Методы оценки и повышения защищенности сетевой инфраструктуры на основе разграничения доступа и методов оптимизации тема диссертации и автореферата по ВАК РФ 00.00.00, кандидат наук Шилова Анастасия Дмитриевна
- Специальность ВАК РФ00.00.00
- Количество страниц 263
Оглавление диссертации кандидат наук Шилова Анастасия Дмитриевна
Реферат
Synopsis
Введение
ГЛАВА 1.Аналитический обзор и состояние вопроса обеспечения безопасности сетевой инфраструктуры
1.1 Существующие решения по программной сегментации сети
1.2 Существующие методы повышения защищенности на основе настроек штатного оборудования
1.3 Постановка задачи исследования
1.4 Выводы к главе 1 112 ГЛАВА 2. Методы оценки и повышения защищенности сетей
2.1 Разработка метода оценки защищенности информационных сетей
2.1.1 Анализ существующих методов оценки защищенности сетей
2.1.2 Аналитическая модель сетевой инфраструктуры
2.1.3 Метрика безопасности
2.1.4 Метод оценки защищенности информационных сетей
2.2 Разработка метода разграничения сетевого доступа, основанного на устранении избыточной сетевой связности посредством решения оптимизационной задачи
2.2.1 Анализ существующих методов разграничения сетевого доступа
2.2.2 Постановка задачи поиска оптимального набора запрещающих правил межсетевого экранирования
2.2.3 Алгоритм решения задачи поиска оптимального набора запрещающих правил межсетевого экранирования на основе метода ветвей и границ (алгоритм 1)
2.2.4 Оптимизация алгоритма 1 за счет последовательного решения задачи для части ограничений
2.2.5 Оптимизация алгоритма 1 за счет последовательного решения задачи для подмножества путей
2.2.6 Оптимизация алгоритма 1 за счет последовательного решения задачи для подсетей
2.2.7 Метод разграничения доступа
2.3 Разработка метода группировки субъектов и объектов доступа в информационных системах для сегментации сетевой инфраструктуры
2.3.1 Анализ существующих решений и подходов к группировке субъектов и объектов доступа в информационных системах
2.3.2 Общее описание подходов, используемых в методе группировки
2.3.3 Формирование признаковых пространств для метода группировки
2.3.4 Формирование кластерной структуры для метода группировки с использованием различных алгоритмов кластеризации
2.3.5 Оценка результатов применения алгоритмов кластеризации для группировки субъектов и объектов доступа в информационных системах
2.3.6 Метод группировки
2.4 Методика повышения защищенности сетевой инфраструктуры
2.5 Выводы к главе 2 173 ГЛАВА 3. Оценка разработанных методов
3.1 Анализ разработанного метода оценки защищенности информационных сетей
176
3.1.1 Анализ результатов расчета метрики безопасности и оценки рисков для различных топологий сети
3.1.2 Сопоставление метода с аналогами
3.1.3 Анализ результатов
3.1.4 Обобщение результатов анализа
3.2 Оценка разработанного метода разграничения сетевого доступа
3.2.1 Оценка корректности работы метода при использовании алгоритма
3.2.2 Оценка метода разграничения доступа с использованием оптимизаций алгоритма
3.2.3 Сопоставление метода аналогами
3.2.4 Проверка работы метода на сети реальной организации
3.2.5 Обобщение результатов оценки
3.3 Оценка разработанного метода группировки субъектов и объектов доступа в информационных системах для сегментации сетевой инфраструктуры
3.3.1 Сопоставление метода с аналогами
3.3.2 Оценка метрикой безопасности и оценкой рисков
3.3.3 Обобщение результатов оценки
3.4 Выводы к главе
Заключение
Список сокращений
Список литературы
Приложение А. Расчет рисков информационной безопасности для топологий сетей
Приложение Б. Апробация результатов работы
Б.1. Свидетельство о государственной регистрации программы для ЭВМ 227 Б.2. Акты внедрения
Приложение В. Основные публикации по теме диссертации
В.1. Проблематика обеспечения безопасности сетевой инфраструктуры посредством сегментации сети
В.2. Method of grouping subjects and objects in information systems
В.3. Критерий безопасности сетевой инфраструктуры
В.4. Метод разграничения сетевого доступа для обеспечения безопасности сетевой инфраструктуры на основе устранения избыточной сетевой связности
249
Рекомендованный список диссертаций по специальности «Другие cпециальности», 00.00.00 шифр ВАК
Разграничение доступа в компьютерных сетях на основе классификации и приоритетной обработки пакетного трафика2010 год, кандидат технических наук Мулюха, Владимир Александрович
Разграничение доступа в IP-сетях на основе моделей состояния виртуальных соединений2010 год, кандидат технических наук Силиненко, Александр Витальевич
Система защиты информационного взаимодействия в среде облачных вычислений2012 год, кандидат технических наук Лукашин, Алексей Андреевич
Контроль сетевой политики безопасности и разграничение потоков данных в компьютерных сетях научных организаций2010 год, кандидат технических наук Козачок, Андрей Васильевич
Применение методов машинного обучения для автоматизации тестирования информационных систем на проникновения2021 год, кандидат наук Мясников Алексей Владимирович
Введение диссертации (часть автореферата) на тему «Методы оценки и повышения защищенности сетевой инфраструктуры на основе разграничения доступа и методов оптимизации»
Реферат Общая характеристика работы
Актуальность. В настоящее время эффективное функционирование организаций невозможно без построения сложной информационно -технологической инфраструктуры (далее - ИТ-инфраструктура). С ростом количества информационных ресурсов и сервисов, предоставляемых внутри корпоративной сети, возрастает сложность сопровождения и ведения ИТ-инфраструктуры. Распространенным случаем является подключение новых узлов сети, настройка соединений для каждой нового сотрудника, каждой конкретной задачи производства к существующей системе наиболее быстрым и удобным для администратора сети способом.
Современные организации сталкиваются с рядом серьезных проблем, связанных с информационной безопасностью (далее - ИБ). Усложнение ИТ-инфраструктуры и отсутствие полной информации о текущей конфигурации сети приводит к возникновению угроз ИБ и таким инцидентам, как проникновение злоумышленника во внутреннюю сеть и утечки конфиденциальной информации. Внедрение эффективных мер противодействия угрозам нарушения ИБ в компьютерных сетях позволяет снизить риски ИБ. Основой таких мер является организация разграничения доступа, в том числе логическая сегментация сети, осуществляемая посредством анализа бизнес-процессов, аудита существующей конфигурации сети, проектирования и документирования необходимой безопасной конфигурации.
На данный момент не существует единого общепринятого метода для автоматизированного межсетевого экранирования (логической сегментации) компьютерных сетей. Существуют отдельные технологии программной сегментации, позволяющие установить контроль над потоками трафика в зависимости от назначенных групп пользователей. Такие технологии осуществляют разграничение сетевого доступа, однако требуют использования строго определенного проприетарного программного или аппаратного обеспечения, а также имеют уязвимости, связанные с наличием точек отказа. Кроме
того, они решают лишь проблему администрирования правил межсетевого экранирования, но не предоставляют механизмов оптимизации создаваемых правил, что в перспективе может приводить к отказу в обслуживании. Наконец, вследствие прекращения работы на российском рынке зарубежных поставщиков сетевого оборудования и средств защиты, многие решения и технологии могут быть недоступны для применения.
Актуальность темы исследования обоснована возрастающим распространением применения информационных технологий, недостатками автоматизированных решений, направленных на проектирование и перестроение информационных сетей. Хотя общие принципы проектирования безопасных сетей были сформулированы достаточно давно, процедуры их внедрения на практике регламентированы не были. В результате сетевая инфраструктура часто строится без учета требований ИБ.
Целью работы является снижение рисков информационной безопасности, обусловленных угрозами нарушения доступности и конфиденциальности информации, посредством автоматизированного межсетевого экранирования и логической сегментации.
Научная задача состоит в разработке и обосновании научно-методического аппарата по повышению защищенности информационных сетей посредством разграничения доступа на сетевом и канальном уровнях в условиях сложной структуры сетевого взаимодействия, реализованной без учета требований ИБ, и наличия ограничений на используемые ресурсы.
Для достижения указанной цели работы были решены следующие частные задачи:
1. Исследование существующих методов оценки и повышения защищенности информационных сетей.
2. Разработка математической модели сетевой инфраструктуры.
3. Определение метрики безопасности сетевой инфраструктуры и разработка метода оценки защищенности сети.
4. Разработка метода разграничения доступа субъектов к объектам на сетевом уровне.
5. Разработка метода группировки субъектов и объектов доступа в информационных системах
6. Разработка методики повышения защищенности сетевой инфраструктуры.
7. Оценка эффективности предложенных методов. Проведение вычислительного эксперимента и обоснование применимости методов.
В соответствии с заявленными целями и задачами работы объектом исследования являются методы, модели и средства (комплексы средств) противодействия угрозам нарушения информационной безопасности в открытых компьютерных сетях, включая Интернет, а предметом исследования методы организации разграничения доступа в информационных сетях. Основные положения, выносимые на защиту:
1. Метод оценки защищенности информационных сетей, отличающийся от известных структурой метрики безопасности, позволяющий использовать его в задачах оптимизации, на основе которых строятся автоматические и полуавтоматические методы повышения защищенности информационной инфраструктуры.
2. Метод группировки субъектов и объектов доступа в информационных системах, отличающийся от известных используемым признаковым пространством и алгоритмом кластеризации пользователей и ИТ-сервисов, позволяющий выделить сетевые сегменты на основании схожих характеристик узлов сети.
3. Метод разграничения сетевого доступа, отличающийся от известных оригинальной моделью сетевого взаимодействия и применяемым математическим аппаратом, основанном на методах численной оптимизации, ранее не применявшимся для решения задач по настройке межсетевого экранирования, позволяющий устранить избыточные сетевые связи в условиях равномерной нагрузки на межсетевые экраны и снизить риски
информационной безопасности, обусловленные угрозами нарушения доступности и конфиденциальности информации. Научную новизну диссертации составляют:
1. Аналитическая модель сетевой инфраструктуры (далее - АМСИ), отличающаяся от известных тем, что рассматривает сеть как набор путей сетевого взаимодействия между узлами и математическим описанием наличия сетевого доступа между субъектами и объектам.
2. Метод оценки защищенности информационных сетей, основанный на разработанной метрике безопасности, отличающийся от известных уникальным набором характеристик узлов сети, ранее не применявшемся для задач оценки ИБ сетевой инфраструктуры, а также применением разработанной АМСИ. Метод позволяет проводить объективные сравнения сетевых топологий на основе полученных количественных оценок ИБ сетевой инфраструктуры.
3. Метод группировки субъектов и объектов доступа в информационных системах, основанный на спектральной и иерархической кластеризации. Метод использует уникальный набор признаков субъектов и объектов доступа. Подобный подход ранее не применялся при решении задач проектирования сетевой инфраструктуры и систем разграничения доступа.
4. Метод разграничения сетевого доступа, основанный на устранении избыточной сетевой связности посредством решения оптимизационной задачи. Метод основан на ранее предложенной АМСИ и позволят равномерно распределять правила фильтрации сетевого трафика между межсетевыми экранами. Данный подход ранее не применялся в задачах обеспечения ИБ сетей.
Обоснованность и достоверность полученных результатов обеспечивается глубоким анализом существующих решений и методов обеспечения ИБ и проектирования сетей; использованием апробированного математического аппарата, аналитических и экспериментальных методов; набором практических экспериментов с использованием программного комплекса и наборов данных
реальных организаций; согласованностью результатов, полученных при теоретическом исследовании с результатами проведенных экспериментов; представлением и одобрением результатов исследования в печатных трудах и докладах на научно-практических конференциях; практической апробацией в деятельности организаций.
Практическая значимость работы состоит в следующих аспектах:
1. Метод оценки защищенности информационных сетей позволяет проводить объективный аудит уровня обеспечения ИБ при внесении изменений в сетевую инфраструктуру. Он может быть использован при построении (перестроении) сетевой инфраструктуры в качестве критерия уровня обеспечения информационной безопасности при сравнении вариантов топологий. Также разработанный метод позволяет выявлять наиболее критичные с точки зрения ИБ узлы сети, что может быть использовано для более эффективного принятия решений о необходимости применения дополнительных средствах защиты информации.
2. Предложенный метод группировки субъектов и объектов доступа в информационных системах может быть использован при проектировании сетевых сегментов в организациях произвольного размера, а также для составления матриц доступа. Данный метод также позволяет оценить существующие информационные потоки в организации перестроить систему защиты информации с учетом существующих бизнес-процессов организации.
3. Предложенный метод разграничения сетевого доступа, основанный на устранении избыточной сетевой связности, позволяет минимизировать риски ИБ, связанные с продвижением атакующего по сети, с использованием штатных средств без значительного увеличения нагрузки на сетевое оборудование.
4. На основе предложенных методов разработаны методика повышения защищенности сетевой инфраструктуры и реализующий ее программный комплекс, позволяющий произвести сканирование сети, определение ее
сетевой топологии и существующих правил разграничения доступа, расчет необходимых правил межсетевого экранирования и генерацию такого набора правил для существующего сетевого оборудования. 5. Предложенные методы, методика и программный комплекс могут быть использованы в коммерческих организациях при проектировании ИТ-инфраструктуры или её модернизации. Методы исследования. Для решения задач, сформулированных в работе, использовались методы математического моделирования, системного анализа, теория информационной безопасности, методы оптимизации, искусственного интеллекта.
Реализация результатов. Результаты диссертационной работы использовались при проведении прикладных научных исследований в федеральном государственном автономном образовательном учреждение высшего образования «Национальный исследовательский университет ИТМО»:
- НИР № 619296 «Разработка методов создания и внедрения киберфизических систем»;
- НИР № 620164 «Методы искусственного интеллекта для киберфизических систем».
Апробация работы.
Основные результаты работы представлялись на следующих конференциях:
1. Выступление с докладом «Проблематика обеспечения безопасности сетевой инфраструктуры посредством сегментации сети» на X конгрессе молодых ученых, Санкт-Петербург 14-17 апреля 2021;
2. Выступление с докладом «Method of Grouping Subjects and Objects in Information Systems» на конференции «The 30th Conference of Open Innovations Association FRUCT».
3. Выступление с докладом «Математическое моделирование сетевой инфраструктуры для сегментации сети» на XI конгрессе молодых ученых, Санкт-Петербург 4-8 апреля 2022;
4. Выступление с докладом «Критерии безопасности сетевой инфраструктуры» пятьдесят первой (LI) научной и учебно-методической конференция Университета ИТМО, 2-5 февраля 2022;
5. Выступление с докладом «Метод повышения защищенности сетевой инфраструктуры на основе устранения избыточной связности» на XII конгрессе молодых ученых, Санкт-Петербург 3-6 апреля 2023;
Публикации.
По результатам диссертационного исследования автором опубликовано 4 работы, из них статей в журналах, рекомендованных ВАК РФ - 1, Scopus - 2. Получено свидетельство о регистрации программы для ЭВМ. Личный вклад автора.
Результаты диссертационной работы получены автором самостоятельно. Постановка цели и задач, обсуждение планов исследований и полученных результатов выполнены автором совместно с научным руководителем. Реализация программного комплекса выполнена автором самостоятельно.
Структура и объем работы. Диссертационная работа содержит введение, 3 раздела, заключение, список литературы, приложения. Объем работы составляет 258 страниц. Работа включает 7 рисунков, 24 таблицы.
Содержание
Во введении обоснована актуальность проводимых в рамках диссертационной работы исследований; определены цель, задача и вопросы исследования; выделены методы исследования и положения, выносимые на защиту; сформулированы научная новизна, теоретическая и практическая значимость результатов работы; приведены сведения об апробации результатов исследования.
В первой главе описывается проблематика обеспечения ИБ сетевой инфраструктуры с точки зрения разграничения доступа и возможности пресечения продвижения атакующего на сетевом уровне. Выделены основные риски ИБ в несегментированных сетях, а также наиболее вероятные факторы и условия, приводящие к данным рискам. Рассмотрены существующие решения по программной сегментации сети и методы повышения защищенности на основе настроек штатного оборудования, проведен их анализ, выделены ограничения и недостатки.
В рамках анализа решений по сегментации сети установлено, что разграничение доступа, такое как сегментация сети позволяет добиться нужного уровня ИБ посредством разграничения информационных систем и ресурсов, помещения их в разные сетевые сегменты, изолирования отдельных сетей, разделения пользователей на сетевые группы доступа.
Рассмотрены существующие подходы к настройке сетевого разграничения доступа, их достоинства и недостатки. Наиболее распространенным решением для разграничения сетевого доступа является применение программных (программно -аппаратных) средств, реализующих ограничивающие правила программно, поверх существующей физической ИТ-инфраструктуры.
Исследованы типы технологий и продуктов, существующих на рынке ИБ, реализуемые ими методы разграничения доступа, проведен их анализ, определены достоинства и недостатки.
Среди решений, предлагаемых отдельными производителями, были рассмотрены программно-ориентированная сегментация TrustSec от Cisco,
сегментация на основе намерений от Fortinet, решения по микросегментации в виртуальных инфраструктурах.
В общем случае исследованные технологии имеют такие преимущества, как возможность централизованного управления, отсутствие необходимости в дополнительных настройках физического оборудования и перестроении существующей системы. Однако при этом они функционируют только на определенном оборудовании, имеют единые точки отказа или требуют внедрения дополнительных продуктов из своей экосистемы ИБ, что приводит к высокой стоимости такого решения. К тому же для всех программных решений характерно наличие уязвимостей, что может представлять даже большую угрозу, чем некорректное разграничение доступа.
Применение рассмотренных решений зависит от ряда условий и ограничений, которые являются важными с точки зрения экономической целесообразности и разумной достаточности, а также может быть невозможно в связи с требованиями законодательства.
Известные методы работают строго в рамках проприетарных протоколов, программного или аппаратного обеспечения определенного поставщика, имеют слабые места в своей реализации.
Проведенный анализ позволяет сделать вывод о необходимости разработки научно-обоснованных методов разграничения сетевого доступа, дающих возможность корректной настройки существующего оборудования для минимизации рисков ИБ.
В разделе 1.2 рассмотрены существующие методы повышения защищенности на основе настроек штатного оборудования, методы оценки защищенности сетевой инфраструктуры от угроз информационной безопасности.
Рассмотрены методы оценки безопасности с использованием графов атак и метрик CVSS (The Common Vulnerability Scoring System). Данные методы при вычислении метрик применяют табличные и экспертные оценки, основываясь на модели действий нарушителя.
В рассмотренных работах производится построение графа возможных действий злоумышленника. Создание исчерпывающего графа и сбор данных представляют собой трудноразрешимую задачу. Так большинство алгоритмов не учитывает существенную часть атак. Кроме того, построение графа и расчет метрик безопасности требуют значимых затрат времени и ресурсов. Математическая оптимизация таких метрик не представляется возможной. Наконец, данные методы в значительной степени полагаются на СУ^, в которых присутствуют субъективно настраиваемые параметры, а ценность активов определяется ранжированием по ограниченному числу уровней. Еще одной особенностью данных работ может считаться то, что в них учитываются заведомо осуществимые атаки. При построении же защищенной сети отсутствие устаревшего программного обеспечения или заведомо некорректных настроек должно являться обязательным условием.
Также был осуществлен обзор альтернативных метрик защищенности сетевой инфраструктуры, разделяющих метрики для безопасности узла и безопасности сети, учитывающих и не учитывающих путь проникновения в сеть. Недостатком метрик, не учитывающих порядок действий злоумышленников, является их нацеленность на защищенность узлов: безопасность сети рассматривается как доля уязвимых узлов.
Таким образом сделаны выводы о том, что существующие методы не учитывают уязвимости нулевого дня и уязвимости, связанные с ошибками в работе персонала. Отсутствие логической сетевой связности между сегментами сети позволяет значительно снизить вероятность компрометации даже при использовании подобных уязвимостей.
Необходимо проведение исследования, направленного на снижение рисков информационной безопасности, обусловленных угрозами нарушения доступности и конфиденциальности информации, путем совершенствования существующих или поиска новых, ранее не применявшихся для решения данной задачи методов автоматизированного межсетевого экранирования и логической сегментации.
Во второй главе приведено описание разработанных методов: оценки защищенности информационных сетей, группировки субъектов и объектов доступа в информационных системах, разграничения сетевого доступа, а также методики, объединяющей разработанные методы, предназначенной для повышения защищенности сетевой инфраструктуры.
В разделе 2.1 приведено описание разработанного метода оценки защищенности информационных сетей. Метод основан на применении разработанной аналитической модели сетевой инфраструктуры (далее - АМСИ) и метрики безопасности.
АМСИ представляет собой математическую модель сети, отражающей реальную сетевую топологию в качестве набора путей между субъектами и объектами доступа в инфраструктуре.
В качестве субъектов доступа рассматривается связка «Пользователь -средство вычислительной техники», что позволяет использовать признаки, описывающие свойства, присущие как физическим лицам, так и конкретные технические особенности закрепленных за ними средств вычислительной техники (далее - СВТ).
В качестве объекта доступа принимаются информационные системы, приложения с сетевыми базами данных, сервисы, а также группы сервисов, связанных единым назначением и функционирующих как единая система.
Исходными данными для построения модели сетевой инфраструктуры является граф сетевых взаимодействий и перечень субъектов и объектов, взаимодействующих друг с другом. Кроме того, для вычисления метрики безопасности вводятся дополнительные сведения, которые представлены в разделе 2.1.3. При решении задачи межсетевого экранирования на сетевом уровне узлами графа сетевых взаимодействий являются маршрутизаторы. Данные устройства в большинстве случаев обеспечивают межсетевое экранирование. В случае отсутствия подобного функционала считается, что межсетевой экран (далее - МЭ) (или их набор) устанавливается совместно с маршрутизатором для обеспечения разграничения доступа.
Для каждого МЭ / вводится матрица запрещающих правил
Х<Л = \\х<р\\,
где Х/ - переменная, принимающая значение 0 или 1 и отражающая запрещающее правило для соответствующих субъекта и объекта.
Тогда наличие пути Р от субъекта до объекта О] в итоговой модели определяется соотношением:
^ПС1-^)'
/ер
где Р - совокупность промежуточных отрезков пути от субъекта & до объекта О/. При отсутствии правил межсетевого экранирования все величины Х/ равны 0, т. е. весь трафик между всеми субъектами и объектами разрешен. При этом величина Рц также принимает значения 0 и 1 в зависимости от того, проходит ли через нее полный путь от субъекта до объекта. Она равна 1 только в случае, если все величины равны 0.
Разработан ряд метрик защищенности, позволяющих оценить уровень безопасности сети. Метрики основаны на определении критичности путей между субъектами и объектами и являются показателями рисков ИБ.
Для каждого субъекта & определен набор характеристик: - уровень возможностей (1 - обычные привилегии, 2 - наличие средств администрирования, 3 - наличие средств разработки, 4 - права локального администратора, 5 - права доменного администратора), 2 - использование средств защиты, I - наличие доступа в Интернет. Аналогично определяются характеристики объекта О/. Ц -значимость узла с точки зрения продвижения по сети, V/ - степень критичности активов, Ж/ - наличие средств защиты, О/ - источник программного обеспечения (1 - собственная разработка, 2 - приложение с открытым кодом, 3 - коммерческое ПО).
Общая критичность пути от субъекта до объекта (С/) определяется следующим соотношением:
с-,. = к, * с3^) * * С1 * С1 * С5-^) * С1^).
Исходя из определения критичности всех путей сетевого взаимодействия вычисляется метрика безопасности сети (Я):
где N0 - число объектов, N - число субъектов.
На основе разработанной метрики формализован метод оценки защищенности сетевой инфраструктуры. Особенностью разработанной метрики, используемой в данном методе, является возможность её быстрого вычисления, что позволяет использовать её при решении оптимизационных задач.
В разделе 2.2 представлен разработанный метод разграничения сетевого доступа. В методе определение правил межсетевого экранирования для представленной ранее АМСИ выполняется автоматически, путем решения оптимизационной задачи, направленной на снижение значения метрики безопасности сети и минимизацию количества правил межсетевого экранирования. Метод направлен на минимизацию метрики безопасности (Я) в условиях ограниченности ресурсов и наличия дополнительного требования, направленного на равномерное распределение правил фильтрации трафика по МЭ. Данное требование направлено на защиту от ряда атак, направленных на отказ в обслуживании средств маршрутизации и межсетевого экранирования вследствие наличия чрезмерно большого количества правил.
С учетом структуры путей данная метрика формулируется следующим образом:
На основе предложенного соотношения, выражающего степень подверженности сети атакам, была выполнена постановка задачи поиска оптимального набора запрещающих правил межсетевого экранирования, которая представляет собой совокупность следующих компонентов:
N о
* = Н НС ,
¿=1
О' ГеР
Е = В^ ^ тах
Г
= !
^ тт
Уг В
х(Р < N.
I]
IВ^ ^ тт
Г
В общем виде она может быть представлена также следующим образом:
Х ПК)+** [«* ХХ X -в* Пв
/ ер
\
/ V
V
Г
тт
Ч/:В, = £ ^ <
Г
а =
(1)
МР*М8* ы0
в=
П N
/
/
где а и в - параметры, нормирующие части функции оптимизации таким образом, чтобы их значения находились во множестве (0,1), F - множество МЭ, 5 -множество субъектов, О - множество объектов, w - коэффициент, нормирующий вес вспомогательной части, N - число МЭ, N - число субъектов, ЫО - число объектов. Например, может быть устранено требование к равномерному распределению правил по МЭ. Кроме того, изменяется чувствительность функции к требованию равномерного распределения правил по МЭ и к требованию минимизации количества правил межсетевого экранирования.
Данная задача была решена с использованием метода ветвей и границ, который при правильном формировании критериев ветвления и метода вычисления границ позволяет значительно сократить количество вычислений в сопоставлении с полным перебором. На старте работы задачи необходимо ограничить константами в матрицах удаление путей, необходимых для легитимного доступа субъектов к объектам. Для этого соответствующим переменным присваиваются
]
]
1
<
1
нули (отсутствие запрещающего правила), а соответствующие переменные исключаются из рассмотрения. В результате формируется множество рассматриваемых путей
/ЕР
Далее формируется кортеж решения:
(Я,Л) = (0,0),
где О - множество запрещающих правил, А - множество отсутствующих запретов. Для решения задачи с использованием метода ветвей и границ необходимо сформировать принцип ветвления. На каждой итерации из множества 5 выбирается путь Р, имеющий наибольшую критичность. Пронумеруем все переменные, входящие в путь Р от 1 до |Р|:
(г)
х,у ^ п.
Далее новые множества формируются по следующему принципу:
5 = 5\{Р}
= Б, А'0 = А и Р .
Ух^ Е Р: Я; = Я и {х^} ,А'п=Аи(Р\ {х^}) | п = М (х^)
Верхняя граница вычисляется, исходя из соотношения:
w
а
Ч /еР
Тогда нижняя граница:
N
*
ЕЕ ^-в* П
л
/ у
W^
/ еР
п=1
а*Ы'-в
/
/ У
(2)
V У
(3)
Далее в работе приведен алгоритм решения задачи поиска оптимального набора запрещающих правил межсетевого экранирования для минимизации метрики безопасности (Алгоритм 1) за небольшой промежуток времени в условиях незначительного количества допустимых запрещающих правил: 1. Сформировать первичный кортеж (В = 0,А = 0).
Похожие диссертационные работы по специальности «Другие cпециальности», 00.00.00 шифр ВАК
Методы обеспечения информационной безопасности ключевых систем с использованием деревьев атак2009 год, кандидат технических наук Липатов, Алексей Леонидович
Разработка и исследование методов и алгоритмов автоматического построения правил фильтрации межсетевых экранов, адекватных заданной политике разграничения доступа в сети2010 год, кандидат технических наук Мордвин, Денис Валериевич
Автоматизация принятия решений по управлению межсетевым экранированием корпоративных АСУ2004 год, кандидат технических наук Саюшкин, Андрей Александрович
Адаптация политики маршрутизации сетевого трафика к требованиям по информационной безопасности2004 год, кандидат технических наук Сереченко, Денис Владимирович
Методология синтеза интерактивной сетевой среды для компьютерных полигонов в сфере информационной безопасности2022 год, доктор наук Синадский Николай Игоревич
Список литературы диссертационного исследования кандидат наук Шилова Анастасия Дмитриевна, 2023 год
СПИСОК источников
1. Петров С. Н., Ахраменко Д. В., Горош-ко С. М., Пулко Т. А. Разграничение доступа в локальной сети с использованием базовых настроек сетевого оборудования // Системный анализ и прикладная информатика. — 2018. — № 3. Doi: 10.21122/2309-4923-2018-3-55-61.
2. Таненбаум Э. Компьютерные сети. 4-е изд. СПб. : Питер, 2003. - 992 с.
3. Anwar, Raja Waseem & Abdullah, Tariq & Pastore, Flavio. Firewall Best Practices for Securing Smart Healthcare Environment: A Review//Applied Science. - 2021. Doi: 10.3390/ appll 199183.
4. Khoumsi, Ahmed & Erradi, Mohammed & Krombi, Wadie. A formal basis for the design and analysis of firewall security policies // Journal of King Saud University—Computer and Information Sciences. - 2018. - V. 30. Doi: 10.1016/j.jk-suci.2016.11.008.
5. Хенрхабаров Т. С. Алгоритм упорядочивания правил фильтрации сетевого трафика в наборах правил межсетевых экранов // Ре-шетневские чтения : материалы XVIII Меж-дунар. науч. конф., посвящ. 90-летию со дня рождения генер. конструктора ракет.-космич. систем акад. М. Ф. Решетнева. — 2014. — Ч. 2.
6. Старков Д. И., Жуков В. Г. Автоматизированное построение правил фильтрации межсетевых экранов на основе списка разре-
шенных служб // Решетневские чтения : материалы XXII Междунар. науч.-практ. конф., посвящ. памяти генерального конструктора ракетно-космических систем академика М. Ф. Решетнева. -2018. - Ч. 2.
7. Мордвин Д. В., Абрамов Е. С., Сидоров И. Д., Андреев А. В. Метод автоматизированного построения правил фильтрации сетевого трафика // Материалы международной научно-технической конференции «Кибернетика и высокие технологии века». — 2010.
8. Бондарева А. Д. Проблематика обеспечения безопасности сетевой инфраструктуры посредством сегментации сети // Сборник трудов X Конгресса молодых ученых. - 2021. - Т. 1.
9. Li Ming & Cheng, Hang & Cao, Wanwan & Yu, Songbo & Song, Jie. Access Control Method of SDN Network Based on Zero Trust// ICATCI 2022 : Tenth International Conference on Applications and Techniques in Cyber Intelligence (ICATCI 2022). -2023. Doi: 10.1007/978-3-031-29097-8_59.
10. Bondareva A., Shilov I. Method of Grouping Subjects and Objects in Information Systems // Proceedings of the 30th Conference of Open Innovations Association FRUCT. — 2021.
11. Мусатов В. К. Обоснование эффективности применения автокоррекции баз пра-
вил фильтрации в средствах межсетевого // Т-Сотт: Телекоммуникации и транспорт. — 2014.-№ 8.
12. Мельников Б. Ф., & Мельникова Е. А. О классической версии метода ветвей и границ// Компьютерные инструменты в образо-
вании. - 2021. Doi: 10.32603/2071-2340-20211-21-45
13. Charon Irène & Hudry Olivier. Branch-and-Boiind Methods. Concepts of Combinatorial Optimization. - 2013. Doi: 10.1002/97811186 00245.ch3.
REFERENCES
1. Petrov S. N., Akhramenko D. V., Gorosh-
ko S. M., Pulko T. A. Razgraniclieniye dostupa v lokal'noy seti s ispol'zovaniyem bazovykh nas-troyek setevogo oboiudovaniya. [Differentiation of access in the local network using the basic settings of network equipment]. System Analysis and Applied Informatics. -2018. Doi: 10.21122/23094923-2018-3-55-61 (In Russian)
2. Tanenbauni E. Komp'yuternyye seti. [Computer networks], 4th ed. SPb.: Piter, 2003. - 992 p. (In Russian)
3. .Anwar Raja Waseeni & Abdullah, Tariq & Pastore Flavio. Firewall Best Practices for Securing Smart Healthcare Environment: A Review. Applied Science. - 2021. Doi: 10.3390/ applll99183
4. Khounisi, Ahmed & Erradi, Mohammed & Krombi, Wadie. A formal basis for the design and analysis of firewall security policies. Journal of King Saud University — Computer and Information Sciences. - 2018. - V. 30. Doi: 10.1016/j.jk-suci.2016.11.008
5. Kheirkhabarov T. S. Algoritm uporyado-chivaniya pravil fil'tratsii setevogo trafika v nabo-rakh pravil mezhsetevykh ekranov [Algorithm for ordering network traffic filtering rules in firewall rule sets]. Reshetnev Readings: materials of the XVIII Intern, scientific conf., dedicated 90th anniversary of the birth of Gen. rocket designer. -cosmic. systems acad. M. F. Reshetnev. — 2014. Part 2. (In Russian)
6. Starkov D. I., Zhukov V. G. Avtoma-tizirovannoye postroyeniye pravil fil'tratsii mezhsetevykh ekranov na osnove spiska razreshennykh sluzhb [Automated construction of firewall filtering rules based on the list of allowed services], Reshetnev readings: materials of the XXII Intern, scientific-practical, conf., dedicated In memory of the General Designer of Rocket and Space Systems, Academician M. F. Reshetnev. — 2018. Part 2. (In Russian)
7. Mordvin D. V., Abramov E. S., Sidorov I. D., Andreev A. V. Metod avtomatizirovannogo po-stroyeniya pravil fil'tratsii setevogo trafika [Method for automated construction of network traffic filtering rules]. Proceedings of the international scientific and technical conference "Cybernetics and high technologies of the century". — 2010. (In Russian)
8. Bondareva A. D. Problematika obespech-eniya bezopasnosti setevoy infrastruktury posred-stvom segmentatsii seti [The problem of ensuring the security of network infrastructure through network segmentation]. Proceedings of the X Congress of Young Scientists. — 2021. — V. 1. (In Russian)
9. Li Ming <& Cheng, Hang & Cao Wanwan & Yu, Songbo & Song Jie. Access Control Method of SDN Network Based on Zero Trust. ICATCI 2022 : Tenth International Conference on Applications and Techniques in Cyber Intelligence (ICATCI 2022). - 2023. Doi: 10.1007/978-3-03129097-859.
10. Bondareva A., Shilov I. Method of Grouping Subjects and Objects in Infonnation Systems. Proceedings of the 30th Conference of Open Innovations Association FRUCT. — 2021.
11. Musatov V. K. Obosnovaniye effektivnosti primeneniya avtokorrektsii baz pravil fil'tratsii v sredstvakh mezhsetevogo ekranirovaniya [Substantiation of the effectiveness of the application of auto-correction of bases of filtering rules in firewalls]. T-Comm: Telecommunications and transport. - 2014. - No 8. (In Russian)
12. Melnikov, B. F., & Melnikova, E. A. O klas-sicheskoy versii metoda vetvey i granits [About the classical version of the branch and bound method]. Computer Tools in Education. — 2021. Doi: 10.32603/2071-2340-2021-1-21 -45( I n Russian)
13. Charon, Irène & Hudry, Olivier. Branch-and-Bound Methods. Concepts of Combinatorial Optimization. - 2013. Doi: 10.1002/9781 118600245.ch3.
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.