государственным университетом: г/б НИР 396/03 «Исследование и разработка методов повышения эффективности распределенных управляющих систем»; х/д НИР №3701/08, № 3744/08 «Разработка ведомственных информационных систем администрации Владимирской области»; № ДУ55/08 «Развитие сети передачи данных администрации Владимирской области».
Результаты исследований были внедрены в корпоративной телекоммуникационной сети ОАО «Завод «Электроприбор»» г. Владимир, КТКС ООО «Гранит» г. Владимир, Администрации Владимирской области, а также были использованы при разработке учебных курсов во Владимирском государственном университете.
Достоверность полученных результатов подтверждается полнотой и корректностью теоретических обоснований и результатами экспериментов, проведенных с помощью разработанных в диссертации программ.
Апробация работы. Основные положения диссертационной работы докладывались на: Международной научно-технической конференции «Автоматизированная подготовка машиностроительного производства, технология и надежность машин, приборов и оборудования» (Вологда, 2005); III Всероссийской научно-технической конференции «Образовательная среда сегодня и завтра» (Москва, 2006); XIX, XX, XXI, XXII, XXIII Международных научных конференциях «Математические методы в технике и технологиях» (Воронеж, 2006, Ярославль, 2007, Саратов, 2008, Иваново, 2009, Саратов, 2010); XXVI Международной научно-технической конференции «Проблемы эффективности безопасности функционирования сложных технических и информационных систем» (Серпухов, 2007); IV Всероссийской научно-практической конференции «Имитационное моделирование. Теория и практика» (Санкт-Петербург, 2009).
Публикации. Основные положения диссертационной работы отражены в 24 публикациях, включая в рекомендуемых ВАК изданиях.
Структура и объем диссертационной работы. Диссертация состоит из введения, четырех глав, заключения, списка использованной литературы из 170 наименований, приложений и содержит 120 страниц основного текста, иллюстрированного 22 рисунком.
Причины снижения производительности КТКС
По мере развития и усложнения корпоративных телекоммуникационных сетей повышается уязвимость информационных процессов и ресурсов, напрямую влияющая на производительность КТКС. Реализация угроз информационной безопасности способна создавать ситуацию невозможности эффективного выполнения основных функций КТКС, способная полностью блокировать работу КТКС.
Основную причину снижения производительности КТКС специалисты связывают с недостаточной защищенностью информации и конкретно с информационными атаками злоумышленников [3, 4, 9, 15, 38, 62, 66, 81, 83, 85, 94, 117, 119, 121-123, 125, 138, 145, 153, 155, 157, 159] .
Анализ преднамеренных информационных воздействий на элементы КТКС. Наиболее уязвимыми и поэтому часто атакуемыми компонентами КТКС являются:
1. Сервера: Цели злоумышленников для дестабилизации работы КТКС заключаются в попытке вывода из рабочего режима определенного класса услуг (нарушения нормального функционирования). Класс атак вывода из строя сервисов получил название атака «отказ в сервисе» (англ. Deny of service - DoS) [62, 88, 123, 126, 129, 132, 134, 140; 146, 147, 161, 162]. Атака может быть реализована на целом диапазоне уровней-модели OSI - физическом, канальном, сетевом, сеансовом. В качестве серверов услуг, наиболее часто подвергающимся модификации, DNS -сервера.
2. Рабочие станции. Основным средством атак рабочих станций являются вредоносные программы [28, 39-41, 43, 49, 66, 74, 85, 87, 127, 129, 130-133, 137, 139, 142, 143, 150, 154, 156, 160, 163-167]. Целью подобных программ является разрушение системы защиты станции изнутри, изменение или вообще блокирование ее работы.
3. Среда передачи информации. Основным видом атак на среду передачи информации (СПИ) является ее прослушивание [15]. Этот тип информационного воздействия не приводит напрямую к снижению производительности КТКС, и анализироваться не будет. Вывод СПИ из строя обычно расценивается как внешнее механическое (а не программное) воздействие. Возможны физическое разрушение кабелей, постановка шумов в кабеле и в радио- трактах.
4. Узлы коммутации. Узлы коммутации представляют собой инструмент маршрутизации сетевого трафика. Получение доступа к маршрутным таблицам позволяет злоумышленнику изменить путь потока информации. Дальнейшие его действия могут быть подобны атаке на DNS-сервер. При атаке класса «отказ в сервисе» злоумышленник обычно заставляет узел коммутации либо передавать сообщения по неверному «тупиковому» пути, либо вообще перестать передавать сообщения.
Типовые информационные воздействия злоумышленников: 1. Прослушивание сетевого трафика. Для прослушивания трафика (sniffing) сетевой адаптер переводится в «беспорядочный» режим. В данном режиме адаптер перехватывает все сетевые пакеты, проходящие через него, а не только предназначенные данному адресу, как в нормальном режиме функционирования - технологии - ARP Spoofing (ARP-poisoning), MAC Flooding и MAC Duplicating [9, 108]. Перехват осуществляется с использованием сетевых мониторов, из которых наиболее функциональными являются Sniffer Pro от компании Sniffer Technologies [114], IRIS Network Traffic Analyzer от компании eEYE [ 119] и TCP Dump [152].
Последствия. Современные сетевые протоколы (TCP/IP, ARP, HTTP, FTP, SMTP, РОРЗ и т.д.) не имеют механизмов защиты (передаются в открытом виде). Злоумышленник, перехватывающий трафик между почтовым сервером и любым узлом сети, может завладеть аутентификационными данными пользователя (получить пароль). Противодействие. Известен ряд методов определения наличия запущенного сниффера в сети, например, метод пинга, метод ARP, метод DNS и метод ловушки [9,15, 98], но они не нашли широкого применения.
2. Сканирование уязвимостей. Результатом работы сканера является информация о КТКС, включающая список сетевого оборудования, компью теров, с запущенными на них службами, версиями сетевого ПО (а значит и уязвимостей, присущих данному ПО), учетные записи пользователей. Скани рование уязвимостей обычно является этапом, предваряющим атаку. Именно результаты сканирования позволяют точно подобрать эксплойты для осуще ствления непосредственно НСД к узлам КТКС.
Обнаружение. Само по себе сканирование не является незаконным. Однако, если сканирование со стороны внешней, по отношению к КТКС, сети обыкновенное явление, то сканирование компьютеров из внутренней сети і - безусловно, инцидент безопасности, требующий незамедлительной реакции со стороны сетевого администратора. Обнаружить следы сканирования мож- . но, изучая журналы регистрации МЭ. Однако такой подход не позволяет своевременно реагировать на подобные инциденты. Поэтому современные МЭ и СОВ имеют модули (plug-in) [3, 9, 51] позволяющие обнаружить ска-" нирование в режиме реального времени. Некоторые сканеры уязвимостей используют оригинальные методы, позволяющие производить сканирование максимально скрытно. Например, в Nmap [9] существуют возможности, позволяющие значительно затруднить обнаружение сканирования для СОВ.
Разомкнутая модель КТКС
Анализ производительности КТКС, особенно в условиях воздействия угроз информационной безопасности, приводящего, возможно, к ее непредсказуемому функционированию, является задачей весьма непростой [1, 2, 5, 6, 99, 103, 104, 109, ПО, 141]. Причина тому - усложнение структуры и режимов функционирования КТКС, что затрудняет применение классических методов теории систем массового обслуживания (СМО) [12, 18, 19, 25, 26, 53, 55, 60, 61, 67] ввиду возрастающей размерности решаемых задач.
Одним из возможных путей преодоления противоречия является использование моделей в форме сетей массового обслуживания (СеМО) [17, 20, 22, 23, 24, 63, 64, 70]. Известные сетевые модели, предложенные В.М. Вишневским, А.И. Герасимовым, Б.В.Гнеденко, П.П. Бочаровым, Л. Клейнроком не учитывают параметры угроз ИБ и систем защиты.
В главе предложены аналитические модели оценки производительности КТКС в условиях воздействия угроз ИБ. Приведены алгоритмы расчета характеристик производительности. Представлены результаты экспериментального и модельного исследования влияния воздействия угроз ИБ и СЗИ на характеристики производительности КТКС.
Пусть моделью КТКС является замкнутая сеть [20, 80, 86, 100, 101, 111, 120] из К СМО (рис. 2.1), в которой циркулирует фиксированное число пакетов (внешний источник отсутствует). СеМО задается стохастической мар Р21 Р22 Рік \Рк\ PK2 -Ркк J
Воздействия угрозы ИБ, как вредоносный поток (ВП), создаваемый атакующим средством, оценим интенсивностью потока пакетов, поступающих в /-й узел: Я, = е,Л, где е, - передаточные коэффициенты, Л — интегральный сетевой трафик [20].
Описывая Я, пуассоновским процессом с экспоненциальным распределением времени их передачи, учитывая независимость данного потока (в первом приближении) от остальных, положим, что Я,. = Я + Я п, где Я - интенсивность «полезного» потока (в общем плане, включая интенсивность потока обновления баз сигнатур антивирусных программ), а /If7- интенсивность ВП, получим
Интенсивность Я п зависит от характеристик угрозы ИБ. Например, для угрозы ИБ - «вредоносная программа», введем классификацию: «слабая» ВПр (алгоритм сканирования сети перебором, опрос PC, ВРС, С путём ICMP, одномодульная ВПр (сканер уязвимостей, механизм распространения, а также механизм реализации сосредоточены в одном программном модуле)); «сильная» ВПр (усовершенствованные алгоритмы сканирования сетевых ад 33 ресов, опрос PC, ВРС, С с использованием полуоткрытого ТСР-соединения, многомодульная, использование технологий, затрудняющих ее обнаружение).
Будем считать ВП постоянным и не превышающим полезный: Лвп = Л, t, 1, где коэффициент представляет ВП как часть от полезного. Таким образом,
Для стационарного режима интенсивность потока, входящего в узел, к равна интенсивности исходящего. Составим систему уравнений: X. = ХЛР/, (v/ = хк). к Учитывая, что /\,= Є,- Л и Aj = Є/ Л, сократим на Л: е. = е,-Р4-, или в развернутом виде: (Рі1-1)(е +0+p12(eJ +eB2n)+...+pJeK +евкп) =0 pje +е?л)+(р22 -1)(e +e2fin)+...+pK2(e; +еЛ = (2.3) [PlK(e; +0+РЖ +e2sn)+...+(pKK-i)(e; +o=o Система линейных уравнений (2.3) в матричной форме: Р1Е = 0, где матрица Р., получена путем транспонирования матрицы PR и уменьшением элементов главной диагонали на 1:
Рассмотрим узлы СеМО по отдельности. Интенсивность обработки пакетов в /-М узле: /V,- = Мт„ где т, — среднее время обработки пакета в /-м узле," распределённое по экспоненциальному закону, т, зависит от длительности непосредственной обработки пакета в узле (т - расшифровка пакета, формирование запроса к БД и т.п.), от длительности функционирования угрозы ИБ (т, п — запуск кода ВПр, «пустое» или «разрушающее» использование ресурсов узла и т.п.) и от длительности функционирования МЗ (например, для антивирусных средств г,ш — поиск ВПр, уничтожение, обновление и т.п.)
Вид данной функциональной зависимости (2.5) не определен. Экспериментальные исследования показали, что величина г, пропорциональна т и имеет тенденцию к увеличению при возрастании г,вп по сложной нелинейной зависимости. К увеличению длительности обработки в узле ведет и величина г,мз, которая, в общем плане, зависит от интенсивности ВП (т.е. по сути от rfn) и от характеристик СЗИ, определяемых отсутствием и/или неправильным функционированием межсетевых экранов и IPS/IDS, отсутствием средств реструктуризации топологии КТКС, отсутствием или недостаточ 35 ной оперативностью обеспечения МЗ обновлениями («слабая» СЗИ), или наличием комплексной СЗИ, в которой функционируют механизмы управления безопасностью («сильная» СЗИ). В общем случае, вероятность нахождения /-го узла в состоянии Sk Рассмотрим все возможные состояния сети п = (nvn2,...,nK): п1 + п2+... + пк = N, где ПІ — число пакетов в узле. Обозначим множество всех состояний сети как S(N,K). По теореме декомпозиции (Джексона), в стационарном режиме состояние всей сети определяется состоянием её узлов: Tl-ir1—
Расчет среднего времени пребывания пакета в узле, как одного из основных характеристик производительности КТКС, предлагается выполнять в соответствии со следующим алгоритмом.
Алгоритм расчета среднего времени обработки пакета в узле замкнутой КТКС Шаг 1. Задать начальные значения характеристик СеМО: К — количество узлов; А/ - количество пакетов, циркулирующих в сети, включая /V - вредоносные пакеты; маршрутную матрицу PR\ количество устройств обработки в каждом узле т,\ среднее время обработки пакета в узле с учетом (2.5) v, (у/ = 1, К).
Модели организации защитных механизмов в КТКС
Решение задачи обеспечения максимально возможного уровня производительности КТКС в условиях воздействия угроз ИБ, в постановке (1.2) предполагает разработку алгоритмов достоверного обнаружения угроз ИБ [30] и модели распределенной системы противодействия угрозам ИБ [34, 44, 46].
Обнаружение и противодействие информационным атакам, реализующим угрозы ИБ, предполагает комплекс разнообразных мер и использование разнообразных средств защиты [50, 81-83, 85, 94, 96, 98, 107, 121]. Цели принимаемых мер - это снижение вероятности тотального инфицирования КТКС, уменьшение последствий таких воздействий, и соответственно обеспечение требуемого уровня производительности КТКС [33, 37, 82].
Под оптимальной защитой в данной связи будем понимать такую совокупность методов и средств защиты для заданного числа объектов, которая обеспечивает минимальное время обнаружения атаки [42] при одновременно максимальном уменьшении последствий от ее действия.
В главе разрабатывается комплекс алгоритмов достоверного обнаружения угроз ИБ за ограниченное время, анализируются возможности оперативного построения адекватных защитных механизмов.
Функционирование СЗИ удобно рассмотреть на структурной модели обнаружения и противодействия информационным атакам на ресурсы КТКС (рис. 3.1). Выделим внухуровневую архитектуру СЗИ. Уровень обнаружения — совокупность средств обнаружения (множество SO). На выходе каждого СО формируется бинарный сигнал X,(f) (/ = 1, Л/), принимающий либо 1 (угроза ИБ обнаружена), либо 0 (угроза ИБ не обнаружена). Сигнал X,(t) характеризуется плотностями распределения вероятностей его появления —
Уровень противодействия — совокупность средств противодействия (множество SP), каждое из которых может быть инициировано при обнаружении угрозы ИБ. Решающий блок реализует следующий алгоритм: Шаг 1. На основании показаний СО (Х1 (t), Х2(t),...,XN(t)) принимается решение о наличии или отсутствии угроз ИБ. Шаг 2. Если принимается решение о наличии угроз ИБ, то вырабатывается управляющее воздействие Y = (yv У2,---,УМ) на основании стохастической маршрутной матрицы PR. В противном случае средства противодейст Ґ1, если уугроз ИБ обнаружена; вия не инициируются. Z =
Рассмотрим простейшую модель организации защитных механизмов от угроз ИБ одного объекта КТКС (рис. 3.2). Модель включает два основных элемента - объект защиты (03) и модуль защиты (МЗ). Объектом защиты может быть любой информационный ресурс или какой-либо информационный процесс КТКС. Модуль защиты включает в состав средство обнаружения (СО) и средство уничтожения (СОтр) угроз ИБ. Решающее правило (РП) вырабатывает и подает на МЗ управляющее воздействие.
Каждое СО предназначено для обнаружения конкретных видов угроз ИБ, характеризуется вероятностью появления сигнала об угрозы ИБ, вероятностью возникновения «ложной тревоги» и временем генерации сигнала о тревоги. Для обеспечения требуемого уровня защищенности объектов КТКС от угроз ИБ должно быть сформировано решающее правило формирования сигнала об угрозе ИБ распределения вероятностей его появления — f (X(t)) (3.1) и где с — произвольная постоянная, значение которой определяется требуемой вероятностью защиты (пороговое значение). При выполнении или отсутствии таковой.
На выходе МЗ формируется бинарный сигнал X(t), характеризующий 59 ся плотностями (3.3) принимается решение о наличии угрозы ИБ, и проводятся меры по ее уничтожению. Время 7 ОБ зависит только от характеристик выбранного СО для объекта КТКС и может быть улучшено за счет смены средства обнаружения.
Достоинством данной модели является простота алгоритма работы модуля защиты. Недостатком является то, что один МЗ не может обеспечить достоверную защиту от всех видов угроз ИБ. Это связано с тем, что отдельный модуль защиты предназначен для решения задачи обнаружения только определенного множества вредоносных воздействий и нарушений системы.
Результаты и анализ экспериментальных исследований
Для исследования характеристик производительности КТКС был поставлен ряд экспериментов в экспериментальной сети (аналог фрагмента СПД Администрации Владимирской области), ее схема представлена на рис. 4.1.
Исследуемая сеть состоит из двух сегментов, объединенных коммутатором: пять компьютеров моделируют подсеть, на которую непосредственно проводились атаки, остальные три компьютера были задействованы для служебных нужд и как компоненты консоли распределенной сетевой системы обнаружения вторжений D-NIDS - Distributed Network IDS. Основные характеристики используемого оборудования представлены в табл. 4.1.
Исследуемая сеть строилась на базе концентраторов (все компьютеры образуют единый домен коллизий, благодаря чему передающиеся по сети фреймы видны сенсорам IDS). Для увеличения количества узлов сети, были использованы инструменты виртуализации. На каждом компьютере были развернуты по три виртуальные машины, работающих под управлением Microsoft WindowsXP. В качестве платформы для виртуализации выбрана Sun VirtualBox3. Конфигурации ПО всех виртуальных рабочих станций и всех сенсоров IDS одинаковы.
В качестве сенсоров созданной D-NIDS был выбран Snort IPRoute2. Хранилищем сведений о выявленных атаках служит выделенный сервер баз данных, на этом же компьютере было установлено ПО для синхронизации времени всех узлов сети. В качестве СУБД использовался MySQL-сервер версии 5.0. 4.2. Результаты и анализ экспериментальных исследований
Эксперимент №1. Цель. Получить динамическую характеристику вероятности выявления воздействий угроз ИБ средствами обнаружения. Объект исследования. Сенсоры Snort IPRoute2 D-NIDS. Выходные данные. Относительное количество обнаруженных атак и подозрений на атаку по периодам времени для сенсоров IDS.
Анализ графиков. Графики (рис. 4.2, 4.3) показывают, что динамические характеристики обнаружения сенсоров сильно зависят от загруженности сети. Время достоверного обнаружения («вероятность обнаружения» / «вероятность «ложной тревоги»» 9) изменялось от 12 с (средняя нагрузка) до 25 с (высокая нагрузка). Заметим, что при низкой нагрузке наблюдалась относительно высокая вероятность «ложной тревоги».
Экспериментально полученные данные по сенсорам сведены в табл. 4.2. Столбец Хо показывает наличие (Хо = 1) или отсутствие (Хо = 0) вредоносного трафика (ВТ) в экспериментальной установке, столбцы Xi — Х5 - «усредненные» по множеству экспериментов показатели факта обнаружения ВТ. Столбец р(х0, х) содержит относительные частоты появления данного набора показателей сенсоров (см. главу 3).
Анализ результатов эксперимента. Вредоносный трафик в системы стал поступать с 10 с. Производительность сети с этого момента стала подать. В условиях отсутствия СЗИ средняя задержка возросла до 0,33 с (производительность упала в и 6 раз за 40 с). В условиях типовой СЗИ (в каждом узле типовой комплект) средняя задержка возросла до 0,28 с, и после того как СЗИ блокировала ВТ (на » 50 с) средняя задержка уменьшилась до ОД8 с (производительность по сравнению с исходным вариантом уменьшилась в « 3 раз, что может обеспечить нормальное функционирование корпоративной сети).
Наилучший вариант, приводящий к снижению производительности всего лишь в 2 раза, обеспечивается следующими механизмами: за счет использования алгоритма КОУ снижается время обнаружения ВТ (на 20-20%), с помощью алгоритма расстановки СЗИ в узлах сети в максимальный режим включается лишь часть СЗИ узлов. В данном эксперименте вместо 5 СЗИ, функционирующих в максимальном варианте защиты, процедура подключила только 3.
Примеры эффективного апробирования механизмов и средств повышения производительности КТКС в условиях воздействия угроз ИБ дают возможность констатировать адекватность и функциональность основных теоретических построений и разработанных на их основе алгоритмических и инструментальных средств.
Раннее обнаружение информационных атак (результаты экспериментов показали снижение времени обнаружения на 20-25% по сравнению с традиционными логическими схемами обнаружения угроз ИБ) позволяло оперативно инициировать средства противодействия угрозам ИБ в наиболее уязвимых узлах КТКС. В результате производительность КТКС в условиях воздействия угроз ИБ оставалась на требуемом уровне (снижение происходило не более чем в 2 раза), что обеспечивало нормальное функционирование корпоративной сети.
