Методическое обеспечение процесса выявления инцидентов в работе комплексных сетей систем безопасности Исхаков Сергей Юнусович

Содержание к диссертации

Введение

1 Проблемы мониторинга систем безопасности 14

1.1 Архитектура комплексных сетей систем безопасности 15

1.2 Особенности функционирования комплексных сетей систем безопасности 21

1.3 Проблемы мониторинга состояния комплексных сетей систем безопасности 27

1.4 Выводы 36

2 Моделирование комплексных сетей систем безопасности 37

2.1 Имитационная модель штатной работы комплексных сетей систем безопасности 38

2.2 Понятие инцидента 46

2.3 Выводы 49

3 Подход к выявлению инцидентов в работе комплексных сетей систем безопасности 51

3.1 Задача организации сбора информации о состоянии объектов 52

3.2 Методика сбора информации о состоянии объектов

3.2.1 Требования к методике 55

3.2.2 Описание методики

3.3 Методы выявления инцидентов 63

3.4 Метод Хольта-Винтерса как способ выявления инцидентов 71

3.5 Выводы 77

4 Экспериментальная апробация подхода к выявлению инцидентов в работе комплексных сетей систем безопасности 79

4.1 Система мониторинга комплексных сетей систем безопасности «SOWA» 80

4.1.1 Структура программного комплекса 80

4.1.2 Схема функционирования системы мониторинга 85

4.2 Выявление инцидентов в работе комплексных сетей систем безопасности 90

4.2.1 Подготовка и проведение экспериментального исследования 90

4.2.2 Результаты эксперимента 99

4.3 Выводы 104

Заключение 106

Список использованных источников и литературы 108

• Проблемы мониторинга состояния комплексных сетей систем безопасности
• Понятие инцидента
• Методика сбора информации о состоянии объектов
• Схема функционирования системы мониторинга

Введение к работе

Актуальность темы исследования. Обеспечение безопасности населения является одним из приоритетных направлений государственной политики Российской Федерации. Под безопасностью человека и гражданина понимается состояние защищенности его материальных и духовных ценностей от преступных и иных противоправных посягательств, а также от чрезвычайных ситуаций природного и техногенного характера. Эти вопросы решаются как органами государственной и муниципальной власти, так и представителями бизнеса.

Большинство современных организаций оборудует свои объекты техническими средствами обеспечения безопасности (ТСОБ). К ним относятся системы видеонаблюдения, охранно-пожарные сигнализации (ОПС), системы контроля и управления доступом (СКУД), системы оповещения и управления эвакуацией (СОУЭ) и т.д. Развитие отрасли ТСОБ невозможно без внедрения наукоемких технологических решений. Учеными всего мира проводятся исследования, направленные на разработку новых способов передачи данных и идентификации пользователей, улучшение помехоустойчивости оборудования, анализ мер противодействия угрозам информационной безопасности и т.д. Однако несмотря на актуальность темы совершенствования систем безопасности и внедрения результатов научных исследований, неосвещенными остаются вопросы интеграции ТСОБ различных производителей. На практике часто возникает задача создания единого комплекса систем безопасности с централизованным управлением. Наиболее распространенным подходом к решению подобных задач является объединение гетерогенного оборудования на базе локальных вычислительных сетей (ЛВС): все управляющие блоки задействованных систем связываются в комплексную сеть систем безопасности (КССБ).

В большинстве случаев на этапе проектирования сетей безопасности учитываются риски, связанные с внешними вторжениями. Для их минимизации принимаются решения, направленные на изоляцию сетей безопасности от сетей передачи данных (СПД), вплоть до разделения на физическом уровне. В точках соприкосновения с СПД внедряют системы обнаружения вторжений. При этом вероятность реализации внутренних угроз нарушения доступности, целостности или конфиденциальности элементов КССБ обычно принимают низкой. К таковым относятся: выход из строя видеокамеры либо архива видеозаписей, потеря питания станций ОПС, отключение считывателей карт доступа, распространение вредоносных программ по причине человеческого фактора и т.д. В случае реализации подобных угроз могут произойти как однозначно выявленные (явные), так и скрытые инциденты, которые способны привести не только к материальному ущербу, но и к человеческим жертвам. Подверженность протекающих в КССБ информационных процессов угрозам безопасности определяет необходимость постоянного мониторинга и контроля состояния таких комплексов с целью выявления инцидентов в их работе.

В целом задача выявления инцидентов весьма многогранна и обладает множеством различных решений применительно к каждой предметной области. Анализ литературы показал, что данная проблема в различных аспектах нашла отражение в работах В.А. Гладцына, А.А. Грушо, В.В. Меньших, А.А. Шелупанова,

П.Д. Зегжды, И.В. Бондаря, В.В. Золотарева, А.М. Попова, Л. Глизенте, Р. Хоури, Ш.К. Чина, Kim Zetter, а также других отечественных и зарубежных ученых.

При этом ярко выражены взаимосвязи научных изысканий и технических решений. Однако несмотря на видимую актуальность и наличие общих точек, в литературе не представлены исследования, направленные на анализ работы КССБ и прогнозирование инцидентов в системах обеспечения безопасности людей на предприятиях. В то же время отсутствуют полноописанные модели функционирования КССБ и методическое обеспечение процесса выявления инцидентов в сетях безопасности. Следствием неразрешенности этого противоречия является объективная необходимость методического обобщения и развития методов и технологий обнаружения инцидентов в работе систем безопасности.

Таким образом, обоснование и разработка теоретических основ моделирования работы КССБ и процесса выявления инцидентов в работе подобных комплексов является актуальной научной задачей. Тема диссертационной работы соответствует пунктам 1, 3, 14 паспорта специальности 05.13.19 – «Методы и системы защиты информации, информационная безопасность».

Цель исследования состоит в разработке методического обеспечения процесса выявления инцидентов в работе КССБ.

Объектом исследования являются комплексные сети систем безопасности на предприятиях.

Предметом исследования является процесс выявления инцидентов.

Для достижения указанной цели необходимо решение следующих задач:

1. Исследовать типичные КССБ с целью описания особенностей их функционирования и проблем, возникающих в процессе выявления инцидентов в работе подобных комплексов.

2. Разработать имитационную модель штатной работы КССБ, позволяющую определять текущее состояние сети в заданный момент времени.

3. Разработать методическое обеспечение процесса сбора информации о состоянии объектов КССБ в различные моменты времени.

4. Разработать подход к выявлению инцидентов в работе КССБ и методические рекомендации по его применению на практике.

5. Разработать программный инструментарий, позволяющий выявлять инциденты в работе КССБ.

Методы исследования. Для решения поставленных задач в диссертационной работе использовались методы математического моделирования, теории множеств, теории вероятностей и теории защиты информации.

Научная новизна проведенных исследований и полученных в работе результатов заключается в следующем:

1. Предложен оригинальный подход к выявлению инцидентов в работе КССБ, основанный на обнаружении нехарактерных изменений в режиме работы сети, отличающийся возможностью проведения дополнительной адаптивной процедуры идентификации и позволяющий сформировать логическую и временную структуру процесса контроля состояния сети.

2. Создана оригинальная методика сбора информации, отличающаяся отсутствием зависимости от конкретных протоколов и технологий передачи данных и позволяющая организовать мониторинг объектов КССБ.

3. Разработана имитационная модель штатной работы КССБ, отличающаяся возможностью получения интегральной характеристики функционирования КССБ и позволяющая определять текущее состояние сети в заданный момент времени.

4. Предложен подход к применению метода Хольта-Винтерса в системах мониторинга, позволяющий автоматизировать процесс формирования критериев выявления инцидентов в работе КССБ.

Практическая значимость результатов. Автором разработан программный инструментарий, позволяющий в полной мере использовать предложенное методическое обеспечение для моделирования КССБ и организации процесса выявления инцидентов в работе подобных комплексов.

Положения, выносимые на защиту:

1. Подход к выявлению инцидентов в работе КССБ позволяет сформировать логическую и временную структуру процесса контроля состояния КССБ.

2. Методика сбора информации о состоянии объектов позволяет организовать мониторинг элементов КССБ без учета особенностей используемых протоколов и технологий передачи данных.

3. Имитационная модель штатной работы КССБ позволяет определять текущее состояние сети в заданный момент времени.

Достоверность результатов подтверждается их внутренней

непротиворечивостью и адекватностью физическим представлениям об исследуемом процессе, сравнением с данными систем логирования, а также положительным эффектом от внедрения научных исследований в работу действующих предприятий.

Внедрение результатов. Результаты диссертационной работы были внедрены в деятельность ГОУ ВПО СибГМУ Минздравсоцразвития, ОАО «ОЭЗ ТВТ «Томск», а также в учебный процесс ТУСУРа по дисциплинам «Организационно-правовое обеспечение информационной безопасности», «Комплексное обеспечение информационной безопасности автоматизированных систем».

Личный вклад. В диссертационной работе использованы результаты, в которых автору принадлежит определяющая роль. Часть опубликованных работ написана в соавторстве с сотрудниками научной группы. Диссертант принимал непосредственное участие в разработке и внедрении системы мониторинга «SOWA» в локальную сеть ГОУ ВПО СибГМУ Минздравсоцразвития России и комплексную сеть систем безопасности ОАО «ОЭЗ ТВТ «Томск». Диссертантом предложено методическое обеспечение процесса выявления инцидентов, в том числе: методика сбора информации, имитационная модель штатной работы КССБ и подход к применению метода Хольта-Винтерса в системах мониторинга. Постановка задачи исследования осуществлялась научным руководителем – доктором технических наук, профессором А.А. Шелупановым.

Апробация работы. Основные научные и практические результаты диссертационной работы докладывались и обсуждались на следующих конференциях и семинарах:

4. Всероссийские научно-технические конференции студентов, аспирантов и молодых ученых «Научная сессия ТУСУР», г. Томск (2010–2014 гг.).

5. Томские IEEE-семинары «Интеллектуальные системы моделирования, проектирования и управления», г. Томск (2010–2015 гг.).

6. Всероссийские научно-практические конференции студентов, аспирантов и молодых ученых «Технологии Microsoft в теории и практике программирования», г. Томск (2011–2012гг.).

7. Международная научная студенческая конференция «МНСК-2012: Информационные технологии», г. Новосибирск, 2012 г.

8. Всероссийская молодежная конференция «Информационно-телекоммуникационные системы и технологии – 2012», г. Кемерово, 2012 г.

9. Международная научно-практическая конференция «Общество, современная наука и образование: проблемы и перспективы», г. Тамбов, 2012 г.

10. Международная научно-техническая конференция «Динамика систем, механизмов и машин», г. Омск, 2014 г.

11. Всероссийская научно-практическая конференция «Проблемы информационной безопасности государства, общества и личности», г. Иркутск, 2014 г.

12. XIX Международный форум Международной академии связи «Формирование инфокоммуникаций нового поколения в интересах устойчивого развития», г. Москва, 2015 г.

Публикации по теме диссертации. Результаты диссертационной работы отражены в 17 публикациях, в том числе 5 публикаций в рецензируемых журналах из перечня ВАК, 11 публикаций в сборниках трудов конференций, 1 публикация в изданиях из перечня SCOPUS.

Структура и объем диссертации. Диссертация состоит из введения, четырех глав, заключения, списка использованных источников из 110 наименований. Общий объем работы составляет 128 страниц, в том числе 17 рисунков и 6 таблиц.

Проблемы мониторинга состояния комплексных сетей систем безопасности

В ходе эволюции систем безопасности менялось представление об архитектуре КССБ, которое формировалось, исходя из реалий научно-технического прогресса и актуальных практических задач. Анализ литературы [6, 17, 22–29] в области развития КССБ позволяет выделить их характерные признаки: – разработаны для обеспечения безопасности жизни и здоровья человека и защиты объектов; – используются для автоматизации большого количества датчиков и исполнительных механизмов; – рассчитаны на длительный период эксплуатации (до 10 лет); – содержат большое количество проприеритарных разработок, что затрудняет процесс агрегирования оборудования различных производителей; – для коммуникации информационно-управляющих потоков используются специализированные протоколы технологической связи.

Как было сказано ранее, в качестве платформы для создания КССБ часто используются ЛВС. Однако в отличие от типовых ЛВС, эксплуатация комплексов, подобных КССБ, связана с рядом исключительных особенностей.

1) Гетерогенность оборудования и программного обеспечения (ПО). Ранее было показано, что подсистемы, входящие в КССБ, нацелены на обеспечение нескольких направлений защиты объектов. В настоящее время по каждому из направлений защиты на рынке представлены продукты десятков компаний, что приводит к невозможности коммуникации оборудования различных производителей. Взаимодействие оборудования нередко осложняется отсутствием поддержки стороннего ПО. Например, приемно контрольный прибор охранной сигнализации может поддерживать подключение беспроводных извещателей только определенных производителей.

В Российской Федерации вопросы стандартизации подобных систем в различных аспектах попадают в сферу деятельности множества технических комитетов по стандартизации (ТК) Федерального агентства по техническому регулированию и метрологии [30], в том числе: – ТК 22 «Информационные технологии / Кодированное представление видео/аудио информации, мультимедийной и гипермедийной информации (ведущая организация – НПФ «Сигма-ИС»); – ТК 234 «Технические средства противокриминальной безопасности» (ведущая организация – ФГУ «НИЦ «Охрана» МВД России); – ТК 439 «Средства автоматизации и системы управления» (ведущая организация – Международная ассоциация МА «Системсервис»).

В целях согласования требований российских и международных стандартов ТК уполномочены представлять интересы России в Международной электротехнической комиссии (МЭК) [31]. Вопросами стандартизации также занимаются Международная организация по стандартизации [32] и Европейский комитет электротехнической стандартизации [33]. Для того чтобы требования международных стандартов разрабатывались при согласовании с российскими экспертами, в рабочих группах по проектам международных стандартов участвуют представители компаний, входящих в ТК, таких как ЗАО «Аргус-Спектр», ЗАО НВП «Болид», НПФ ООО «Сигма-ИС», ЗАО «Нордавинд», ООО «Кодос-Б», ООО «Элтис» и других. Описанные выше мероприятия по стандартизации в данной области не позволяют в полной мере стимулировать объединение производителей для унификации оборудования. В большинстве случаев компании разрабатывают собственные комплексные решения по защите объектов и заранее закладывают ограничения на поддержку стороннего оборудования. Это связано в том числе и с финансовой выгодой от внедрения таких решений на масштабных объектах. При этом, учитывая нестабильную ситуацию на мировом финансовом рынке, может сложиться ситуация, когда в случае выхода ТСОБ из строя приобретение идентичных компонентов невозможно (например, производитель прекратил свое существование), а внедрение аналогов других производителей осложнено несовместимостью оборудования или ПО. В некоторых случаях возникает необходимость комплексной модернизации или полной замены подсистемы из-за выхода из строя одного элемента.

Кроме того, государственные регуляторы контролируют проектирование, монтаж и эксплуатацию лишь части подсистем, связанных с обеспечением пожарной безопасности объектов. Все остальные слаботочные инженерные системы (применяемые в КССБ) не являются обязательными и внедряются исключительно по желанию хозяйствующего субъекта. Все это становится причиной высокого уровня гетерогенности программного и аппаратного обеспечения КССБ.

2) Апериодичность нагрузок. Многие из подсистем КССБ значительную часть времени функционируют в режиме ожидания, а в случае выявления угрозы или возникновения внештатной ситуации переходят в активное состояние и генерируют различные сигналы. Заранее предсказать возникновение подобных событий на практике не представляется возможным. Это приводит к непрогнозируемой утилизации каналов связи и значительно осложняет процесс выявления инцидентов в работе сетей безопасности. Например, в КССБ широко распространено использование видеосерверов. Они обрабатывают сигналы с аналоговых видеокамер и помещают информацию в локальное хранилище. В данном режиме сетевой трафик, генерируемый сервером, минимален. В случае подключения клиентского приложения с удаленной рабочей станции начинается передача данных и интенсивность трафика кратно возрастает.

На рис. 1.3 приведен пример апериодичности срабатываний извещателей пожарной сигнализации, установленной на автомобильной парковке в цокольном этаже здания. В приведенном случае в некоторые периоды времени система многократно генерировала сигналы тревоги, информируя оператора о высокой степени задымленности. В ходе расследования данных инцидентов было установлено, что причиной частых срабатываний анализаторов содержания CO2 явилось нахождение на парковке автомобилей с неотрегулированной системой выхлопа.

Понятие инцидента

Для применения вышеописанной модели необходимо решить вопрос формирования множества допустимых значений Z tJ для каждого устройства

Данное множество в совокупности с (2.3) представляет собой некоторый критерий для выявления инцидентов. На ранних стадиях данной работы [51-53] проводились исследования на предмет решения этой задачи путем формирования критериев в виде пороговых значений для каждого параметра. Исследования показали, что такой подход не является эффективным.

Во-первых, количество контролируемых параметров прямо пропорционально количеству СЭ в системе, которое имеет тенденцию увеличиваться. Это приводит к увеличению времени и ресурсов, необходимых для формирования всех критериев.

Во-вторых, формирование критериев возможно только на основе экспертных оценок, построенных на базе продолжительных наблюдений.

В-третьих, особенности функционирования КССБ, связанные с апериодичностью в работе систем безопасности, являются причиной частого появления ложных сигналов о наступлении инцидентов.

Основываясь на вышеприведенных позициях, автором была предпринята попытка нахождения альтернативного способа формирования критериев для решения поставленных задач [54-58], подробно рассмотренная в главе 3. При этом были сформированы следующие требования: - критерии должны формироваться регулярно для оценки каждого поступившего на вход модели значения; - метод формирования критериев должен учитывать значения параметра за некоторый предыдущий период с учетом их распределения во времени. 2.2 Понятие инцидента

Для выявления инцидентов в работе сети необходимо организовать анализ данных об изменениях параметров контролируемых объектов. Первым шагом в решении этой задачи является формальное определение понятия инцидента.

В главе 1 показано, что причины возникновения инцидентов могут быть различны. Однако во время их совершения происходят события, не предусмотренные стандартным (штатным) сценарием работы. Это обстоятельство позволяет объединить различные по природе инциденты для рассмотрения их в едином ключе. В то же время в системе имеются санкционированные (легитимные) изменения режима работы. Возникает необходимость выделения наблюдаемых характеристик, общих для различных сценариев, но по-разному используемых в штатных и нештатных режимах работы системы.

В работе В.А. Баранова [13] предложена следующая модель инцидента. Пусть в информационной системе развернута подсистема мониторинга, которая фиксирует и накапливает информацию о последовательно возникающих событиях в виде состояний основной системы. Предполагается, что в случае возникновения инцидента подсистема мониторинга продолжает правильно фиксировать состояние исследуемой системы. В ходе функционирования подсистемы мониторинга формируется последовательность наблюдений, характеризующая работу основной системы за некоторый промежуток времени: C 1,C2,...Cn, (2.6) где п - число наблюдений.

Состояния Q (при i = 1,...n) принимают значения из некоторого конечного множества возможных состояний A = (a1,a2,...aN) мощности N. В реальности между состояниями Q и Ci+1 существует зависимость. Однако, в [13] показано, что в ряде случаев такой зависимостью можно пренебречь. Если принять, что состояния исследуемой системы в каждый момент времени не зависят друг от друга, то процесс контроля ее работы описывается последовательностью наблюдений над независимыми величинами:

N = const n -»оо = оо . (2.11) Теоретико-вероятностная схема (2.10), именуемая в математической литературе [59–61] «разладкой процесса», используется В.А. Барановым для выявления инцидентов. При этом под моделью инцидента понимается модель функционирования исследуемой системы, отраженного на некоторых ее параметрах, с возможностью возникновения в ней инцидентов.

Обнаружение разладки (изменения свойств) процессов является одной из широко распространенных задач анализа и обработки информации [62]. К ней сводятся многие прикладные задачи обработки данных, полученных системами сбора информации. Обнаружение изменения свойств является составной частью анализа и представляет основу алгоритмов контроля и технической диагностики информационно-управляющих систем. Оно также дополняет адаптивные процедуры идентификации состояния систем со сложной динамикой.

При постановке задачи обнаружения существенных изменений свойств исследуемых процессов под разладкой понимают скачкообразное изменение параметров, описывающих процесс, происходящее в неизвестный момент изменения процесса по какой-либо координате. В большинстве случаев координатой выступает время. Основными задачами являются установление факта разладки и определение момента ее наступления.

Ранее описанные особенности функционирования КССБ (в т.ч. апериодичность работы, обусловленная преобладанием режима ожидания) приводят к регулярному появлению таких скачкообразных изменений. Поэтому в рамках данного исследования основной целью является не просто установление факта изменения характеристик исследуемого процесса, а попытка определения, является ли этот факт свидетельством наступления инцидента. Таким образом, в дальнейшем под инцидентом будем понимать наличие на отрезке наблюдений зафиксированного факта нехарактерного изменения в сценарии работы СЭ, подтвержденного результатом проведения дополнительной адаптивной процедуры идентификации. Механизм фиксации подобных отклонений и процесс его автоматизации рассмотрены в главе 3.

Методика сбора информации о состоянии объектов

Как показано на рис. 3.4, метод Хольта-Винтерса может быть использован для прогнозирования изменений определенных параметров СЭ КССБ. В основе предлагаемого подхода к выявлению инцидентов лежит сравнение ранее спрогнозированных с наблюдаемыми. Однако для проведения такого сравнения необходимо задать область допустимых значений (см. раздел 2.1).

Механизм доверительных интервалов позволяет задавать область допустимых значений и изменять ее в соответствии с изменениями наблюдаемых значений. При этом измеряются отклонения для каждой точки временного ряда, используя средневзвешенное абсолютное отклонение, скорректированное с помощью экспоненциального сглаживания. Доверительный интервал представляет собой область допустимых значений для каждой точки временного ряда.

Часто наиболее предпочтительным оказывается симметричный интервал 5_ = 5+. Коэффициент масштабирования доверительного интервала может быть выбран на основе теоретических изысканий математической статистики. Наиболее оптимальные значения получаются в интервале [2, 3]. Выбор 2 позволит обнаруживать большее количество сбоев, которое может просто означать более высокий уровень ошибок первого рода.

Наиболее простой механизм для определения отклонений в поведении временного ряда состоит в проверке текущего значения на принадлежность доверительному интервалу. На начальном этапе исследований [96-98] было установлено, что использование подобного подхода часто приводит к большому количеству ошибок первого рода.

В данном случае целесообразнее использовать механизм «плавающего окна» [99, 100]: если число наблюдений, выходящих за пределы доверительного интервала, превышает указанный порог, то текущий момент времени помечается как отклонение в поведении временного ряда.

Таким образом, СБОЙ определяется как наблюдение значения, выходящего за пределы области допустимых значений. Тогда инцидент определяется как превышение допускаемого количества СБОЕВ среди заранее определенного числа последних наблюдений (длины окна).

В результате применения методики (раздел 3.2) оператор получает настроенный процесс мониторинга состояния КССБ. При этом в хранилище располагаются файлы, в которых накапливаются данные о значениях отслеживаемых параметров в соответствии с созданными частными моделями. Метод Хольта-Винтерса применяется именно к этим данным.

Каждый раз, когда в базу данных планируется поместить новое значение параметра контролируемого устройства или процесса, оно сравнивается с рассчитанным на данный период доверительным интервалом. Если текущее значение не входит в доверительный интервал, то увеличивается значение счетчика отклонений среди заранее заданного числа последних наблюдений. Новое значение счетчика отклонений сравнивается с заданным порогом. Таким образом происходит фиксация изменения сценария работы. В случае превышения счетчиком порогового значения данный отсчет (момент времени) помечается как инцидент.

Затем происходит перерасчет всех коэффициентов, прогнозируемого значения параметра и доверительного интервала. На рис. 3.5 представлен алгоритм применения метода Хольта-Винтерса для выявления инцидентов в рамках контроля состояния одного параметра выбранного устройства КССБ. Алгоритм может применяться в соответствии с описанными выше условиями использования метода Хольта-Винтерса (начиная с третьего сезона наблюдения).

Алгоритм применения метода Хольта-Винтерса Суть предлагаемого подхода в том, что метод прогнозирования Хольта-Винтерса применяется к временным рядам, полученным в результате наблюдений над состоянием СЭ, и представляет собой инструмент выявления инцидентов.

В данной главе предложена методика сбора информации о состоянии объектов КССБ, завершающая формирование логической структуры процесса выявления инцидентов. Основными концептами предлагаемой методики являются сетевой элемент, менеджер, хранилище, протокол, общая модель, частная модель. Использование методики позволяет формировать входные данные для имитационной модели, описанной в главе 2. Автором рассмотрены вопросы автоматизации процесса формирования критериев для определения нехарактерных изменений в сценарии штатной работы КССБ. Было установлено, что для решения этой задачи необходимо использовать методы, позволяющие обнаруживать тренды, относящиеся к коротким периодам времени. В результате проведенного обзора оценена возможность применения различных методов прогнозирования и установлено, что метод Хольта-Винтерса, являющийся одной из модификаций метода экспоненциального сглаживания, обеспечивает наглядное представление о тренде и позволяет делать краткосрочные прогнозы. Таким образом, в данной главе предложен подход к использованию метода Хольта-Винтерса в качестве инструмента выявления инцидентов в работе КССБ.

Преимуществом такого подхода является отсутствие зависимости от физического смысла параметров исследуемых объектов. К достоинствам метода можно отнести поддержку корректировки критериев на основе данных о предыдущих режимах работы СЭ. Отличительной особенностью подхода является возможность оператора варьировать все коэффициенты, добиваясь при этом повышения уровня адекватности модели.

Одним из ограничений подхода является необходимость накопления данных для начала реакции системы мониторинга. Однако условия функционирования КССБ удовлетворяют данному условию и позволяют варьировать скорость адаптации модели в зависимости от решаемой практической задачи.

Следующий этап исследования состоит в разработке инструментария для реализации предложенного подхода и экспериментальной апробации. В главе 4 описана разработка такого инструментария и представлены данные экспериментов, направленных на проверку эффективности предложенного подхода.

Схема функционирования системы мониторинга

По таблицам [93] было определено критическое значение критерия Фишера для числа степеней свободы fA и fошибки для каждого случая. Также

для каждого случая установлены значения Fкритич при уровнях значимости а = 0,05 иа = 0,01.

Сравнение расчетного и табличного значений критерия показало, что во всех случаях Fрасч Fкритич. Это значит, что различие между дисперсиями SА 2 и 5о 2шибки существенно, и нулевая гипотеза об отсутствии влияния труда операторов видеонаблюдения на количество выявленных инцидентов безопасности должна быть отвергнута. Другими словами, количество выявленных операторами инцидентов существенно отличается от данных системы логирования, обработанных администратором системы.

Оценка функционирования системы мониторинга «SOWA». На основе результатов рис. 4.7 был определен оцениваемый фактор А - способ получения данных о возникновении инцидентов в КССБ. Фактор А при оценке функционирования системы мониторинга «SOWA» принимает значения: 1) применение системы мониторинга; 2) система логирования инцидентов в КССБ. Также были сформированы две статистические гипотезы: - нулевая гипотеза Н0: применение системы мониторинга «SOWA» не оказывает существенного влияния на количество выявленных инцидентов по сравнению с системой логирования; - альтернативная гипотеза Ну: эффект применения системы мониторинга «SOWA» имеет существенное влияние на количество обнаруженных инцидентов в работе КССБ по сравнению с системой логирования.

Дисперсионный анализ экспериментальных данных был проведен с использованием формул (4.1) – (4.6). На основании полученных результатов была составлена схема дисперсионного анализа (табл. 4.4). № видео-регистратора Источник изменчивости Число степеней свободы Суммы квадратов Дисперсии Критерий 1 Различиемежду уровнями /4= 1 SSA = 4,267 S2А = 4,267 F =3,512 расч Различиевнутриуровней fошибки = 58 SSошибки = 70,467 ошибки = 1,215 2 Различиемежду уровнями /4= 1 55л = 3,75 5А 2 = 3,75 расч = 3,440 Различиевнутриуровней fошибки = 58 SSошибки = 63,233 Ошибки = 1,09 3 Различиемежду уровнями /4= 1 55л = 0.067 S2А = 0,067 расч = 0,060 Различиевнутриуровней fошибки = 58 SSошибки = 64,667 52 =1115 ошибки , По таблицам [102] было определено критическое значение критерия Фишера для числа степеней свободы fA и fошибки для каждого случая. Также для каждого случая установлены значения Fкритич при уровнях значимости а = 0,05 иа = 0,01.

Сравнение расчетного и табличного значений критерия показало, что во всех случаях Fрасч Fкритич. Это значит, что различие между дисперсиями S2А и Sо 2 шибки несущественно и нулевая гипотеза об отсутствии влияния системы мониторинга на количество выявленных инцидентов по сравнению со штатной системой логирования не может быть отвергнута. То есть различия в количестве выявленных инцидентов между двумя указанными способами являются не более выраженными, чем случайные различия внутри каждой группы.

Полученные результаты свидетельствуют о том, что количество инцидентов, выявленных системой мониторинга «SOWA», незначительно отличается от записей в системе логирования. В то же время количество инцидентов, зафиксированных операторами, значительно отличается от штатной системы логирования.

Учитывая, что система логирования принималась за эталон и все результаты эксперимента подтверждались администратором системы видеонаблюдения, являющимся экспертом в особенностях ее функционирования, можно сделать вывод о возможности использования разработанной системы мониторинга для выявления инцидентов.

В данной главе описана разработанная автором система мониторинга КССБ и представлены результаты практических испытаний.

Установлено, что разработанный инструментарий позволяет в полной мере использовать предложенную методику сбора информации. В то же время испытания показали, что система мониторинга «SOWA» может быть использована в качестве альтернативы детального изучения данных систем логирования. На практике привлечение администратора системы к столь глубокому рассмотрению данных системы логирования, несомненно, приведет к увеличению трудоемкости и, как следствие, удорожанию стоимости эксплуатации системы. Альтернативой должна быть автоматизированная система мониторинга, не уступающая по показателям работе эксперта. Дополнительным фактором, характеризующим систему мониторинга с положительной стороны, является значительное сокращение времени обнаружения инцидентов. Другими словами, разработанное программное обеспечение позволяет качественно улучшить контроль состояния КССБ предприятия.

Применение данного инструментария в ЛВС Государственного бюджетного общеобразовательного учреждения высшего профессионального образования «Сибирский государственный медицинский университет» Министерства здравоохранения Российской Федерации позволило оптимизировать использование сетевых ресурсов и снизить загрузку центрального процессора корневого маршрутизатора на 15%.

Использование инструментария в КССБ Открытого акционерного общества «Особая экономическая зона технико-внедренческого типа «Томск» позволило организовать процесс выявления инцидентов в работе сети безопасности. В результате эксплуатации системы мониторинга в течение 10 месяцев было выявлено, что уровень ошибок первого рода составил 5%, а уровень ошибок второго рода составил 1%.