Моделирование СЗИ для объекта информатизации с использованием теории сетей Петри

Шаг построения дерева достижимости состоит в добавлении к каждой граничной вершине – маркировке веера, образованного множеством всех маркировок, непосредственно достижимых из данной граничной маркировки. На первом шаге граничной является вершина, соответствующая начальной маркировке. Каждая дуга помечена запускаемым переходом, при переходе из одной маркировки в другую. Всякий путь в дереве, начинающийся в корне, соответствует допустимой последовательности переходов [9]. 2.2.2 Динамические свойства разработанной модели СОВПолный анализ сети Петри можно провести с помощью изучения и анализа ее динамических свойств: достижимость, ограниченность, активность, обратимость и достижимость тупиковой разметки [15, с. 201]:достижимость: маркировка μn достижима из маркировки μ0, если существует последовательность запусков, приводящих от μ0 к μn. Множество всех маркировок, достижимых в сети (N, μ0) от μ0, обозначаются как R(N, μ0), или R(μ0). Таким образом, проблема достижимости в сетях Петри заключается в том, чтобы при заданной маркировки μn в сети (N, μ0) установить принадлежность μ0 к множеству R(μ0);ограниченность: сеть Петри называется K – ограниченной, или просто ограниченной, если для любой маркировки, достижимой от маркировки μ0, количество фишек в любой позиции не превышает некоторого числа K, то есть μ(p) ≤ K для любого р и любой маркировки μ, принадлежащей R(μ0). Сеть Петри (N, μ0) называется безопасной, если она l-ограниченна;активность: сеть Петри активна (или маркировка μ0 сети Петри активна), если независимо от достигнутой μ0 маркировки, для любого перехода существует последовательность дальнейших запусков, приводящая к его запуску;обратимость и базовое состояние: сеть Петри обратима, если для любой маркировки μ из R(μ0) маркировка μ0 достижима от μ. Маркировка μ называется базовым состоянием, если она достижима от любой маркировки μ из R(μ0);достижимость тупиковой разметки: делает дальнейшее срабатывание любого перехода в данной сети невозможным [15].Проанализировав поведенческие свойства моделей, а именно достижимость, ограниченность, активность, обратимость и достижимость тупиковой разметки, можно сделать следующие выводы. Модель для сетевых червей является:достижимой (заданная маркировка в сети принадлежит к множеству маркировок, достижимых в сети и существует последовательность запусков); 2-ограниченной (количество меток в любой позиции является ограниченным, в рассматриваемой модели в любой позиции имеетсяне более двух меток);активной (последовательность запусков существует для любого перехода, приводящая его к запуску);обратимой и не имеет достижимости тупиковой разметки.Модели для троянских программ и удаленных сетевых атак являются:достижимыми; 1-ограниченными; активными;обратимыми и не имеют достижимости тупиковой разметки.Из проанализированных поведенческих свойств (параметров) моделей можно сделать вывод, что каждое свойство важно и должно соблюдаться.2.2.3 Динамика функционирования разработанной модели СОВПроцесс функционирования сети Петри может быть наглядно представлен графом достижимых маркировок [15]. Из анализа динамики функционирования сети, можно сделать вывод о том, что сеть является детерминированной и последовательной. Таким образом, можно сделать вывод, что в каждый момент времени сеть находится в одном из множества состояний, и для каждого состояния можно определить наличие или отсутствие угрозы с определенной долей вероятности.Таблица 5 – Динамика функционирования сети Петри для СОВВербальное описание, полученное из источников, не позволяет формально описать их сигнатуры, вследствие слабой структурированности их описания. Информационная описательная модель в силу своей схожести с динамическими моделями на основе сетей Петри позволяет легко перейти от первичного формального описания к вторичному формальному описанию в виде сетей Петри, которое позволит осуществить всестороннее моделирование процесса обнаружения атакующих воздействий.Исследование свойств построенной информационной модели показало, что она является детерминированными и последовательными и в процессе функционирования каждая сеть может находиться только в одном из множества состояний, для которого с определенной долей вероятности можно определить наличие или отсутствие угрозы.Таким образом, в данном разделе разработана формальная модель системы обнаружения вторжений на основе аппарата сетей Петри, которая позволит осуществить всестороннее моделирование процесса обнаружения атакующих воздействий.2.3 Анализ времени реагирования разработанной СОВ2.3.1 Определение времени работы и вероятностей срабатывания переходовБез использования разработанной СОВ, время реакции на атакующие воздействия зависит от промежутка времени между анализом журналов аудита. Данное время зависит от должностной инструкции администратора по безопасности и чаще всего составляет неделю. В связи с этим среднее время реакции на атакующее воздействие может быть рассчитано по формуле:, (3.1)где Tmin – минимальное время до анализа журнала аудита;Tmax – максимальное время до анализа журнала аудита;Tан – время анализа.Произведя соответствующие подсчеты по формуле (3.1) можно получить, что среднее время реакции на атакующее воздействие администратором по безопасности будет равняться 84 часам. Полученное время слишком велико и не позволяет оперативно среагировать на атаку, а тем более предотвратить ее. Для анализа времени реакции разработанной СОВ проведем моделирование процесса обнаружения вторжения на разработанных сетевых моделях. Время работы и вероятности переходов были взяты из доверенных источников, оценок специалистов и статистических данных [14], и для каждой сетевой модели сведены в таблице 6Таблица 6 – Время и вероятность срабатывания переходов разработанной СОВTjPt, cTjPt, cTjPt, cT00,250,69T140,070,83T280,460,53T10,250,69T150,790,83T290,270,83T20,250,69T160,120,75T300,270,83T30,250,69T170,120,79T310,311,35T40,820,74T180,760,79T320,381,35T50,180,74T190,50,75T3313,32T60,211,35T200,50,75T3413,32T70,581,35T210,291,35T350,311,35T810,17T220,421,35T360,291,35T911,48T230,080,53T370,211,35T1010,79T240,080,53T3810,72T1110,41T250,080,53T390,260,62T120,070,83T260,680,53T400,740,62T130,070,83T270,080,532.4 Результаты моделирования обнаружения атак на построенных сетевых динамических моделяхДля моделирования будем использовать специальное программное обеспечение – PIPE 3.0, которое позволяет упростить осуществление построения сетей Петри благодаря обширному инструментарию, а также быстро и эффективно производить их анализ с помощью готовых функций. Для этого в данной программе были построены соответствующие сети Петри, которые приведены в подразделе 2.3, а переходам этих сетей были присвоены времена и вероятности из таблиц 13, 14 и 15. В качестве результатов моделирования возьмем первые 100 временных интервалов, за которые был обнаружен инцидент ИБ. Полученные в результате моделирования данные были оформлены в виде гистограмм частот и для разработанной СОВ представлены на рисунке 9.Рисунок 9 – Гистограмма частот времени реакции на обнаруженные инциденты ИБДля полученных результатов были определены основные статистические показатели, такие как математическое ожидание, дисперсия, среднее квадратическое отклонение, коэффициенты асимметрии и эксцесса [15, с. 105] и сведены в таблицу 7.Таблица 7 – Статистические показатели результатов моделирования для удаленных сетевых атакСтатистический показательЗначениеМ(X)7,5D(X)1,51,23Аs-0,15Еx0,19Незначительные значения асимметрии и эксцесса, близкие к нулю, дают возможность выдвинуть гипотезу о нормальности распределения времени реакции на атаки. Для проверки гипотезы о нормальности распределения воспользуемся наиболее часто употребляемым критерием согласия Пирсона.Произведено описание подсистемы хранения сигнатур атак, описания атак и рекомендаций по их парированию, на основе которого создан прототип этой подсистемы, который будет использоваться в системе обнаружения вторжений.Без использования разработанной СОВ время реакции на атакующее воздействия зависит от должностной инструкции администратора по безопасности и чаще всего составляет неделю. Такой подход не позволяет оперативно реагировать на атаку и тем более предотвратить ее.Для анализа времени реакции разработанной СОВ было произведено моделирование процесса обнаружения вторжения на разработанных сетевых динамических моделях для удаленных сетевых атак, троянских программ и почтовых червей. Полученные результаты моделирования были представлены в виде гистограммы частот, и для них были вычислены основные статистические показатели такие, как математическое ожидание, дисперсия, среднее квадратическое отклонение, коэффициенты асимметрии и эксцесса. Незначительные значения коэффициентов асимметрии и эксцесса близкие к нулю позволили выдвинуть гипотезу о нормальности распределения времени реакции на атаку, которая была подтверждена с использованием критерия Пирсона. Распределение времени по нормальному закону дало возможность построить графики плотности вероятности, анализ которых показал, что среднее время реакции на атаку находится в диапазоне от 7 до 13 секунд.Таким образом, можно сделать вывод о том, что использование разработанной системы обнаружения вторжений позволит значительно снизить время реакции на атакующие воздействия.ЗАКЛЮЧЕНИЕВ ходе выполнения курсовой работы были выполненытакие задачи:изученыосновные возможности и свойства средств защиты информации, выявлена их структура, проведена их классификация;изучены основные методы обнаружения сетевых атак, которые реализованы в различных системах;произведено вербальное описание объекта защиты конфиденциальной информации – информационной системы рекламного агентства «Мега» – одного из первых агентств в г. Ростове-на-Дону.Было определено исходное состояние средств защиты информации, изучены уже имеющиеся средства защиты от сетевых атак, а так же статистические показателивторженийв информационную систему, что выявило недостаточный уровень обеспечения защиты конфиденциальной информации. Это обусловило необходимость повышения качества используемыхсредств защиты от сетевых вторжений и решениязадачиформированиясредств защиты информациина основе теории сетей Петри;проведен сравнительный анализ способов представленияслабоструктурированной информации, позволяющийвыделитькак более предпочтительные семантические сети.Это обусловило реализациютаких сетей на практике для различных сетевыхатак.Первичноеформальное описание в виде семантических сетей было представлено в виде вторичного формального описания в виде сетей Петри, что позволило осуществить всестороннее моделирование процесса обнаружения сетевыхатак.исследование свойств разработанных сетевых моделей показало, что они являются последовательными и детерминированными и вовремяработытакие сети находятся только в единственном состоянии, которое с определенной долей вероятности можно описать какимеющее или не имеющее угрозу;произведен расчет время реакции на атаку без разработанной защитной системы, которое определено должностной инструкцией администратора по безопасности и равно 84 часам. При таком показателе невозможно оперативно обнаружить ипредотвратить сетевую атаку;выполненанализ времени реакции разработанной защитной системы,показавший, что оно находится в пределах от 7 до 13 секунд;Таким образом, поставленная цель курсовой работы достигнута, так как применение разработанной системы защиты информацииот сетевых атак позволит значительно уменьшить время реакции на атакующее воздействие.СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ