В рубрику "Решения корпоративного класса" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Методика оценки информативности признаков протоколов информационно-телекоммуникационных сетейMethod of assessing the informativity of the characteristics of the protocols is information-telecommunication networks

Современные информационно-телекоммуникационные сети (ИТКС) представляют собой результат конвергенции локальных сетей (сетей доступа), магистральных сетей, телефонных сетей, сетей электросвязи и других сетей передачи данных и являются объектом постоянного воздействия. Объемы данных, которые обрабатываются в ИТКС, огромны и продолжают увеличиваться. Особо остро эти проблемы связаны с эксплуатацией сотовых сетей [12]. Количество инцидентов, связанных с безопасностью информации, данных и самих ИТКС также велико и с каждым годом неуклонно возрастает. Ущерб от несанкционированного воздействия на сети связи может быть значительным [13]. Вопросы информационной безопасности сетей связи широко обсуждаются и анализируются в научно-технических публикациях [10, 11]. В данных условиях большое значение имеет возможность противодействия подобным воздействиям.

Особую актуальность в данном случае принимает то, что для определения факта воздействия необходимо его каким-то образом идентифицировать. Для этого необходимо первоначально определить множество признаков подобных воздействий, а уже затем, используя эти признаки, идентифицировать само проводимое воздействие. Задача выделения множества признаков воздействий остается за пределами данной статьи. Представленная работа описывает этап определения информационной ценности признаков, который является одним из этапов классификации и кластеризации всего множества.

Решение поставленной задачи было бы затруднено без знания характерных особенностей, алгоритмов проведения, результатов информационных воздействий на ИТКС [1, 2]. В этом отношении в работе рассматривается некоторая совокупность признаков, выбранная эмпирическим путем и характеризующая протоколы ИТКС, оценивается их информативность и ее влияние на вероятность выявления воздействия. Подобные признаки у каждого протокола могут быть как индивидуальными, так и типовыми, что в итоге говорит о необходимости проведения их определенной классификации для удобства дальнейшего распознавания. Но в конечном итоге поставщик услуг имеет преимущество перед теми, кто пытается осуществить атаку [14].

Кроме того, подобные количественные оценки могут быть использованы не только для определения информативности признаков, но также и для оценки защищенности отдельных технологических элементов ИТКС (технологий, протоколов, служб и т.п.), а также всей ИТКС в целом. Данное утверждение справедливо в том случае, если опираться на получаемые значения коэффициентов информативности признаков протоколов, служб или технологий ИТКС и делать вывод об их подверженности информационному воздействию.

Определение информационной ценности вызвано необходимостью выделения наиболее важных признаков, используемых при анализе трафика для последующего определения технологии, протоколов либо служб ИТКС.

Для определения наиболее информативного признака необходима количественная оценка. Для практических расчетов и сравнений удовлетворительные результаты дает оценка информативности методом весовых коэффициентов [1–7]:

где K(A) – коэффициент информативности признака А; (A) – число протоколов, обладающих признаками A; S – общее число протоколов ИТКС.

Как видно из выражения (1), признак обладает максимальной информативностью при одиночном его проявлении (индивидуальный признак). В этом случае:

Если признак является типовым, он становится малоинформативным, и:

В соответствии с этим, оценим информативность признака "МАС-адрес получателя" для технологий ИТКС и признака "Порт отправителя" для протоколов ИТКС. В случае с признаком "МАС-адрес" S = 12 (двенадцать объектов разведки – технологий); (А) = 4 (в явном виде этот признак присутствует у четырех технологий), тогда:

В случае с признаком "Порт отправителя" S = 20 (двадцать объектов разведки – протоколов); (А) = 2 (в явном виде этот признак присутствует у двух протоколов), тогда:

Зная информативность признаков, можно определить вероятность идентификации объектов разведки по типовым (ω > 1) и индивидуальным (ω = 1) признакам.

Вероятность опознавания по одному признаку можно определить так:

Расчетное выражение для определения вероятности идентификации по совокупности признаков имеет вид:

где ω – общее количество признаков; ν – количество признаков, по которым ведется идентификация.

Вероятность идентификации протоколов ИТКС по совокупности используемых признаков можно определить так:

Вероятность идентификации одного протокола по одному признаку.

Вероятность идентификации протокола IP по нескольким признакам:

Вероятность идентификации нескольких протоколов по нескольким признакам:

Как видно из приведенного примера, использование большого количества идентификационных признаков не приводит к значительному повышению вероятности распознавания. Это связано с тем, что значение коэффициента информативности признака зависит от объема пространства признаков и будет увеличиваться по мере детализации этого пространства [8].

Прежде всего, необходимо отметить, что целью разрабатываемой методики является оценка информационной ценности каждого признака протокола, участвующего в функционировании ИТКС. Основными ограничениями, которые являются существенными с точки зрения конечного результата, являются общее количество рассматриваемых протоколов, служб или технологий ИТКС, а также сопоставимое с ними пространство признаков этих протоколов.

В качестве примера для оценки информативности использовался признак "MAC-адрес". Представленные расчеты будут аналогичны и для других признаков.

В общем виде методика оценки информативности признаков имеет вид, представленный в рис. 1.

В результате применения данной методики была сформирована совокупность признаков, некоторых технологий, протоколов и служб, участвующих в информационном обмене, которые представлены на рис. 2–5.

В соответствии с методикой оценка информативности начинается с получения количественных значений индивидуальных признаков в соответствии с технологиями, протоколами и службами, реализуемыми в ИТКС.

Полученные результаты оценки некоторых признаков представлены на рис. 6.

В дальнейшем методика предусматривает выявление наиболее информативных признаков ИТКС и распределение полученных значений в соответствии с их важностью для оценки защищенности ИТКС. На рис. 7 представлены полученные значения вероятности идентификации некоторых протоколов ИТКС в зависимости от изменения коэффициента информативности признаков из всего множества.

Таким образом, на примере оценки информативности некоторых признаков рассмотрена методика оценки информативности признаков ИТКС. Полученные значения позволяют утверждать, что ИТКС обладает информационными признаками, позволяющими охарактеризовать ее параметры, оценить возможности и выбрать необходимые инструменты для воздействия с определенной целью.

Количество и качество информационных признаков зависят от используемых технологий, протоколов и служб. Кроме того, пространство признаков может как увеличиваться, так и уменьшаться в зависимости от целей анализа и технической подготовленности третьей стороны.

Показательны значения индивидуальной информативности признаков. Они позволяют утверждать, что каждый протокол ИТКС обладает признаком, по которому однозначно возможно его идентифицировать. В дальнейшем этот факт позволит оценить протокольную защищенность ИТКС путем анализа на предмет наличия уязвимостей [9].

Кроме того, полученные результаты могут быть использованы не только техническими специалистами, непосредственно эксплуатирующими ИТКС, но и злоумышленниками, имеющими цель деструктивного воздействия на технологический процесс ИТКС.

Литература

1. Проблемы безопасности в сетях мобильных операторов // Технологии и средства связи. – № 6. – 2009. С. 39.
2. Ковалев А. Сетевые атаки: методики оценки ущерба для предприятий // Технологии и средства связи. – № 6. – 2013. С. 48–49.
3. Рябко С.Д. Информационная безопасность сетей удаленного доступа // Технологии и средства связи. – № 2. – 2007. [online]. Доступ через: http://www.tssonline.ru/articles2/in-ch-sec/informac-bez-opasn-setey-udalen-dost (дата обращения 01.06.2016).
4. Копцова О. Семейство Integrity Check Point для обеспечения внутренней безопасности сетей // Технологии и средства связи. – № 2. – 2006. [online]. Доступ через: http://www.tssonline.ru/articles2/in-ch-sec/semeyst_integri-ty_check_point_obespe4_vnutr_bezopasn_setey (дата обращения 01.06.2016).
5. Журавлев Ю.И., Гуревич И.Б. Распознавание образов и анализ изображений // Искусственный интеллект: в 3 кн. Кн. 2.: Модели и методы: Справочник / Под ред. Д.А. Поспелова. М.: Радио и связь, 1990.
6. Айзерман М.А., Алескеров Ф.Т. Выбор вариантов: основы теории. М.: Наука, 1990. С. 136.
7. Шишкин С. Противодействие DDoS-атакам – обеспечение непрерывности бизнеса // Каталог "Технологии и средства связи". 2011. С. 54–55.
8. Миркин Б.Г. Анализ качественных признаков и структур. М.: Статистика, 1980. С. 317.
9. Загоруйко Н.Г. Прикладные методы анализа данных и знаний. Новосибирск: Изд-во Ин-та математики, 1999. С. 270.
10. Ту Дж., Гонсалес Р. Принципы распознавания образов. М.: Мир, 1978. С. 415.
11. Лбов Г. Методы обработки разнотипных экспериментальных данных. Новосибирск: Наука, 1981.
12. Петровский А.Б. Упорядочивание и классификация объектов с противоречивыми признаками // Новости искусственного интеллекта. – 2003. – № 4. С. 34–43.
13. Яновская А.Е., Колесникова С.И. О применении мультимножеств к задаче вычисления весовых коэффициентов признаков в интеллектуальных распознающих системах // Наука и освита – 2004. – № 2. С. 216–220.
14. Дементьев В.Е. Методологические основы протокольной защиты информационно-телекоммуникационной сети // Информационные системы и технологии. – 2016. – № 3. С. 107–111.

Опубликовано: Журнал "Технологии и средства связи" #3, 2016
Посещений: 3647

Статьи по теме

• Гонка сверхвысокой четкости
• Управление процессами при тестировании ВОЛС с помощью облачного сервиса
• Видео в сетях CDN
• Технологии выгрузки мобильного трафика через сети Wi-Fi
• Тенденции и перспективы развития сетей FTTH/B

Автор Владислав Дементьев Докторант, Военная академия связи, Санкт-Петербург, кафедра 32, к.т.н. Всего статей:  1

В рубрику "Решения корпоративного класса" | К списку рубрик  |  К списку авторов  |  К списку публикаций