управление средствами защиты распределен
реклама
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ УКРАИНЫ
НАЦИОНАЛЬНЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ УКРАИНЫ
"КИЕВСКИЙ ПОЛИТЕХНИЧЕСКИЙ ИНСТИТУТ"
На правах рукописи
МУХИН ВАДИМ ЕВГЕНЬЕВИЧ
УДК 004.382, 004.75
МЕТОДЫ И СРЕДСТВА ОРГАНИЗАЦИИ
МУЛЬТИКОМПЬЮТЕРНЫХ СИСТЕМ НА ОСНОВЕ
МНОГОКАНАЛЬНЫХ СРЕД ПЕРЕДАЧИ ДАННЫХ
Специальность: 05.13.05 - Компьютерные системы и компоненты
Диссертация на соискание ученой степени
доктора технических наук
Научный консультант:
доктор технических наук, профессор
Луцкий Георгий Михайлович
Киев - 2015
2
СОДЕРЖАНИЕ
ВВЕДЕНИЕ………………………...………………………………............7
РАЗДЕЛ 1. АНАЛИЗ МЕХАНИЗМОВ ПОСТРОЕНИЯ ВЫСОКОСКОРОСТНЫХ ОТКАЗОУСТОЙЧИВЫХ И
ЗАЩИЩЕННЫХ
МУЛЬТИКОМПЬЮТЕРНЫХ СИСТЕМ НА ОСНОВЕ МНОГОКАНАЛЬНЫХ СРЕД ПЕРЕДАЧИ ДАННЫХ………………………20
1.1. Анализ современных архитектур построения распределенных мультикомпьютерных систем на основе многоканальных сред …………...…….20
1.2. Особенности реализации методов коммутации для МКС с одно- и
многоканальными связями…...……………………………………………..28
1.3. Анализ протоколов передачи данных в МКС на основе многоканальных
сред……………………...………………………………………...………….33
1.4. Исследование особенностей механизмов обеспечения отказоустойчивости и надежности в распределенных мультикомпьютерных системах………………………………………………………………...………......40
1.5. Сравнительный анализ особенностей организации механизмов защиты
аппаратных и программных ресурсов МКС……….…………….………...43
1.6. Исследование методов и средств анализа и управления рисками
нарушения защищенности МКС………………….………………………...58
Выводы к Разделу 1……………………………………………………..……….67
РАЗДЕЛ 2. МОДЕЛИ ПРОГНОЗИРОВАНИЯ
ХАРАКТЕРИЗУЮЩИХ
РАСПРЕДЕЛЕННЫЕ
ПОКАЗАТЕЛЕЙ,
МУЛЬТИКОМ-
ПЬЮТЕРНЫЕ СИСТЕМЫ…………………………….…………..…71
2.1. Основные показатели, характеризующие МКС………………………….71
2.2. Фрактально-регрессионная модель оценки интенсивности передачи
данных в МКС ……………………………..………………………………..72
3
2.3. Фрактально-сигмоидальные модели оценки надежности и уровня
защищенности МКС…………………………………………………………81
2.4. Комплексная модель получения оптимальных значений показателей характеризующих МКС……..……………………….………………………..86
2.5. Выбор механизмов получения начального базисного решения и сужения
области оптимальных по Парето решений для оптимизационных
моделей…………………………………………………………………….....90
Выводы к Разделу 2…………………………………………………………...…96
РАЗДЕЛ 3. ИССЛЕДОВАНИЕ И АДАПТАЦИЯ МЕТОДОВ КОММУТАЦИИ В МУЛЬТИКОМПЬЮТЕРНЫХ СИСТЕМАХ НА
ОСНОВЕ МНОГОКАНАЛЬНЫХ СРЕД…………………………....99
3.1. Исследование и адаптация базовых методов коммутации для мультикомпьютерных систем на основе многоканальных сред..………….................99
3.2. Механизм формирования канала передачи для поддержки разных типов
передаваемых данных в МКС……...…………………………….....…..…121
3.3. Сравнительный анализ параметров методов коммутации в МКС на основе многоканальных сред………………...…………………………………127
3.4. Особенности архитектуры формирователей канала передачи данных
для компьютерных систем на основе многоканальных сред………..…..129
Выводы к Разделу 3…………………………………………………………….132
РАЗДЕЛ 4. МЕХАНИЗМЫ
ПОВЫШЕНИЯ ЗАЩИЩЕННОСТИ
ПЕРЕДАЧИ ДАННЫХ И НАДЕЖНОСТИ РАСПРЕДЕЛЕННЫХ
МУЛЬТИКОМПЬЮТЕРНЫХ
СИСТЕМ
НА
ОСНОВЕ
МНОГОКАНАЛЬНЫХ СРЕД ..……………………………….……….134
4.1. Алгоритм адаптивной маршрутизации для передачи данных по выбранному безопасному пути………………….…………………………………134
4.2. Особенности реализации механизма адаптивной маршрутизации по
по защищенному пути для МКС на основе многоканальных сред...........142
4
4.3.Анализ показателей надежности МКС на основе многоканальных сред в
режиме эксплуатации….……………………………………….……..……150
4.4.
Оценка живучести многоканальной среды передачи данных для
мультикомпьютерных систем…...…………………………………….……155
Выводы к Разделу 4……………………………………………………………..158
РАЗДЕЛ
5.
АДАПТИВНОЕ
УПРАВЛЕНИЕ
СРЕДСТВАМИ
ЗАЩИТЫ РЕСУРСОВ РАСПРЕДЕЛЕННЫХ МУЛЬТИКОМПЬЮТЕРНЫХ СИСТЕМ……………………………...…………………..161
5.1. Основные угрозы защищенности и базовые компоненты защиты
мультикомпьютерных систем…………..…….…………….………..……161
5.2. Комплексные риск-ориентированные адаптивные системы управления
средствами защиты ……………………………….…………………..........165
5.3. Адаптивное управление средствами защиты компьютерных систем на
основе семиотических СППР с интеллектуальным агентом……….….175
5.4. Адаптивное управление средствами защиты на основе нечеткой
логики…………………………………………………………….……....…183
5.5. Рейтинговый метод установления доверия в распределенных
мультикомпьютерных системах……………………………….…………194
Выводы к Разделу 5 ……………………………………………………………205
РАЗДЕЛ 6. УПРАВЛЕНИЕ СРЕДСТВАМИ ЗАЩИТЫ РАСПРЕДЕЛЕННЫХ МУЛЬТИКОМПЬЮТЕРНЫХ СИСТЕМ С УЧЕТОМ
РИСКОВ …………………………………………………...……………..207
6.1. Ценность информации как фактор защищенности обработки данных в
мультикомпьютерных системах.….…………………………………….....207
6.2. Теория рисков нарушения защищенности распределенных
мультикомпьютерных систем в задачах анализа критичных ситуаций...215
6.3. Средства минимизации рисков нарушения защищенности в
распределенных мультикомпьютерных системах……………..…….…..221
5
6.4. Особенности реализации средств защиты на основе механизмов минимизации рисков нарушения защищенности………………………………231
Выводы к Разделу 6……………………………………………………….……234
РАЗДЕЛ 7. МОДЕЛИРОВАНИЕ ПРОЦЕССОВ УПРАВЛЕНИЯ
ЗАДАНИЯМИ В МУЛЬТИКОМЬЮТЕРНЫХ СИСТЕМАХ НА
ОСНОВЕ
СПЕЦИАЛИЗИРОВАННЫХ
СТОХАСТИЧЕСКИХ
СЕТЕЙ…………………………………………………………….………236
7.1. Моделирование процессов в модуле управления заданиями
распределенных мультикомпьютерных систем для анализа рисков нарушения защищенности…………………………………………….236
7.2. Теория стохастических RA-сетей для моделирование процессов в модуле
управления заданиями…………..……………..…………………………..251
7.3. Реализация аппарата RA-сетей в задачах анализа ситуаций и принятия решений в модуле управления заданиями для оценки рисков
нарушения защищенности………..…………………………….………….261
7.4. Оценка параметров функционирования модуля управления заданиями с
использованием аппарата RA-сетей…………………………..…...…….268
Выводы к Разделу 7………………………………………………………….…272
РАЗДЕЛ 8. ЭКСПЕРИМЕНТАЛЬНЫЕ ИССЛЕДОВАНИЯ ПОКАЗАТЕЛЕЙ, ХАРАКТЕРИЗУЮЩИХ РАСПРЕДЕЛЕННЫЕ МУЛЬТИКОМПЬЮТЕРНЫЕ СИСТЕМЫ…………………..………………275
8.1. Структура распределенной компьютерной системы для проведения
экспериментальных исследований…………………..………………..…..275
8.2. Особенности проведения экспериментальных исследований уровня
защищенности МКС………………………………………………….…….278
8.3. Экспериментальные исследования уровня защищенности
распределенных мультикомпьютерных систем………………………….281
8.4. Модель прогнозирования показателя уровня защищенности МКС на
основе экспериментальных данных………………………..………...……292
6
8.5. Экспериментальные исследования свойств фрактальности МКС..........293
Выводы к Разделу 8.............................................................................................297
ЗАКЛЮЧЕНИЕ…………………………………………..……………….299
СПИСОК ЛИТЕРАТУРЫ…………………………………………….…308
ПРИЛОЖЕНИЯ
Приложение А. Акты о внедрении результатов работы
Приложение В. Специализированная программная среда для экспериментальных исследований уровня защищенности распределенных мультикомпьютерных
систем
7
ВВЕДЕНИЕ
Актуальность темы.
В настоящее время широкое распространение получили компьютерные
системы с кластерной, GRID, облачной организацией, а также сетевые
хранилища данных, которые, как правило, реализуются в рамках распределенных мультикомпьютерных систем (МКС). Характерной особенностью
распределенных МКС является наличие достаточно развитой высокоскороостной коммуникационной среды с возможностью существенного наращивания компьютерных узлов в них. Данные системы являются мультисервисными, они поддерживают широкий ряд механизмов, обеспечивающих
передачу, хранение и обработку данных. В общем случае, отдельные узлы
МКС могут находиться на значительном удалении один от другого, причем
все эти узлы, как правило, не принадлежат одному пользователю. Таким
образом, хранение и обработка данных осуществляется на удаленных узлах с
коллективным доступом к ним, что вызывает дополнительные требования к
скорости передачи данных, а также надежности и защищенности их передачи
и обработки.
В современных распределенных МКС с точки зрения управления
трафиком выделяются два основных типа трафика: эластичный (данные,
файлы и т.д.) и неэластичный (видео-, аудио-потоки данных, видеоконференции и т.д.), при этом преобладает неэластичный трафик, главной особенностью которого являются жесткие требования к синхронности передаваемых данных, что вызывает ряд проблем, в частности, связанных с передачей
значительных объемов данных.
Классические механизмы передачи данных, управления трафиком и
перегрузкой оказываются неэффективными, поскольку их применение в
МКС в условиях существенного повышения интенсивности передачи данных
вызывает проблему взаимного блокировки потоков данных в МКС. Таким
образом, данные механизмы требуют их адаптации и модификации к среде
8
передачи
данных,
в
частности,
на
основе
интеграции
механизмов
конвейеризации и параллелизма при передаче данных в единой среде.
В процессе реализации распределенных МКС возникает противоречие,
заключающееся в следующем. В общем случае, маршруты передачи данных,
обеспечивающие наиболее высокую интенсивность передачи данных, оказываются либо недостаточно надежными с точки зрения отказоустойчивости
соответствующих каналов связи и узлов-маршрутизаторов, либо могут
характеризоваться низким уровнем защищенности передаваемых данных
ввиду низкой степени доверия к действиям узлов по отношению к данным
на протяжении маршрута.
Существующие подходы и методы анализа показателей, характеризующих МКС и коммуникационные среды не позволяют одновременно учитывать такие важные показатели как: интенсивность передачи данных в
каналах связи, надежность систем и уровень защищенности обрабатываемых
в них данных, что требует разработки специальных моделей оценки этих
показателей. Также важными являются вопросы разработки комплексных
моделей оптимизации показателей, характеризующих МКС; при этом выбор
набора показателей, а также создание моделей и методик их анализа
порождает сложные научно-технические задачи.
Одним из важнейших требований, предъявляемых к современным МКС,
является гарантированная защищенность обработки данных. Для повышения
защищенности передаваемых и обрабатываемых данных необходимо оценивать показатель текущего состояния узлов компьютерной системы, учитывающий надежность и защищенность обрабатываемых в них данных. Таким
образом, возникает проблема маршрутизации и обработки данных, с использованием лишь доверенных и надежных узлов, что создает предпосылки для
повышения показателей надежности и защищенности данных при их
передаче и обработке. Для повышения оперативности реакции на возможные
инциденты безопасности расчет степени доверия к действиям узлов-маршрутизаторов должен выполняться динамически с учетом рисков нарушения
9
защищенности и ценности обрабатываемой информации. Без анализа угроз
и рисков нарушения защищенности практически невозможно обеспечение
защищенности вычислительных и информационных ресурсов МКС.
Таким образом, актуальной является
научно-техническая проблема
организации мультикомпьютерных систем на основе многоканальных сред
передачи данных, для решения которой требуется разработка комплексных
моделей прогнозирования и оптимизации таких важных показателей, як:
интенсивность передачи данных в каналах связи, надежность системы и
уровень защищенности обрабатываемых данных, а также разработка комплекса методов, средств и механизмов повышения качества обслуживания
(Quality of Service, QoS) в распределенных мультикомпьютерных системах.
Связь работы с научными программами, планами, темами.
Работа выполнялась в соответствии с приоритетными научными
направлениями кафедры вычислительной техники, а также в соответствии с
планами научных исследований НТУУ "КПИ", в выполнении которых
соискатель
принимал
непосредственное
участие
как
ответственный
исполнитель, а именно:
- в рамках научно-исследовательской работы: “Побудова відмовостійких
високопродуктивних
реконфігурованих
кластерних
систем
багатопроцесорних
із
кристалів”,
вузлами
д/б
№
на
основі
2947-ф, №
госрегистрации 0106U001722 (2006 - 2007 г.г.);
- в рамках научно-исследовательской работы: “Методи та засоби підвищення інформаційної безпеки гетерогенних кластерних
систем”, д/б №
2102-ф, № госрегистрации 0108U000511 (2008 - 2010 г.г.);
- в рамках научно-исследовательской работы: “Методи та засоби адаптивного управління безпекою розподілених комп’ютерних систем”, х/т 1151/09, № госрегистрации 0109U007949 (2009 - 2010 г.г.).
- в рамках научно-исследовательской работы: “Розробка теоретичних
основ побудови високопродуктивних комп'ютерних систем з динамічним
10
розпаралелюванням
обчислювальних
процесів”,
д/б
№
2402-ф,
№
госрегистрации 0111U001475 (2011 - 2013 г.г.).
- в рамках научно-исследовательской работы: “Методи та засоби
підвищення
ефективності
рішення
задач
на
основі
перестроюваних
обчислювальних засобів на ПЛІС”, д/б № 2711- ф, № госрегистрации
0114U000547 (2014 г.).
Цели и задачи исследования.
Целью данной работы является повышение интенсивности передачи
данных в распределенных мультикомпьютерных системах на основе
иерархической организации среды передачи данных, которая интегрирует
механизмы многоканальности, параллелизма и конвейеризации на различных
уровнях иерархии, а также повышение надежности и защищенности МКС на
основе выделения надежных и защищенных маршрутов передачи данных,
учета показателя доверия к действиям узлов и использования рискориентированных оценок защищенности данных.
Для достижения данной цели должны быть решены следующие основные
задачи:
- разработка комплексных моделей прогнозирования и оптимизации показателей, характеризующих распределенные мультикомпьютерные системы;
- разработка механизма адаптивной маршрутизации, комплексно учитывающего показатели интенсивности передачи данных, надежности и безопасности МКС;
- анализ надежности МКС на основе многоканальных сред, а также
программно-аппаратных средств защиты в режиме эксплуатации;
- разработка методов и механизмов формирования уровня доверия к субъектам распределенных мультикомпьютерных систем для обеспечения
требуемого уровня защищенности обработки информации;
- разработка средств анализа и минимизации рисков нарушения защищенности в условиях наличия угроз безопасности для снижения возможных
11
потерь
вследствие
их
реализации, анализа динамики
вторжений
в
компьютерные системы и выбора эффективных средств защиты;
- разработка средств моделирования процессов и событий в модуле
управления заданиями, связанных с защитой распределенных мультикомпьютерных систем для анализа критических параметров средств защиты;
- разработка механизмов адаптивного управления средствами защиты
мультикомпьютерных систем с использованием аппарата нечеткой логики на
основе формализации функциональных критериев оценки уровня защищенности в многомерном пространстве;
- разработка интегрированных оценок уровня защищенности распределенных мультикомпьютерных систем;
- разработка структуры маршрутизатора для МКС на основе многоканальных сред передачи данных с использованием механизма многоканальных буферных элементов;
- разработка специализированной программной среды моделирования и
экспериментальных исследований механизмов адаптивного управления средствами защиты мультикомпьютерных систем для их тестирования, верификации, а также проверки корректности и достоверности предложенных
моделей и полученных результатов.
Объект исследования: процессы передачи, обработки и защиты данных в
распределенных мультикомпьютерных системах на основе многоканальных
сред передачи данных.
Предмет исследования: модели, методы и средства организации передачи
данных и поддержки защиты обработки данных в распределенных мультикомпьютерных системах.
Методы исследования. Проведенные в работе исследования используют
методы математического моделирования. Для решения поставленных задач
также применяются методы теории вероятностей, теории проектирования
сложных систем, теории рисков, теории автоматического управления,
12
методы нечетких множеств и логики, методы обработки результатов
наблюдений.
Научная новизна полученных результатов.
В роботе предложена новая структурная организация распределенных
мультикомпьютерных систем на основе многоканальных сред передачи
данных, которые отличаются интеграцией механизмов параллелизма и
конвейеризации на различных уровнях иерархии, что позволяет повысить
интенсивность передачи данных, а также методы и средства повышения
надежности и защищенности мультикомпьютерных систем на основе
формирования и анализа комплексного состояния узлов-компьютеров,
выделения надежных и защищенных маршрутов с учетом степени доверия к
действиям узлов и использования риск- ориентированного подхода.
Получены следующие новые научные результаты.
1. Разработана новая дескриптивная фрактально-регрессионная модель
оценки показателя интенсивности передачи данных на основе комбинирования механизма самоподобия распределенных мультикомпьютерных систем
и механизма регрессионного анализа, последний из которых создает возможность расширения области применения модели путем варьирования числом
исходных параметров, которые оказывают существенное влияние на передачу сообщений, что позволяет выполнить прогнозирование показателя интенсивности передачи данных в распределенных мультикомпьютерных системах.
2. Разработаны новые дескриптивные фрактально-сигмоидальные модели
оценки показателей надежности и уровня защищенности мультикомпьютерных систем, которые интегрируют механизм самоподобия распределенных компьютерных систем и механизм оценки показателей надежности и
уровня защищенности на основе многофакторных функций принадлежности,
последний
из
которых
создает
возможности
нормирования
данных
показателей, что позволяет выполнить прогнозирование соответствующих
показателей мультикомпьютерных систем.
13
3. Разработана комплексная нормативная модель решения многокритериальной задачи оптимизации показателей распределенных мультикомпьютерных
систем,
которая
базируется
на
интеграции
механизмов
самоподобия, регрессионного анализа и оценки показателей на основе
многофакторных
функций
принадлежности
и
учитывает
показатели
интенсивности передачи данных, надежности и уровня защищенности, а
также особенности многоканальных сред передачи данных, что позволяет
установить область оптимальных или оптимальных по Парето показателей
мультикомпьютерных систем.
4. Разработана новая иерархическая архитектура многоканальной среды
передачи данных, которая отличается тем, что интегрирует в себе многоканальную структуру на основе непосредственно-связанных подсетей, многоканальную систему передачи данных, поддерживает параллелизм и
конвейеризацию на всех уровнях, что создает предпосылки для существенного повышения интенсивности передачи данных и позволяет предотвратить блокирование каналов связи.
5. Предложена модифицированная структурная организация канала
передачи данных, которая интегрирует в себе различные виды коммутации и
отличается возможностью гибкого варьирования организацией и размерами
буферных областей маршрутизаторов, что позволяет настраивать канал
передачи данных на такой вид коммутации, который является наиболее
эффективным для конкретного типа передаваемых данных.
6. Разработан метод выделения областей значений показателей узлов
мультикомпьютерных систем на основе многоканальных сред передачи
данных, которые отличаются требуемыми показателями надежности, степени
связности и уровня доверия, что позволяет выполнить передачу данных по
наиболее надежным и безопасным маршрутам.
7. Разработан метод динамического формирования интегрального
показателя уровня доверия к узлам компьютерных систем, который
отличается комплексным учетом базового показателя уровня доверия к
14
каждому узлу со стороны сервера безопасности и текущего показателя
уровня взаимного доверия между узлами, которые рассчитываются на основе
анализа числа нарушений безопасности со стороны узлов с учетом ценности
обрабатываемой информации, что позволяет выделить подмножество
доверенных ресурсов компьютерных систем, и, следовательно, повысить
защищенность обрабатываемых и передаваемых данных.
8. Усовершенствован метод адаптивного управления средствами защиты
компьютерных систем, который отличается механизмом семиотической системы поддержки принятия решений с интеллектуальным агентом на основе
нечеткой логики для формализации функциональных критериев безопасности в многомерном пространстве, что позволяет повысить эффективность
применения средств защиты компьютерных систем в условиях динамично
изменяющихся факторов угроз безопасности и конфигурации ресурсов.
9. Предложен новый подход к комплексному анализу рисков нарушения
защищенности, в котором на основе механизма сигмоидальных функций
анализируется динамика процессов развития вторжений и процессов
восстановления уровня защищенности, что позволяет оценить критическое
время реакции системы на угрозы безопасности и оперативно изменить
конфигурацию механизмов обеспечения защиты.
10. Модифицирован и обоснован математический аппарат стохастических
RA-сетей, который
отличается специальными
N-переходами
в виде
мажоритарного элемента с отсекающим компаратором, что позволяет
корректно обработать потоки данных с дифференциальной интенсивностью
поступления событий в процессе прогнозирования рисков нарушения
защищенности.
11. Разработан новый метод прогнозирования рисков нарушения защищенности, который отличается механизмом анализа потоков критических
событий с различной интенсивностью поступления на основе аппарата RAсетей, что позволяет оперативно оценить критические задержки в процессах
анализа ситуаций и управления средствами защиты компьютерных систем.
15
Практическое значение полученных результатов, заключается в
разработке
средств
повышения
интенсивности
передачи
данных
в
распределенных мультикомпьютерных системах на основе специальных
механизмов коммутации и маршрутизации потоков данных. Разработаны
средства поддержки анализа и минимизации рисков нарушения защищенности компьютерных систем и механизм адаптации средств защиты к
требуемому уровню защищенности МКС, что позволяет создать подсистемы
защиты с адаптивным уровнем защищенности. Применение предложенного
адаптивного механизма управления средствами защиты повышает уровень
защищенности МКС на 35% - 120% в зависимости от числа узлов МКС.
Разработанные
методы
и
средства
организации
и
повышения
защищенности распределенных компьютерных систем использованы:
- при создании системы автоматизированной настройки, анализа функционирования, управления и обеспечения безопасности компьютерных сетей
(акт департамента инфраструктуры информационных технологий дирекции
по информационным технологиям ПАО “Киевэнерго”);
- в системе “Электронный Кампус”, реализующей информационную
поддержку учебного процесса в НТУУ “КПИ” в целом, а также на уровне
структурных подразделений на базе телекоммуникационной структуры
университета (акт КБ ИС НТУУ “КПИ”);
- в компьютерных системах подразделений информационно-расчетной
дирекции УППС “Укрпочта” при разработке средств мониторинга функционирования и управления защищенностью систем (акт информационнорасчетной дирекции УППС “Укрпочта”);
- в программном комплексе оперативного управления, мониторинга
функционирования и администрирования безопасности корпоративных компьютерных систем организаций (акт ООО “Септима-Консалтинг”).
Теоретические и практические результаты работы используются в
учебном процессе при подготовке бакалавров и магистров в области
разработки и исследования программно-аппаратных средств повышения
16
эффективности
функционирования
и
защищенности
распределенных
компьютерных систем в дисциплинах: “Защита информации в компьютерных
системах”, “Безопасность программ и данных”, “Информационно-измерительные системы” на кафедре вычислительной техники НТУУ “КПИ”.
Акты внедрения результатов диссертационной работы приведены в
приложении (Приложение A).
Личный вклад соискателя.
Научные
положения,
содержащиеся
в
диссертации,
получены
соискателем лично.
В работах, написанных в соавторстве, соискателю принадлежит: [89, 96]
предложены специальные оценки пропускной способности компьютерных
сетей по передаче пользовательской информации при реализации механизмов защиты информации в компьютерных сетях; [92] предложены средства
повышения эффективности передачи данных в защищенных компьютерных
сетях на основе активного управления очередями пакетов; [98] разработана
архитектура системы мониторинга безопасности компьютерных систем и
сетей, которая выполняет предварительный анализ целей действий субъектов; [100] предложена модификация механизма сетевых сканеров для поддержки мониторинга безопасности в компьютерных системах; [102] предложены
средства мониторинга безопасности компьютерных систем на основе ранней
локализации подозрительных узлов; [103] предложена архитектура средств
адаптивного управления безопасностью компьютерных систем на основе
отслеживания состояний информационных ресурсов; [169] выполнен анализ
особенностей адаптации методов коммутации и маршрутизации для компьютерных систем с многоканальными связями; [178] предложена структурная
организация маршрутизатора для компьютерных систем с многоканальными
связями; [180, 181] предложен модифицированный алгоритм адаптивной
маршрутизации данных, в котором учитывается степень доверия к удаленным узлам с точки зрения безопасности обрабатываемых в них данных; [205,
206] предложена модификация адаптивного подхода к обеспечению
17
безопасности распределенных компьютерных систем; [209] разработана
архитектура адаптивных средств защиты компьютерных систем на основе
применения модифицированных нейронных сетей Кохонена; [210] предложены специальные механизмы и протоколы для поддержки защищенной
передачи данных в компьютерных сетях; [211] предложен метод реализации
машины состояний для процедуры аутентификации пользователей компьютерных сетей; [215] предложена структура комплексных средств обеспечения
информационной безопасности, в которой введены механизмы оценки ценности обрабатываемой информации; [218] предложен подход к формализации средств аутентификации в компьютерных сетях; [217] предложен подход к реализации интегральных средств безопасности распределенных компьютерных систем; [226] предложена комплексная архитектура семиотической системы поддержки принятия решений (СППР) с интеллектуальным агентом для реализации адаптивного управления безопасностью
компьютерных систем; [227] предложена архитектура средств для сопровождения адаптивных комплексных систем защиты информации в компьютерных системах; [240, 242] предложена модификация метода адаптивного
управления безопасностью компьютерных систем на основе механизма
нечеткой логики; [245, 246] предложен механизм формализации политики
безопасности в распределенных компьютерных системах; [248] предложена
многоуровневая модель на основе дифференциального уровня доверия к
субъектам для повышения защищенности распределенных баз данных; [249]
предложена
архитектура
многоуровневой
модели
безопасности
распределенных баз данных; [251, 261] предложена модель и средства
анализа состояний информационных ресурсов в процессе адаптивного
управления безопасностью компьютерных систем; [254] предложены оценки
рисков нарушения защищенности в процессе выполнения мониторинга
безопасности компьютерных систем и сетей; [255] предложены комплексные
средства обеспечения безопасности компьютерных систем на основе
механизмов минимизации рисков нарушения безопасности; [256] предложен
18
адаптивный
механизм
обеспечения
безопасности
на
основе
пред-
варительного анализа рисков нарушения безопасности; [257] предложена модель оценки функционирования корпоративных компьютерных сетей, в которой учитываются факторы рисков нарушения безопасности; [262] предложена архитектура системы управления и обеспечения безопасности взаимодействия Web-портала с гетерогенной средой хранения данных; [272] разработан формализованный подход к моделированию критических процессов в
модуле управления заданиями распределенных компьютерных систем на
основе специализированных сетевых средств моделирования.
Апробация результатов диссертации.
Результаты работы докладывались на: International Symposium on Signal,
Circuits and Systems SCS (Iasi, Romania, 1999, 2001), Международной научнопрактической
конференции
“Проблемы
внедрения
информационных
технологий в экономике и бизнесе”, (Ирпень, 2000, 2001, 2002, 2003, 2004,
2007, 2009, 2012), International Conference on Development and Application
Systems, (Suceava, Romania, 2000, 2004, 2006, 2010), Международной конференции по мягким вычислениям и измерениям SCM,
(Санкт-Петербург,
Россия, 2000, 2001, 2005, 2007), International Conference IEC, (Винница, 2000,
2002), Международной научно-практической конференции “СИЭТ”, (Одесса,
2001, 2002, 2003, 2004, 2005), NATO Advanced Research Workshop (Poland,
Gdansk,
2004),
“Искусственный
Международной
интеллект.
научно-практической
Интеллектуальные
и
конференции
многопро-цессорные
системы” (Кацивели, 2004, 2006, 2008), International Conference of Science
and Technology “Scalable Systems and Computer Network Design and
Application” SCALNET’04 (Кременчуг, 2004), International Conference
“Modern Problems of Radio Engineering, Telecommunications and Computer
Science TCSET (Lvov-Slavsko, 2006, 2012), 4-th IEEE Workshop on Intelligent
Data
Acquisition and
Advanced Computing
Systems: Technology and
Applications “IDAACS’2007”, (Dortmund, Germany, 2007), Международной
научно-технической конференции “Системный анализ и информационные
19
технологии” “САИТ -2009”, (Киев, 2009), 5-th IEEE Workshop on Intelligent
Data Acquisition and
Advanced Computing
Systems: Technology and
Applications “IDAACS’2009” (Rende-Cosenza, Italy, 2009), Міжнародній
науково-практичної конференції “Розподілені комп’ютерні системи (РКС2010)”, (Київ, 2010), International Conference on Network Security, Wireless
Communication and Trusted Computing NSWCTC’2011, (Wuhan, China, 2011),
International Conference “Parallel and Distributed Computing Systems”, “PDCS
2013”, “PDCS 2014”, (Kharkov, Ukraine, 2013, 2014).
Публикации.
По результатам исследований опубликовано 50 научных работ, в том
числе: 1 монография, 29 статей в ведущих научных журналах, из них: 9 – в
научных журналах иностранных государств, 2 – в научных журналах
Украины, включенных в международные наукометрические базы, а также
20 тезисов докладов в сборниках материалов конференций, из которых 10 за
рубежом.
Структура и объем диссертации.
Диссертация состоит из вступления, восьми разделов, заключения, списка
использованной литературы (275 наименований) и приложений. Общий
объем работы составляет 362 страницы, в том числе 287 страниц основного
текста, 98 рисунков, 25 таблиц и два приложения объемом 25 страниц.
20
РАЗДЕЛ 1.
АНАЛИЗ МЕХАНИЗМОВ ПОСТРОЕНИЯ ВЫСОКОСКОРОСТНЫХ ОТКАЗОУСТОЙЧИВЫХ И
МУЛЬТИКОМПЬЮТЕРНЫХ
СИСТЕМ
ЗАЩИЩЕННЫХ
НА
ОСНОВЕ
МНОГОКАНАЛЬНЫХ СРЕД ПЕРЕДАЧИ ДАННЫХ
1.1. Анализ современных архитектур построения распределенных мультикомпьютерных систем на основе многоканальных сред.
1.1.1. Особенности многоканальных сред передачи данных для распределенных мультикомпьютерных систем.
В настоящее время для хранения, обработки и передачи данных используются распределенные мультикомпьютерные системы, ориентированные на
оперативную обработку больших объемов данных, в частности: системы
EUnet, MCI, CRL, NASA-Internet (все – США); DFN, DTAG (обе – Германия);
Ebone (Франция); NORDUnet (Финляндия), URAN, ОАО “Укртелеком”, ПАО
“КиевЭнерго”, (все – Украина); ВИНИТИ, ИНИОН, RUNNet, RUHEP/RadioMSU, FREEnet (все – Россия) и др. [1 - 6] Для повышения эффективности
применения таких систем требуется улучшение технических параметров
сетевых инфраструктур, в частности повышение скорости передачи данных,
их надежности и защищенности.
В рассматриваемых в работе распределенных мультикомпьютерных системах связи как между узлами на уровне ядра, так и на уровне между ядерных коммуникаций реализуются на основе формирования многоканальной
среды передачи данных. Данная среда представляет собой логико-физическую многоканальную систему передачи данных (рис. 1.1). На логическом
уровне в данной среде выделяются топологические связи между узлами (Ni),
позволяющие сформировать множественные, в т.ч. альтернативные каналы
передачи данных в пределах топологии ядра. На физическом уровне реализуется разделение (уплотнение) физического канала передачи по частоте или
по времени, что достаточно эффективно реализуется, в частности, в волокон-
21
но-оптических линиях связи. На практике рассматриваемые системы реализуются на основе специального аппаратного и программного обеспечения.
N1
N15
N5
N9
N4
N17
N12
N20
N16
N6
N13
N2
N7
N18
N10
N21
N8
N3
N11
N14
N19
Рис. 1.1. Организация многоканальной среды передачи данных
В результате сочетания логической и физической многоканальности
линий связи на топологическом и физическом уровнях формируется
многомерная среда передачи данных, которая в частности, может быть формально задана кортежем {TPL, FD, t}, где TPL – топологическая координата
среды, FD – физическая координата среды (при разделении канала связи по
частоте), t – время передачи данных.
Следует отметить, что связи между
отдельными ядрами мультикомпьютерной системы также реализуются с
использованием данной многоканальной среды передачи данных.
При реализации распределенных мультикомпьютерных систем используется, в частности, технология MPLS, в которой используется следующий
подход: передаваемый пакет ассоциируется с определенным классом сетевого уровня, которому соответствует конкретная метка. Пакет относится к
22
определенному классу на протяжении всего маршрута передачи по значению
метки, при этом значение метки уникально лишь на участке пути между
соседними узлами ceти MPLS [7,8,9]. MPLS-маршрутизаторы принимают
решение о передаче пакета далее по маршруту на основании значения метки.
Технология MPLS поддерживает целый ряд сервисов и позволяет решить
целый ряд проблем в области организации распределенных МКС [7-13]:
- реализовать виртуальные частные сети MPLS L2, L3 VPN:
- сформировать каналов связи типа точка-точка (Р2Р) “Виртуальная
выделенная линия” (Virtual Private Wire Service, VPWS) или “Любой
транспорт через MPLS” (Any transport over MPLS, AoMPLS);
- эмулировать распределенные мультикомпьютерные системы;
- повысить эффективность управления потоками IP-трафика по виртуальным MPLS-каналам.
Механизм MPLS позволяет решить проблему реализации VPN-систем,
поддерживающих безопасную связь по открытой сетевой инфраструктуре.
В целом, при реализации мультипротокольных технологий на основе
механизма MPLS решается ряд практических задач [7,8,9]:
1) объединение сетевых ядер на основе нового уровня организации VPN,
т.е. на основе комбинирования методов коммутации второго и третьего
уровней модели OSI;
2) создание мультисервисных компьютерных сетей.
Инфраструктура мультисервисных компьютерных сетей включает наличие отдельных сетевых ядер, которые распределены территориально, при
этом требуется поддержать качественное мультисервисное обслуживание во
всех ядрах сети [11]. Внешний уровень обмена данными MPLS реализуется
через специальные маршрутизаторы. В том случае, если интегральная сеть
строится на основе технологий MPLS, выделяются два варианта организации
передачи трафика [7,8,13]:
- подключение отдельных сегментов IP-сетей к ядрам сети MPLS без
организации локальных MPLS-сегментов (рис. 1.2);
23
- соединение MPLS-сегментов интегральной сети с использованием MPLSинфраструктуры (рис. 1.3)
На рис. 1.2 маршрутизаторы IN-R1,…, IN-R10 имеют тип LSR, а маршрутизаторы R11, R12, R13 имеют тип Edge LSR [1,5,6].
Сетевое ядро 1
Сетевое ядро 2
Edge
LSR
R11
LSR
IN-R1
LSR
LSR
IN-R3
IN-R2
LSR
IN-R4
IN-R6
LSR
LSR
IN-R5
IN-R7 IN-R8
LSR
LSR
Сетевое ядро 3
Edge
LSR
R12
IN-R9
LSR
LSR
IN-10
Сетевое ядро N
R13
Edge
LSR
Рис. 1.2. Подключение внешних IP-сетей к сетевому ядру
Второй вариант позволяет создавать на уровне сегмента сети с внутренней MPLS организацией и интегрировать их в общую MPLS инфраструктуру
системы передачи данных. На рис. 1.3 маршрутизаторы IN-R1,…, IN-R10
имеют тип LSR, а маршрутизаторы R11 - R16 -- тип Edge LSR [1,5,6].
Представленная на рис. 1.3 схема может быть реализована как на основе
технологии MPLS L3 VPN, когда маршрутная информация определяется на
сетевых ядрах, так и на основе технологии MPLS L2 VPN, когда которой
маршрутная и коммутационная информация определяется на устройствах
Edge LSR сети. Соединение между маршрутизаторами Edge LSR и сегментами сети реализуется на основе протоколов IGP, при этом возможна высоко-
24
Сетевое ядро 1
LSR
IN-R2
LSR
Сетевое ядро 2
IN-R1
Edge
Edge
LSR
LSR
R14 R11
IN-R4
1
LSR
IN-R6
LSR
LSR
IN-R3
LSR
IN-R5
IN-R7 IN-R8
LSR LSR
Сетевое ядро 3
Edge
LSR
R12
Edge
LSR
R15
LSR
IN-R9
LSR
IN-R10
Edge Сетевое ядро N
R16 LSR
R13
Edge
LSR
Рис. 1.3. Организация MPLS VPN сети
скоростная передача мультисервисного трафика с сохранением информации
о приоритетности пакетов различного вида (VoIP, Video. Web) [1,5,6].
1.1.2. Волоконно-оптические каналы для многоканальных сред передачи
данных распределенных МКС.
Одним из вариантов реализации каналов связи в МКС, в частности, в сетевом ядре, в котором число узлов ограничено и они расположены на относительно небольшом расстоянии друг от друга, является использование волоконно-оптических линий связи (ВОЛС), которые позволяют поддержать
физическую многоканальность связей на основе частотного или временного
разделения доступа субъектов [14,15]. В таких каналах связи может передаваться одновременно множество мультиплексных частотно- или временноразделенных сигналов. [14,15].
Структурная схема волоконно-оптической связи
Принципиальная схема передачи информации по волоконно-оптической
линии связи приведена на рис. 1.4. [14, 15] Информация, передаваемая
25
абонентами через передатчик, поступает на электрооптический преобразователь (ЭОП), в качестве которого выступает лазер или светодиод [14].
Приемник
Передатчик
ПК
ЭОП
СУ
ЛР
СУ
ОЭП
ПК
Рис. 1.4. Принципиальная схема волоконно-оптической связи
Здесь электрический сигнал преобразуется в оптический и направляется в
ВОЛС [14,15]. На приеме оптический сигнал поступает в оптико-электрический преобразователь (ОЭП), в качестве которого используется фотодиод,
который преобразует оптический сигнал в электрический [14]. Таким образом, на передающей стороне от передатчика до ЭОП, а также на приемной
стороне от ОЭП до приемника действует электрический сигнал, а от ЭОП до
ОЭП по оптическому кабелю проходит оптический сигнал [14, 16-19].
Оптические системы передачи, как правило, являются цифровыми
[14,15]. Через определенные расстояния (5, 10, 50 км) вдоль оптической линии располагаются линейные регенераторы, в которых сигнал восстанавливается и усиливается до требуемого значения [14,15]. Для преобразования
кода
и
согласования
элементов
схемы
используются
кодирующие
устройства-преобразователи кода (ПК) и согласующие устройства (СУ) [14].
Волоконно-оптические системы передачи данных
В оптических системах передачи применяются принципы реализации
многоканальной связи аналогичные обычным системам передачи по электрическим кабелям: частотное и временное разделение каналов. При оптической
передаче электрический сигнал, созданный частотным или временным
методом, модулирует оптическую несущую и затем передается по
волоконно-оптическому кабелю [20-21].
Принципиальная
структурная
представлена на рис. 1.5. [14].
схема
волоконно-оптической
связи
КЭМ-приемник
КЭМ-передатчик
ЭОП
Входной
сигнал
СУ
ЛР
СУ
26
ОЭП
Выходной
сигнал
Рис. 1.5. Структурная схема волоконно-оптической передачи
Основу данной схемы составляют волоконно-оптический кабель, а также
оптические передатчик и приемник, соответственно, на входе и выходе.
В практической реализации элементы оптических передатчиков и приемников изготавливаются в виде квантово-электронного модуля (КЭМ), который позволяет подключать с одной стороны аппаратуру (передачи или
приема), а с другой — оптический кабель. В состав КЭМ входят: согласующее устройство, разъемный соединитель, полупроводниковый фотодетектор,
преобразующий оптический сигнал в электрический и малошумящий
усилитель [14].
1.1.3.Особенности управления заданиями в мультикомпьютерных системах
типа GRID
В рамках организаций распределенных компьютерных систем разработаны специальные механизмы, поддерживающие интеграцию вычислительных мощностей различных узлов на уровне локального домена и в пределах
всей распределенной системы. В настоящее время широкое распространение
получила организация типа GRID, которая позволяет унифицированно объединять различные виды ресурсов МКС в единую динамически организованную глобальную среду с возможностью использования ресурсов в произвольной комбинации, в независимости от места нахождения [22, 23].
27
При реализации распределенных МКС, в т.ч. GRID-систем актуальной
является проблема обеспечения качества обслуживания (QoS – quality of
service) субъектов для обеспечения требуемого времени выполнения заданий.
[23] Требования QoS включают, в частности: защищенность ресурсов; защищенность выполняющихся заданий; надежность и постоянную доступность
ресурсов и т.д.
В условиях масштабирования GRID-систем одним из ключевых механизмов обеспечения качества обслуживания (QoS) является планирование, или
диспетчеризация, т. е. автоматическое распределение ресурсов при обслуживании заданий и координация разделения ресурсов между заданиями субъектов [22-24].
Процесс выполнения заданий в GRID контролируется модулем управления заданиями (МУЗ) или диспетчером заданий. МУЗ обрабатывает задания в пакетном режиме, формирует очередь заданий и распределяет их по
ресурсам в соответствии с правилами (политикой) планирования [22-24]. При
запуске задания МУЗ выполняет следующие действия: выбирает одно подходящее задание из множества, выполняет доставку входных данных и исполняемых файлов; передает задание на выполнение, обеспечивая мониторинг его выполнения; передает выходные файлы на ресурсы хранения [22-24].
Среди множества выполняемых в GRID заданий, важно выделить т.н.
критичные задания, связанные, в частности, с обеспечением защищенности
системы и поддержки ее надежного функционирования. В общем случае, для
таких заданий необходимо обеспечить приоритетную обработку. Кроме того,
необходимо определить максимально допустимое (критичное) время, за
которое данное задание должно быть выполнено. В том случае, если задание
не будет выполнено за установленное время, GRID-система может быть подвержена атаке, несанкционированному вторжению либо ее рабостоспособность будет нарушена. Таким образом, для поддержки оперативной реакции
на несанкционированные действия необходимо обеспечить оперативное
выполнение критичных заданий, связанных как с обеспечением защищен-
28
ности системы, так и с мониторингом ее функционирования, в частности, с
точки зрения безопасности, причем строго в рамках максимально допустимого времени реакции на критичные события в системе. Для решения данной
задачи требуется разработка и применение специализированного аппарата
моделирования процессов в МУЗ GRID.
1.2. Особенности реализации методов коммутации для МКС с одно- и
многоканальными связями.
Важным аспектом при эксплуатации мультикомпьютерных систем является повышение интенсивности передачи данных. Одним из подходов к
повышению интенсивности передачи данных в этих системах является реализация каналов связи на основе технологии многоканальных сред. В частности, для поддержки данной технологии применяются волоконно-оптические
линии, что позволяет реализовать частотное и временное разделение каналов
связи на подканалы, и тем самым обеспечить одновременную передачу значительных массивов данных. Таким образом, важной задачей является адаптация классических механизмов и методов коммутации, ориентированных на
одноканальные системы связи, к многоканальным средам передачи данных.
В МКС реализуются как одно-, так и многоканальные связи между
узлами, при этом многоканальные связи могут реализовываться в виде единого одножильного волоконно-оптического кабеля, либо в виде многожильной свертки из нескольких волоконно-оптических кабелей. В результате
формируется логико-физическая многоканальная коммуникационная среда,
поддерживающая топологическую и физическую многоканальность. В
первом случае используются топологические особенности соединения между
узлами МКС, когда фактически оказывается, что некоторый путь между
узлами достижим по нескольким альтернативным параллельным каналам. Во
втором случае реализуется выделение подканалов в едином кабеле на основе
частотного или временного разделения. Выделим ряд возможных вариантов
при реализации коммутации сообщений, пакетов и червячного механизма в
компьютерных системах в многоканальных средах (рис. 1.6):
Коммутация
M – сообщение
P – пакеты
F – флиты
Флиты
Конвейерная
Параллельно по
каналу
Конвейерная по
одному каналу
PPtSc PPtC
PPtPc
FStSl
St – последовательно по времени
Sc – последовательно по каналу
C – конвейерная передача
Pt – параллельно во времени
Pc – параллельно по каналу
FStMf
FStSf
FPtSl
FPtMf
Конвейерная по
многожильной
волок.-оптич. линни
Последовательно по
каналу
PStPc
Параллельно
во времени
Конвейерная по
многоканальным
связям
Параллельно по
каналу
PStSc PStC
Конвейерная по
многоканальным
связям
Конвейерная по
многожильной
волок.-оптич. линни
Последовательно
во времени
Параллельно
во времени
Конвейерная
MPtSc MPtC MPtPc
Последовательно
во времени
Последовательно по
каналу
Параллельно по
каналу
MStPc
Конвейерная
Параллельно по
каналу
MStSc
Параллельно
во времени
Последовательно по
каналу
Последовательно по
каналу
Последовательно
во времени
Пакеты
Конвейерная по
одному каналу
Сообщения
FPtSf
Sl – одноканальные связи
Mf –многожильная волоконно-оптическая линия связи
Sf – многоканальные связи
Рис. 1.6. Варианты реализации методов коммутации сообщений, пакетов и червячного механизма коммутации для МКС
с одно- и многоканальными связями
29
30
MStSc – метод коммутации сообщений при одноканальных связях;
MStPc – метод коммутации сообщений при многоканальных связях;
MPtSc – метод коммутации сообщений при топологических одноканальных связях;
MPtSc – метод коммутации сообщений при топологических многоканальных связях на основе многожильной волоконно-оптической линии связи;
MPtC – метод коммутации сообщений при топологических многоканальных связях в одном канале;
PStSc – метод коммутации пакетов при одноканальных связях;
PStPc – метод коммутации пакетов при многоканальных связях на основе
многожильной волоконно-оптической линии связи;
PStC – метод коммутации пакетов при многоканальных связях в одном
канале;
PPtSc – метод коммутации пакетов при топологических одноканальных
связях;
PPtSc – метод коммутации пакетов при топологических многоканальных
связях на основе многожильной волоконно-оптической линии связи;
PPtC – метод коммутации пакетов при топологических многоканальных
связях в одном канале;
FStSl – червячный механизм коммутации при одноканальных связях;
FStMf – червячный механизм коммутации при многоканальных связях на
основе многожильной волоконно-оптической линии связи;
FStSf – червячный механизм коммутации при многоканальных связях в
одном канале;
FPtSl – червячный механизм коммутации при топологических одноканальных связях;
FPtMf – червячный механизм коммутации при топологических многоканальных связях на основе многожильной волоконно-оптической линии
связи;
31
FPtSf – червячный механизм коммутации при топологических многоканальных связях в одном канале.
В табл. 1.1 приведен сравнительный анализ параметров современных
маршрутизаторов/коммутаторов для каналов связи на основе волоконнооптических технологий.
Таблица 1.1
Особенности реализации современных
маршрутизаторов/коммутаторов для волоконно-оптических каналов связи
N
Маршрутизатор/
Коммутатор
Тип
коммутации
Наличие
буфера
данных
Управление
размером
буфера
1
Патент
2270493, 2007
Patent
WO 2009031931
Франция
Patent
US20030099430
США
Патент
RU 2515958 C1
Router
BANYANNetworks MIN
Маршрутизатор
ЕС 8430 “Ангара”
Коммутация
каналов
Коммутация
каналов
--
--
--
--
--
--
--
--
+
--
+
--
2
3
4
5
6
Коммутация
каналов
Коммутация
каналов
Коммутация
пакетов
Коммутация
каналов
Как показывает табл. 1.1 представленные маршрутизаторы/коммутаторы
поддерживают лишь один тип коммутации: коммутацию каналов или
коммутацию пакетов, что не позволяет совместить различные типы
коммутации в пределах одного канала связи. Кроме того, ни один из данных
маршрутизаторов/коммутаторов не поддерживает возможность управления
размером буфера, что также снижает их адаптивность к различным типами
коммутации, поскольку, например, для одновременной поддержки пакетной
32
коммутации и червячного механизма коммутации требуется возможность
гибкого изменения размера буфера.
В современных распределенных мультикомпьютерных системах передаются данные различного типа и различных приложений: компьютерные данные, видеоконференции, видео и аудио-потоки данных, выполняется мультикастинговая передача данных и т.д.
В целом, трафик данных в МКС разделяется на два класса [25, 26, 27]:
• эластичный (elastic) или пульсирующий (burst) - трафик с
высокой
степенью вариации, при этом периоды отсутствия передачи данных
сменяются периодом пульсации, в когда пакеты передаются интенсивно;
• неэластичный (inelastic) или потоковый (stream) - равномерный поток
данных, поступающий в систему с постоянной скоростью.
Выделяются следующие основные параметры трафика, определяющие
качество обслуживания [25]:
• bandwidth (BW) - номинальная пропускная способность среды передачи
информации (Mbit/s);
• delay - задержки при передаче пакета;
• jitter - вариация задержек при передаче пакетов;
• packet Loss - потери пакетов, как число (вероятность) пакетов,
отброшенных сетью во время передачи.
В табл. 1.2 приведены основные характеристики типов трафика в МКС
[27, 28].
Главной особенностью неэластичного трафика, в частности передачи
аудио-данных или видеоизображений, являются жесткие требования к
синхронности
качественного
передаваемых
данных,
воспроизведения
что
связано
непрерывных
с
тем,
процессов
что
для
(звуковых
колебаний или видеоизображений), необходимо получение сигналов с той же
частотой, с которой они были запущены на передающей стороне, а при
запаздывании данных будут наблюдаться искажения [29, 30].
33
Таблица 1.2
Основные характеристики типов трафика в МКС
Класс QoS
Класс
1
A
2
B
3
C
4
D
5
X
Тип трафика
CBR
VBR
VBR
ABR
UBR
Синхронизация
Требуется
Скорость
Постоянная
обслуживания
Не требуется
Переменная
передачи
Режим
С установлением соединения
Без установления
соединения
соединения
Область
Поток
Поток
Поток
Передача
использования
цифровых
видеоданных
аудиоданных
компьютерных
данных (Е1),
данных
дуплексный
поток
цифровых
данных (Т1)
Эластичный трафик, в частности, передача компьютерных данных, характеризуется неравномерной интенсивностью поступления данных в систему
при отсутствии жестких требований к синхронности доставки этих данных[30]. Например, доступ пользователя, работающего с текстом на удаленном диске, порождает случайный поток данных между удаленным и локальным узлами, зависящий от действий пользователя, причем задержки при доставке относительно слабо влияют на качество обслуживания пользователя
сети [30].
1.3. Анализ протоколов передачи данных в МКС на основе многоканальных сред
1.3.1. Классификация протоколов передачи данных для МКС на основе
многоканальных серед
В современных МКС поддерживаются высокие скорости передачи дан-
34
ных, в частности на основе использования коммутации пакетов, при этом
запросы на передачу данных могут поступать с различных узлов и доменов
МКС. Трафик в современных МКС является комплексным: как эластичным,
так и неэластичным, а также самоподобным, при этом скорость передачи
данных существенно варьируется [31 -35].
Узлы в МКС работают в следующих режимах:
потоковой передачи данных (например, аудио/видео данные);
эластичного (пульсирующего) трафика;
смешанного типа трафика.
Разработка эффективных протоколов передачи данных в МКС c
многоканальными связями и анализ их основных параметров является
важной задачей. Известно, что МКС с высокой скоростью передачи данных
могут быть реализованы либо на основе единого высокоскоростного канала
либо на основе технологии многоканальности [31, 36-40].
Эффективность применения МКС во многом определяется ее способностью эффективно обработать комплексный трафик данных и обслужить различные приложения с учетом требований к качеству обслуживания (QoS),
что также требует применения эффективных алгоритмов, методов и средств
передачи данных.
В режиме многоканальных связей реализуется разделение канала передачи данных между множеством узлов (субъектов, пользователей). Для
поддержки режима многоканальных связей разрабатываются специальные
протоколы передачи данных, реализующие схему разделения каналов с
учетом требуемых параметров передачи данных [31]. Протоколы передачи
данных для мультикомпьютерных систем с многоканальными связями
разделяются на протоколы фиксированного и случайного доступа. На рис.1.7
представлена классификация протоколов множественного доступа для МКС
с многоканальными связями [31].
35
Протоколы
множественного доступа
Случайный
доступ
Фиксированный
доступ
Статистическое
распределение
FDMA
TDMA
Динамическое
распределение
Случайный
доступ с
резервированием
Случайный
доступ с
повторением
Неявное
резервирование
ALOHA
S-ALOHA
Токены
Явное
резервирование
Рис. 1.7. Классификация протоколов передачи данных в МКС с
многоканальными связями
В
целом,
протоколы
фиксированного
доступа
характеризуются
отсутствием конфликтов и обеспечивают режим передачи данных без сбоев и
взаимных помех для других подканалов передачи данных. Бесконфликтная
передача данных обеспечивается путем разделения каналов передачи в
статическом или динамическом режиме. Ресурсы каналов разделяются по
времени, частоте, или на основе комбинации времени и частоты [31].
В МКС с поддержкой протоколов случайного доступа субъекты могут
получать доступ к каналу в произвольный момент
времени, что может
приводить к конфликтным ситуациям при передаче данных [31]. Протоколы
случайного доступа разделяются на два типа: протоколы с повторением и
протоколы с резервированием (рис. 1.7).
В протоколах с резервированием изначально используется метод
случайного доступа к каналу, а последующие передачи данных планово
распределяются между каналами до завершения цикла передачи данных, при
36
этом резервирование каналов подразделяется на явное и неявное. В неявной
схеме резервирования не используются
дополнительные специальные
пакеты, тогда как в схеме явного резервирования используются специальные
короткие пакеты для запроса передачи данных [31].
Рассмотрим
особенности
и
проблемы
реализации
классических
протоколов: на основе временного разделения доступа (Time Division
Multiple Access, TDMA), частотного разделения доступа (Frequency Division
Multiple Access, FDMA) при их применении в МКС с многоканальными
связями, в которой используется механизм многоканальных связей путем
разделения канала связи на фиксированное число подканалов.
1.3.2. Протоколы с фиксированным доступом
Как отмечалось выше, протоколы с фиксированным доступом обеспечивают бесконфликтную передачу данных, при этом повышение надежности доставки данных достигается за счет выделения подканалов для каждого пользователя. Важным преимуществом этих протоколов доступа является возможность равномерного разделения канала между узлами (пользователями) и возможность контроля времени задержки передачи пакетов, что
особенно важно при передаче трафика в реальном времени [31].
Двумя наиболее распространенными протоколами данного типа являются: протокол с частотным разделением (FDMA), в котором часть полосы частот выделяется каждому пользователю на все время передачи данных, и протокол с временным разделением (TDMA), в котором каждый пользователь
получает канал полностью, но лишь на определенный промежуток времени.
В общем случае, при эластичном трафике из-за того, что ресурсы канала
распределяются статически, могут возникать простои ресурсов канала, несмотря на то, что узлы (пользователи) в очереди имеют данные для передачи
[31 -36].
37
1.3.2.1. Протоколы с частотным разделением доступа
В протоколах с частотным разделением вся доступная пропускная
способность канала γ подразделяется на K полос (подканалов), каждая из
которых имеет скорость γ /K и выделяется только для одного пользователя.
На рис. 1.8 показана реализация протокола FDMA для случая разделения
каналов на подканалы с равной пропускной способностью [31].
КАНАЛ 1
F
КАНАЛ 2
.
.
.
КАНАЛ K
T
Рис. 1.8. Распределение каналов связи в протоколе FDMA
В том случае, если узлы (пользователи) генерируют длинные сообщения,
поступающие случайным образом, целесообразно разделить частотный
диапазон
канала
также
неравномерно,
т.е.
пропорционально
длине
сообщений. Основным преимуществом протокола FDMA является его
простота,
так
как
он
не
требует
специального
управления
или
синхронизации при передаче данных, и каждый узел получает свой
собственный диапазон частот для передачи данных без взаимного влияния
[31]. С другой стороны, в этом протоколе нерационально используются
ресурсы канала, особенно в том случае, когда узел (пользователь) находится
в режиме ожидания, поскольку другие пользователи не могут использовать
канал данного неактивного пользователя. Например, в том случае, если
пользователь
использует
коммуникационную
среду
для
передачи
эластичного трафика на уровне 10% загрузки потенциальной пропускной
способности подканала, то эффективность использования ресурсов канала
также равна 10% [31].
38
1.3.2.2. Протоколы с временным разделением доступа
В протоколах с временным разделением доступа условная временная ось
разделяется на временные интервалы (слоты), выделяемые
для каждого
пользователя. Пользователь передает свои данные лишь в пределах
выделенного времени (слота), при этом все ресурсы канала принадлежат
только этому пользователю [31]. Распределение временных интервалов
выполняется по циклической схеме с кадрами, как показано на рис. 1.9 [31].
Tf = N*τ
Фрейм
Фрейм
Пользователи
Пользователи
1
2
3 4 ..... N
1
2
3 .....
N
T
N временных слотов
τ
Рис. 1.9. Распределение слотов каналов в протоколе TDMA
Таким образом, каждый кадр состоит из последовательности: слот 1, слот
2, ..., слот N. Каждый узел (пользователь) получает определенный слот:
первый пользователь получает слоты с номерами: 1, N +1, 2N + 1, ..., второй
пользователь -- слоты с номерами: 2, N + 2, 2N + 2, ..., и т. д.
1.3.3. Протоколы со случайным доступом
Альтернативным подходом к статической схеме распределения каналов,
является реализация динамического распределения частот каналов с учетом
активности пользователей, когда пользователи формируют заявки о
намерениях выполнить передачу данных. Данные схемы могут реализоваться
на основе протоколов с разделением по времени (циклически) или на основе
протоколов, поддерживающих разрешение конфликтов при одновременной
передачи данных рядом пользователей [31].
Протоколы на основе случайного доступа принципиально отличаются от
протоколов фиксированного доступа тем, что передача данных в данном
случае не является
гарантированной. Для получения подтверждения того
39
факта, что все сообщения успешно доставлены получателю в протоколе
дополнительно реализуется механизм разрешения конфликтных ситуаций
[31]. Еще одним различием с протоколами с фиксированным доступом
является
принцип
обслуживания
простаивающих
отмечалось выше, при использовании протоколов
пользователей. Как
с фиксированным
доступом простаивающие узлы (пользователи) захватывают часть ресурсов
канала, что снижает эффективность их использования, особенно при росте
числе пользователей в МКС. В протоколе на основе случайного доступа
узлы (пользователи), находящиеся в режиме ожидания, не передают
сообщения, и, следовательно, не занимают ресурсы канала [31]. В том
случае, если узлы (пользователи) генерируют
эластичный трафик и их
взаимное влияние незначительно, для передачи данных могут использоваться
те ресурсы, которые выделялись для разрешения конфликтных ситуаций [31].
Таким образом, при определенных условиях МКС с многоканальными
связями имеют существенные преимущества по сравнению с классическими
одноканальными системами передачи данных как по параметру скорости
передачи данных, так и с точки зрения
надежности функционирования
системы [31, 36-40].
Значительное повышение скорости передачи данных
достигается при
передаче мультипакетных сообщений. В том случае, если среднее число пакетов в сообщении не меньше, чем число параллельных каналов, среднее время и дисперсия задержки передачи сообщений в многоканальных системах
монотонно убывает при увеличении числа параллельных каналов [36-40].
Модулярная
структура
многоканальной
системы
поддерживает
постепенное добавление новых каналов в зависимости от входного трафика,
тем самым повышая живучесть данных систем. Существующие системы
могут обновляться путем добавления нового оборудованиям вместо замены
всех компонентов
системы. Высокая надежность и отказоустойчивость
таких МКС обеспечиваются благодаря использованию многоканальных
40
связей с избыточной архитектурой: если в процессе передачи сообщения
произошел сбой, то возможна
передача этого блока данных по другому
каналу [31 -36].
1.4. Исследование особенностей механизмов обеспечения отказоустойчивости и надежности в распределенных мультикомпьютерных системах
1.4.1.
Проблема
обеспечения
отказоустойчивости
распределенных
мультикомпьютерных систем.
Модульный принцип формирования архитектуры МКС является важным
условием для эффективного решения проблемы отказоустойчивости. МКС
обладают повышенной надежностью функционирования за счет введения
избыточности аппаратных и программных средств, но, с другой стороны, это
приводит, особенно в распределенных МКС,
к достаточно высокому
уровню потока отказов. Все это требует специальных средств и механизмов
по обеспечению контроля, локализации ошибок, диагностированию и устранению отказов, а также восстановлению вычислительного процесса [41, 42].
Важным
свойством
МКС
является
ее
целостность,
которая
обеспечивается с помощью комплекса специальных программно-технических
средств,
предотвращающих
резервирования
и
появление
реконфигурации
отказов и
МКС
сбоев.
позволяют
Средства
продолжить
функционирование в условиях ее постепенной деградации [43, 44].
Обеспечение отказоустойчивости МКС требует выполнения следующих
процедур: реконфигурации аппаратного обеспечения; реконфигурации
программного обеспечения в соответствии с топологией МКС; изменения
алгоритма работы программного обеспечения на основе структурной и
функциональной адаптации [45].
Рассмотрим детальнее особенности обеспечения отказоустойчивости и
надежности МКС. Отказом МКС называется такое ее поведение, которое не
удовлетворяет требованиям к ее функционированию [41, 42, 45]. Отказ МКС
41
может быть вызван неверным срабатыванием ее компонентов: процессора,
модулей памяти, устройств ввода/вывода, линии связи или программного
обеспечения. В общем случае, отказ компонента вызывается аппаратными
или программными факторами: физические повреждения, изнашивание
оборудования, некорректными входными данными, ошибками оператора и
т.д. [41, 42, 45].
Отказы
бывают
случайными,
периодическими
или
постоянными.
Случайные отказы (сбои) при повторении операции исчезают, периодические
повторяются в течение определенного интервала времени, после чего себя
длительно не проявляют, к их числу относят, например, плохой контакт или
сбой функционирования операционной системы вследствие аварийного завершения задачи [41, 42]. Постоянные (устойчивые) отказы не прекращаются до устранения их причины: нарушение аппаратного обеспечения, выход из
строя микросхемы или непредвиденные ошибок в программе [41, 42, 45].
Отказы по характеру своего проявления подразделяются на т.н.
византийские, когда система активна и продолжает функционировать, однако
некорректно, а также частичные или полные отказы функционирования [45].
Первый тип отказов распознать сложнее, чем второй [45].
Для обеспечения надежного функционирования МКС в условиях потенциальных отказов используются два альтернативных подхода – восстановление функционирования МКС после отказа и предотвращение отказа МКС с
использованием механизмов поддержки отказоустойчивости [41, 42, 45].
1.4.2. Механизмы поддержки отказоустойчивости МКС.
В отказоустойчивых МКС отказы предотвращаются полностью либо
система реагирует на них заранее определенным способом. Для обеспечения
отказоустойчивости МКС используются 2 основных механизма - протоколы
голосования и протоколы принятия коллективного решения [41, 43,46-50].
Протоколы голосования поддерживают маскирование отказов путем
выбора
корректного
результата,
полученного
от
всех
исправных
42
компонентов. Выделяются механизмы на основе статического распределения голосов, когда различия в голосах от разных узлов позволяют учесть
их характеристики: надежность, эффективность [46]. Для повышения гибкости используется метод динамического перераспределения голосов. Для того,
чтобы выход из строя отдельных узлов МКС не приводил к ситуации отсутствия кворума, применяется механизм изменения состава голосующих [46].
Протоколы принятия коллективного решения подразделяются на два
класса [41, 43, 46-50]:
протоколы принятия единого решения, в которых все компоненты МКС
являются исправными и все они принимают или не принимают заранее
предусмотренное решение;
протоколы принятия согласованных решений на основе полученных друг
от друга данных, при этом все исправные компоненты МКС получают
достоверные данные от остальных исправных компонентов, а данные от
неисправных игнорируются.
Протокол принятия единого решения реализуется при условии надежных
коммуникаций с ограниченным временем задержки. Известно, что в МКС с
асинхронными узлами и неограниченными коммуникационными задержками
согласованное решение невозможно получить даже при единственном
неработающем процессоре [46].
Важным условием
поддержки отказоустойчивости МКС является
избыточность аппаратно-программного обеспечения, процессов и данных на
основе режимов горячего резервирования или активного размножения.
В режиме горячего резервирования используется резервное аппаратное и
программное обеспечение, при этом возникает проблема переключения на
резервные компоненты МКС [46].
В режиме активного размножения выполняется, в частности, тройное
дублирование аппаратуры в бортовых компьютерах и механизме голосования
при принятии решения [46]. При этом весьма важным является наличие
43
механизма неделимых широковещательных рассылок сообщений, которые
должны приходить строго в определенном порядке [46].
1.5. Сравнительный анализ особенностей организации механизмов
защиты аппаратных и программных ресурсов МКС
В распределенных
мультикомпьютерных системах обрабатывается
конфиденциальная и секретная информация, и, таким образом, актуальной
является проблема создания надежных систем защиты информации, потеря
или несанкционированный доступ к которой может привести к значительным
экономическим
убыткам,
вызванными
простоями
оборудования,
нарушениями в производственных процессах, последствиями реализации
угроз в отношении ценной информации, компьютерных систем и, в
результате, общественно-хозяйственной деятельности. Данная проблема
характерна для всех критических компьютерных систем, использующихся на
различных уровнях государственного управления: от автоматизированных
систем обработки персональных данных и представления государственных
услуг до систем электронного правительства.
Решение проблемы обеспечения защиты аппаратных и программных
ресурсов распределенных мультикомпьютерных систем базируется на
поддержке следующих трех основных направлений [51]:
интеграции разрабатываемых средств защиты с существующими
системами и технологиями;
обеспечении
взаимодействия
средств
защиты
с
различными
программными платформами и средами (J2EE, .NET, Linux-сервера и т.д.);
установлении доверительных отношений между взаимодействующими
узлами МКС.
Представим особенности каждого из представленных направлений.
44
1.5.1. Проблема интеграции
Разрабатываемые средства защиты должны быть интегрированы в
программно-аппаратное обеспечение защищаемой МКС [52]. Таким образом,
при разработке средств защиты МКС следует учитывать потенциальную
возможность
их
интеграции,
входных/выходных
механизмами
и
данных
в
и
средствами.
частности,
протоколов
Средства
с
защиты
на
уровне
уже
МКС
формате
существующими
должны
быть
согласованы с существующими механизмами защиты (Kerberos, PKI и т.п.), а
также быть расширяемыми, т.е. предоставлять возможность подключать
новые механизмы защиты [53 - 56].
1.5.2. Проблема взаимодействия
Средства защиты МКС, функционирующие для множества доменов и
узлов, должны поддерживать взаимодействие с механизмами МКС на
различных уровнях [54, 57, 58, 59, 60]:
на уровне протоколов: требуется механизм, обеспечивающий обмен
сообщениями между доменами, например SOAP/HTTP;
на уровне политик: для реализации безопасного взаимодействия
необходимо, чтобы каждый субъект МКС мог выбрать соответствующую
политику
безопасности,
при
этом
политики
согласуются
с
взаимодействующими субъектами. В результате субъекты смогут установить
безопасное соединение на основе взаимной аутентификации, доверительных
отношений и формального соблюдения политик;
на
уровне
авторизации:
требуется
механизм,
обеспечивающий
идентификацию субъектов, зарегистрированных в другом домене МКС.
1.5.3. Проблема доверительных отношений
Ввиду того, что средства защиты МКС охватывают множество доменов
системы, особую роль получают доверительные отношения между ними.
Установление доверия осуществляется отдельно для каждой сессии, либо
динамически по запросу [59]. Ввиду того, что в доменах МКС используются
45
различные технологии (Kerberos, PKI и т.д.), при реализации механизмов
установления доверия необходим учет особенностей всех используемых
средств защиты.
Проблема установления доверительных отношений является актуальной
ввиду необходимости поддержки динамического, управляемого субъектом
запуска и управления сервисами МКС [59], инициирующимися для
выполнения определенных заданий.
При установлении доверительных отношений учитываются следующие
аспекты [54, 62, 63]:
Авторизация: требуется установить, какой именно субъект является
инициатором запуска сервиса.
Установление политики: субъекты должны иметь возможность
создавать собственные политики, в частности, определять субъектов,
получающих доступ к сервисам и соответствующие допустимые действия,
при этом локальная политика субъекта должна соответствовать политике,
поддерживаемой в МКС.
Уровень надежности узла: перед инициацией своих заданий в МКС
субъект может запросить оценку уровня надежности узлов МКС, которая
включает в себя следующие критерии: наличие антивирусной защиты,
использование межсетевых экранов, использование режима VPN для обмена
данными внутри МКС и т.д. Для выполнения данной оценки обычно
применяется механизм аккредитаций, в котором уровень надежности узла
определяется на основе независимых экспертных оценок.
Комплексное формирование политик: политики безопасности для
созданных сервисов МКС создаются динамически с учетом множества
факторов: владелец ресурсов, инициатор запуска сервиса или задания,
специфика виртуальной системы, в которой реализован сервис и т.д.
Делегирование прав: в некоторых случаях временные сервисы
выполняют действия от имени создавшего их субъекта, например, некоторый
46
вычислительный процесс запрашивает данные, находящиеся в другом домене
МКС. При этом между доменами, в котором выполняется служба и к
которому необходимо осуществить запрос, может не быть установленных
доверительных отношений, тогда сервис должен иметь возможность
выполнить действия с правами его субъекта-инициатора. Данное требование,
в
свою
очередь,
предоставления
порождает
сервису
ряд
проблем,
частичных
в
полномочий
частности:
принцип
субъекта;
механизм
разрешения ситуации, когда срок действия делегируемых полномочий
закончится раньше, чем завершится выполнение сервиса [64].
1.5.4. Общие требования к системе защиты ресурсов распределенных
мультикомпьютерных систем
Перечисленные
выше
проблемы,
возникающие
при
обеспечении
защищенности МКС, обуславливают требования к системе защиты ресурсов
МКС, состоящие в необходимости поддержки следующих основных функций
[54, 55, 62, 63, 64, 66, 67]:
Аутентификация:
реализация
механизмов
аутентификации,
как
специализированных, так и классических.
Делегирование
прав: реализация средств, позволяющих осуществлять
передачу прав доступа определенному субъекту по отношению к требуемому
сервису. При этом требуемые права делегируются дискретно, только к
конкретному объекту, а период действия переданных прав ограничивается с
целью минимизации их нецелевого использования.
Однократный вход: субъекту, прошедшему процедуру аутентификации,
не требуется ее повторение при каждой попытке доступа к ресурсам через
малый промежуток времени.
Управление жизненным циклом мандатов: возможна ситуация, когда
время выполнения процесса или сервиса, инициированного субъектом,
превысит период действия выданного мандата. Тогда требуется наличие
47
механизмов предупреждения о завершении срока действия мандата или
возможность продления мандата до завершения процесса.
Авторизация: реализация доступа к сервисам на основе специальной
политики авторизации, которая, в частности определяет права доступа
субъектов к объектам. В отдельных случаях для доверенных субъектов
целесообразно поддержать возможность модификации данной политики.
Поддержка конфиденциальности: обеспечение конфиденциальности
обрабатываемых и передаваемых в МКС данных.
Поддержка
целостности данных: обеспечение выявления
несан-
кционированных модификаций в данных и сообщениях, передаваемых в
МКС. Возможна реализация многоуровневой проверки целостности в
зависимости от заданной политики и с учетом требуемого уровня качества
обслуживания (QoS).
Поддержка обмена политиками: реализация возможности
обмена
информацией о политиках безопасности между субъектами для создания
защищенной среды МКС. Обмен информацией включает: требования к
механизмам аутентификации, список поддерживаемых функций, уровни
конфиденциальности, правила формирования прав доступа и т.д.
Поддержка
требуемого
уровня
обеспечения
защищенности:
для
определения требуемого уровня защищенности системы применяются
специальные методы. Данная оценка базируется на анализе уровня
антивирусной защиты, использования межсетевых экранов, виртуальных
частных сетей и т.п. Полученная оценка используется для принятия решения
о требуемой конфигурации средств защиты МКС.
Поддержка “прозрачности” межсетевых экранов: одной из основных
проблем при реализации средств защиты в динамических, кросс-доменных
МКС являются межсетевые экраны. При проектировании МКС требуется
обеспечить возможность передачи данных через межсетевые экраны без
изменения политики безопасности.
48
Большинство из перечисленных выше требований включены в стандарт
Open Grid Forum (OGF) “Архитектура Открытых Грид-систем”. В настоящее
время используется реализация этого стандарта в виде версий Globus Toolkit
(GT), и система защиты в данной реализации представлена в виде отдельной
подсистемы [68].
1.5.5. Классификация методов обеспечения защищенности МКС
Представим основные подходы к обеспечению защиты распределенных
мультикомпьютерных систем и методы на их основе. Классификация
основных методов обеспечения защиты МКС представлена на рис. 1.10.
Методы обеспечения
защиты распределенных
компьютерных систем
Архитектурные
Инфраструктурные
Управленческие
Адаптивные
Реализация
защищенных
соединений
Изоляция
ресурсов
Управление
мандатами
Анализ
защищенности
Делегирование прав
доступа
Виртуализация
Управление
доверием
Обнаружение атак
Резервирование
ресурсов
Мониторинг
Настройка
параметров
Механизмы
аутентификации и авторизации
Рис. 1.10. Классификация методов обеспечения защиты МКС
49
Все методы обеспечения защиты МКС разделяются на 4 основные
группы: на основе архитектурного построения системы, на основе анализа
инфраструктуры, на основе управления функционированием системы и
адаптивные методы. Рассмотрим особенности перечисленных методов.
1.5.6. Архитектурные методы обеспечения защиты
Архитектурные методы базируются на общих принципах построения
распределенных мультикомпьютерных систем. В целом, обеспечение защиты
МКС включает в себя реализацию защищенных каналов связи, аутентификацию, одноразовый вход в систему и делегирование прав доступа. Все эти аспекты особенно актуальными
являются для распределенных мульти-
компьютерных системах ввиду их гетерогенности и распределенности в
пространстве.
1.5.7. Методы обеспечения защиты ресурсов на основе анализа
инфраструктуры
Инфраструктура МКС включает узлы, сервера, маршрутизаторы и
соединяющие их каналы связи. Важным аспектом обеспечения защиты узлов
МКС является поддержка текущих параметров защищенности узла при
включении его в систему.
Известно несколько подходов к обеспечению защиты на основе анализа
инфраструктуры, представим основные из них по направлениям.
Проблема защиты данных МКС. Существует ряд подходов к защите
данных в МКС: изоляция на уровне приложения, виртуализация, полная
изоляция. В первом случае используются специальные коды доверия,
встраиваемые в код программы. Во втором подходе создается специальная
виртуальная машина на узле. В третьем подходе реализуется перехват всех
системных вызовов от приложений и на основе применяемых политик
безопасности принимается решение об их санкционированности [71].
50
Проблема ресурсного голодания. Известны два базовых подхода к
решению
механизм
данной
проблемы:
усовершенствованное
резервирование
и
управления приоритетами. В первом случае используются
усложненные механизмы резервирования,
при этом процессы занимают
ресурсы: процессор, память, дисковое пространство и т.п. на весь период
времени, требуемый для их выполнения, а выделение ресурсов выполняется
на основе анализа ряда параметров. Во втором случае механизм управления
приоритетами позволяет предотвратить или снизить вероятность
захвата
ресурсов на длительное время путем динамического снижения приоритета
текущего процесса [72].
1.5.8. Методы обеспечения защиты ресурсов на основе управления
функционированием системы
Вследствие
того,
что
МКС
в
большинстве
случаев
являются
гетерогенными по своей структуре, требуется реализация управления
взаимодействием между субъектами и различными
компонентами МКС,
доменами и средствами их защиты, для чего необходима поддержка
управления мандатами, управления доверием и мониторинг безопасности.
Управление мандатами в МКС является особенно важным аспектом,
ввиду того, что в различных домены используются различные мандаты для
предоставления
доступа
субъектов.
Cистемы
управления
мандатами
разделяются на собственно хранилища и системы совместного использования мандатов. В первом случае реализуется хранение мандатов, а во втором обеспечивается разделение мандатов между множеством доменов МКС.
Управление доверием также является весьма важным элементом
обеспечения защиты МКС, особенно в динамических системах, где количество узлов и субъектов постоянно изменяется и, следовательно,
необхо-
дим механизм, обеспечивающий управление уровнем доверия между субъектами, узлами и доменами МКС [73 – 79]. Цикл управления доверием включает три основные фазы: генерация механизма доверия, установление дове-
51
рия и управление уровнем доверия. К таким системам относятся: PeerTrust,
XenoTrust, NICE, Secure Grid Outsourcing (SeGO), TrustBuilder и GSI [80 – 85].
1.5.9. Адаптивные методы обеспечения защиты ресурсов распределенных
мультикомпьютерных систем
Реализация средств защиты информации в МКС требует дополнительных
аппаратных, программных и, как следствие, временных затрат на обработку
информации [86 – 91]. В целом, повышение уровня защищенности МКС
вызывает рост удельного объема передаваемой и обрабатываемой дополнительной (служебной) информации, что обуславливает снижение производительности МКС по обработке пользовательской информации [92 – 99].
С другой стороны, в общем случае оказывается, что не требуется
постоянно поддерживать максимально возможный уровень защищенности
МКС. В те периоды времени, когда в МКС обрабатываются менее критичные
данные либо вероятность атак злоумышленников снижена, допустимо
снижение уровня защищенности системы, что, в частности, приведет к
уменьшению объема служебной информации и повышению производительности МКС по обработке пользовательских данных [100 – 107]. Одной
из наиболее важных задач при обеспечении защиты МКС является поддержка сбалансированности уровня ее защищенности и производительности с
учетом
специфики
условий
функционирования.
Таким
образом,
целесообразна реализация специального механизма управления средствами
защиты МКС, который динамично, возможно в реальном режиме времени,
определяет требуемый в данный момент уровень защищенности МКС.
Таким механизмом является адаптивное управление средствами защиты –
подход, обеспечивающий гибкое изменение текущего уровня защищенности
МКС на основе мониторинга, выявления и реагирования в реальном времени
на угрозы безопасности с учетом особенностей обрабатываемой информации.
Для
реализации
концепции
адаптивного
управления
защитой
распределенных мультикомпьютерных систем разрабатываются специальные
52
средства адаптивного управления механизмами защиты, включающие в себя
средства анализа защищенности МКС, средства обнаружения атак, средства
адаптации и средства управления [108 – 116].
Средства анализа защищенности выполняют поиск уязвимых мест в МКС
и
оценивают
потенциальные
затраты
на
реализацию
уязвимостей.
Технологии анализа защищенности строятся на основе упреждающего
подхода, позволяющего реализовать политику безопасности МКС прежде,
чем осуществится попытка ее нарушения.
Средства обнаружения атак выполняют анализ подозрительных действий,
реализуемых в распределенных мультикомпьютерных системах.
Средства
адаптации
(настройки)
определяют
требуемый
уровень
защищенности МКС в конкретный момент времени с учетом особенностей
обрабатываемой информации.
Средства координации координируют работу всей адаптивной системы
управления средствами защиты МКС. В результате, система адаптивного
управления средствами защиты распределенных мультикомпьютерных
систем в реальном времени обеспечивает оптимальный уровень защищенности [111, 117-121].
1.5.10. Модель безопасности GT2
Модель безопасности GT2 формирует инфраструктуру защиты Грид
(GSI)
и использует ряд классических функций: выделение и управление
ресурсами МКС (модуль GRAM – Grid Resource Allocation and Management),
мониторинг и обнаружение вторжений (модуль MDS – Monitoring and
Discovery), а также протоколы передачи данных (GridFTP) [122, 123].
На рис. 1.11 показано как в модели безопасности GT2 реализуется
взаимодействие процессов на различных уровнях [122].
53
Регистрация
Пользователь
Аутентификация и
создание
учетных
записей
Запрос
на создание
процесса
Процесс 1
Контроллер
зоны
Генератор
отчетов
Сервер
индексации
Создание
процесса
Регистрация
Процесс 2
Взаимодействие с
другими сервисами
Распределенные
сервисы
Рис. 1.11. Взаимодействие процессов в модели безопасности GT2
Вначале пользователь выполняет аутентификацию и генерирует учетные
данные для процесса 1, тем самым делегируя данному процессу свои права
доступа. Далее данный процесс с использованием протокола аутентификации
запрашивает создание нового процесса на удаленном узле. Этот запрос
обрабатывается Контроллером зоны, который далее создает новый процесс 2
с набором учетных данных, использующихся при формировании запросов к
другим удаленным сервисам. Параметры нового процесса фиксируются в
специальной информационной инфраструктуре MDS-2.
Для создания виртуальных организаций на базе доменов МКС с
взаимным доверием в инфраструктуре GSI, помимо прокси-сертификатов,
используется Центральная Служба Авторизации (Community Authorization
Service, CAS), а также реализуется специальная политика, в соответствии с
которой любые два субъекта, владеющие сертификатами, выданными одним
и тем же субъектом, автоматически доверяют друг другу [122, 123] .
Данный подход позволяет субъектам-владельцам прокси-сертификатов
динамически формировать домены МКС с взаимным доверием, однако, в
случае политики ограниченного доверия между доменами данный подход
практически нереализуем. В таких случаях используется сервис CAS,
54
позволяющий
поддерживать
адаптивные
политики
безопасности
в
виртуальной организации МКС [123].
Процесс формирования политики безопасности на основе сервиса CAS
состоит из 3-х этапов [123]:
1. Субъект проходит аутентификацию у сервиса CAS и получает от него
описание политик, определяющих правила использования ресурсов виртуальной организации МКС.
2. Субъект обращается с запросом к требуемому ресурсу МКС и предъявляет права на использование ресурсов, полученные на предыдущем этапе.
3. Ресурс МКС при проверке прав доступа субъекта учитывает как свою
локальную политику прав доступа, так и права на использование ресурсов
МКС, предоставленные субъекту на основании политики сервиса CAS.
Окончательное решение по предоставлению субъектам доступа и
контроль за их действиями остается за ресурсом МКС.
1.5.11. Модель безопасности GT3
Данная модель разработана в полном соответствии с требованиями
стандарта “Архитектура Открытых Грид-систем” (OGSA). Она базируется на
технологиях Web-сервисов (WS), использующие сервис-ориентированные
архитектуры приложений [122 - 124].
Основной функцией модели безопасности GT3 является реализация
безопасного и эффективного механизма управления параметрами МКС.
Принципиальное отличие между моделями безопасности GT2 и GT3 состоит
в том, что в модели GT3 приложения могут храниться в специальных контейнерах серверных платформ, таких как: AXIS, J2EE и .NET [122 - 124]. Эти
платформы обладают специальными функциональными возможностями,
позволяющими, в частности, разделить функции защиты и собственно
приложения [123, 124]. Данный подход позволяет реализовать функции
модели безопасности GT3 непосредственно средствами самой платформы,
что обеспечивает выполнение модификации механизмов защиты независимо
55
от приложений [123]. В частности, в настоящее время в модели безопасности
GT3 функции аутентификации, авторизации и защиты передаваемых
сообщений реализуются в виде отдельных механизмов как составная часть
серверной платформы и вынесены за пределы приложений [124].
Как показано на рис. 1.12, в том случае, когда приложение отправляет
запрос
на
ресурсы,
он
переадресуется
специальному
обработчику,
выполняющему его преобразование [122].
Аутентификация
Средства
аутентификации
Запрос
Запрос
Приложение
Обработчик
запросов
Обработчик
запросов
Приложение
Платформа сервиса
Платформа узла
Рис. 1.12. Платформенно-ориентированная реализация процедуры
аутентификации в модели GT3
Обработчик запросов в МКС определяет адресат запроса, после чего
проверяет
подлинность
адресата
для
формирования
защищенного
взаимодействия.
Сформированный таким образом защищенный канал используется для
обеспечения защиты (конфиденциальности, целостности) передаваемых
сообщений. На стороне сервера установлен аналогичный обработчик,
который взаимодействует с обработчиком со стороны инициатора запроса,
аутентифицирует источник запроса и выполняет передачу запроса на
обработку соответствующим сервисам [124]. Данный подход обеспечивает
независимость приложений от механизмов защиты, которые могут быть
оперативно адаптированы к различным условиям функционирования
системы и требованиям к их защищенности.
56
1.5.12. Модель безопасности GT4
Модель безопасности GT4 включает в себя классические Web-сервисы и
компоненты, ориентированные на Web-сервисы. Данная модель поддерживает защиту как на уровне передачи сообщений, так и на транспортном
уровне, при этом уровень передачи сообщений обеспечивает поддержку
стандартов WS-Security и спецификации WSSecureConversation для обеспечения защиты SOAP-сообщений, а транспортный уровень – аутентификацию
по протоколу TLS с использованием прокси-сертификатов X.509 [125].
На рис.1.13 показана инфраструктура защиты в модели GT4 [125].
Авторизация
Уровень передачи
сообщений
(cертиф. X509)
Уровень передачи
сообщений
(имя, пароль)
Транспортный
уровень
(cертиф. X509)
SAML и Гридmapfile
Грид-mapfile
SAML и Гридmapfile
Сертиф. X509/
WSTrust
Сертиф. X509/
WSTrust
Делегирование прав
Пользоват.
сертиф. X509
Аутентификация
Имя/пароль
Пользоват.
сертиф.
X509
Защита
сообщений
WS-Security
WS-Secure
Conversation
WS-Security
TLS
Формат
сообщений
SOAP
SOAP
SOAP
Рис. 1.13. Инфраструктура защиты в модели GT4
Как видно из рис.1.13, данная инфраструктура реализует четыре базовые
функции: защиту сообщений, аутентификация, делегирование прав и
авторизацию.
Для
реализации
данных
функций
используются
ряд
стандартов: протокол TLS на транспортном уровне и спецификации уровня
передачи сообщений WS-Security и WS-SecureConversation используются
для защиты сообщений в комбинации с протоколом SOAP; пользовательские
сертификаты X.509 или имена пользователей и пароли используются для
поддержки процедуры аутентификации; прокси-сертификаты X.509 и
57
спецификация WS-Trust используются для делегирования прав; сообщения
SAML используются для авторизации пользователей [125].
1.5.13. Сравнительный анализ базовых средств обеспечения защиты МКС.
Представим сравнительный анализ базовых средств защиты МКС:
системы защиты JGrid и инфраструктур защиты МКС GridLab, PROGRESS,
ALiCe, NextGrid, XenoTrust. В табл. 1.3 представлены основные характеристики данных средств защиты МКС.
Таблица 1.3
Основные характеристики современных средств защиты распределенных
мультикомпьютерных систем
N
Средство
защиты
Платформа
Поддерживаемые
протоколы
Поддер
-жка
разграничения
доступа
Поддержка
политики
безопасности
Поддержка
Поддержка
учета
учета
текущего
ценности
уровня
обрабатыдоверия
к ваемой
действиям
информации
субъектов
1
Jgrid
2
GridLab
Java/Jini HTTPS,
Kerberos
Java
HTTPS
+
+
-
-
+
-
-
-
3
PROGRESS Java
HTTPS
+
-
-
-
4
AliCe
Java/Jini HTTPS
-
+
+
-
5
NextGrid
Java
HTTPS
+
+
-
-
6
XenoTrust
Java
HTTPS
+
+
+
-
Как показывает табл. 1.3, все рассмотренные средств защиты базируются
на платформе Java, что обеспечивает переносимость данных средств между
операционными системами, а также практически все поддерживают
разграничение доступа. При этом настраиваемую политику безопасности
поддерживают только средства JGrid, NextGrid и XenoTrust, что обеспечивает
возможность адаптивного управления средствами защиты МКС. Ввиду того,
58
что представленные выше средства защиты базируются на платформе Java,
возникает
возможность
операционными
системами.
переносимости
Основным
передачи данных является HTTPS,
JGrid
данных
средств
поддерживаемым
между
протоколом
дополнительно поддерживает
протоколы Kerberos. К недостаткам выше перечисленных средств следует
отнести то, что в ряде средств не поддерживаются механизмы управления
политикой безопасности, и практически ни в одном, кроме JGRid, не
поддерживается широко распространенный протокол Kerberos. Поддержка
учета текущего уровня доверия к действиям субъектов обеспечивают только
средства AliCe и XenoTrust, а учет ценности обрабатываемой информации
представленные средства не поддерживают.
1.6. Исследование методов и средств анализа и управления рисками
нарушения защищенности МКС.
1.6.1. Классификация рисков и риск-образующие факторы
1.6.1.1. Классификация рисков
В общем случае риск представляет собой проявление фундаментального
свойства объектов — индетерминизма, т.е. неполной определенности [126].
В различных формах риски проявляются практически во всех областях
деятельности общества, а также функционирования и взаимодействия организаций. Понятие “риск” связано с двумя факторами: риск обусловлен
случайными событиями или процессами; последствия этих событий или
процессов являются негативными, при этом в отдельных случаях проявление
риска может вызывать позитивные последствия [126].
Основными свойствами риска являются следующие [127]:
риск является многомерной характеристикой состояний объекта;
риск связан со случайными явлениями и процессами;
проявление риска — условное событие.
Факторы опасности, неопределенности и потенциальной возможности
характерны для всех процессов, а результат их проявления для некоторого
59
объекта характеризуется рисками. Существующие риски разнообразны, они
классифицируются по различным признакам: объекту и источнику воздействия, местоположению относительно объекта воздействия, механизму
возникновения, степени влияния (рис. 1.14) [126, 127, 128, 132].
В
зависимости
от
типа
объекта,
подвергающегося
негативным
воздействиям, выделяются следующие виды рисков: индивидуальный; социальный; технический; предпринимательский; стратегический; экологический
(рис. 1.14) [126 – 131, 133 – 139].
По степени влияния на состояние организации или функционирование
системы различают следующие виды рисков [130, 134]:
ничтожный: его влияние незначительно; меры защиты принимать не
требуется;
допустимый: его влияние значительно; принимаются специальные
меры контроля и защиты;
критичный: его влияние критично; деятельность и функционирование с
указанным уровнем риска не допускается. Применительно к компьютерным
системам критичный риск — это риск прекращения функционирования
системы или риск потери критичных (секретных) данных.
1.6.2. Основные принципы управления рисками нарушения защищенности компьютерных систем
Одной из основных задач при построении эффективной системы защиты
МКС является минимизация рисков нарушения защищенности. Для решения
данной задачи применяются специальные механизмы управления рисками. В
настоящее время разработан ряд подходов к управлению рисками нарушения
защищенности, каждый из которых имеет определенную специфику. Так, в
одних механизмах основное внимание уделяется оценке рисков [140, 141,
142], тогда как другие базируются на классических подходах к управлению
средствами защиты, предусматривающих реализацию адекватных контрмер
для поддержки требуемого уровня защищенности МКС.
Риск
По объекту
воздействия
По источнику
По местоположению
относительно
объекта
Индивидуальный
Природный
Внешние
Социальный
Техногенный
Внутренние
Технический
Социальный
Хозяйственный
Экономический
Стратегический
Политический
Экологический
По механизму
возникновения
По степени
влияния
Связанные с
неблагоприятными
условиями
Ничтожный
Связанные с
негативными
явлениями
Связанные с
неблагоприятными
тенденциями
развития
Связанные с
принятием решений в условиях
неопределенности
Критичный
По степени
влияния
Страхуемый
Нестрахуемый
60
Рис. 1.14. Классификация рисков
Допустимый
61
Концептуально процесс управления рисками нарушения защищенности
компьютерных систем включает в себя ряд последовательных этапов,
представленных ниже (рис. 1.15) [143].
Идентификация
ресурсов и среды
Определение целей
безопасности
защищаемых ресурсов
Анализ и оценка рисков
Предотвращение рисков
Установление
требований к
безопасности
Выбор и реализация
средств защиты
Рис. 1.15. Общая схема процесса управления рисками нарушения
защищенности компьютерных систем
Этап 1: Анализ среды и идентификация ресурсов системы
Процесс управления рисками
начинается с анализа структуры среды
компьютерной системы и идентификации ее ресурсов. Далее формализуется
описание среды системы, при этом особое внимание уделяется механизмам
защиты.
Этап 2: Определение целей защиты
Целями защиты, в общем случае, являются конфиденциальность,
62
целостность и доступность ресурсов компьютерных систем. Кроме того, на
данном этапе с учетом особенностей компьютерной системы определяется
требуемый уровень ее защищенности [143].
Этап 3: Анализ рисков нарушения защищенности
Основной задачей данного этапа является анализ рисков, а также
выявление наиболее опасных угроз безопасности компьютерных систем. На
этом этапе происходит идентификация рисков и их оценка в качественном
или количественном выражении [143]. Для эффективной оценки рисков
необходимо учесть все цели (факторы) защиты, определенные на Этапе 2.
Если полученная в результате оценка рисков оказывается заведомо некорректной, проводится модификация описания структуры компьютерной
системы, а также выполняется повторная идентификация ее ресурсов [143].
Этап 4: Предотвращение (минимизация) риска
После
выполнения
оценки
рисков
принимается
решение
о
предотвращении или минимизации рисков. В общем случае, по отношению к
риску предпринимаются следующие меры: предотвращение, минимизация,
разделение или сохранение риска на текущем уровне [143].
Предотвращение риска подразумевает максимально полное устранение
всех потенциальных угроз безопасности компьютерной системы, вплоть до
блокирования
функционирования
определенных
особо
уязвимых
компонентов и процессов.
Минимизация риска включает в себя мероприятия по уменьшению
вероятности реализации риска, а также по снижению негативных последствий его реализации.
Разделение риска состоит в распределении между ресурсами системы
ущерба и потерь вследствие реализации риска.
Сохранение риска на текущем уровне подразумевает, что уровень риска
является приемлемым для данной компьютерной системы, в частности,
вследствие того, что вероятность его реализации и соответствующий
63
потенциальный ущерб системе достаточно малы.
Решение по управлению рисками нарушения защищенности принимается,
как правило, на основе оптимизационной оценки между уровнем риска и
требуемыми затратами на его предотвращение [143].
Этап 5: Формирование требований к средствам защиты.
В контексте управления рисками требования к средствам защиты представляются как задачи по минимизации или полному предотвращению рисков нарушения защищенности. Данные требования могут быть расширены,
например, в случае разделения рисков устанавливаются дополнительные
требования к защите тех ресурсов, между которыми разделяются риски
[143]. Далее, на завершающей стадии анализа рисков выполняется оценка
соответствия средств защиты требованиям по защищенности системы. В том
случае, если требования не удовлетворяются, один или несколько предыдущих этапов анализа рисков выполняются повторно, в частности, проводится модификация структуры компьютерной системы, а также выполняется
повторная идентификация ее ресурсов [143].
Этап 6: Выбор и реализация средств защиты
Выполнение требований к обеспечению защищенности компьютерных
систем обеспечивается системой управления средствами защиты [143]. Процесс управления рисками нарушения защищенности повторяется циклически для достижения приемлемого уровня всех рисков нарушения защищенности, в том числе и тех рисков, которые возникли после реализации защитных механизмов. Уровень риска нарушения защищенности, полученный после применения защитных механизмов, является "остаточным" риском [143].
После завершения первого цикла процесса управления рисками нарушения защищенности выполняются корректирующие действия, в частности,
обмен данными о рисках и мониторинг рисков нарушения защищенности.
Процедура обмена данными о рисках нарушения защищенности позволяет
реализовать эффективное взаимодействие между субъектами компьютерных
64
систем с целью управления рисками. Легальные субъекты компьютерных
систем получают результаты анализа рисков и данные по динамике их
изменения [143].
Необходимость мониторинга рисков нарушения защищенности вызвана
тем, что даже после достижения приемлемого уровня всех рисков в системе
процесс управления рисками нарушения защищенности постоянно модифицируется с учетом их динамического характера. Любые модификации в структуре компьютерной системы потенциально приводят к появлению новых
уязвимостей, что, в свою очередь, повышает уровень рисков нарушения
защищенности в системе [143].
1.5.3. Сравнительный анализ методов и средств управления рисками нарушения защищенности
Представим сравнительный анализ основных современных методов и
средств управления рисками нарушения защищенности распределенных мультикомпьютерных систем. К современным механизмам управления рисками нарушения защищенности относятся: методы управления рисками нарушения защищенности EBIOS, MEHARI, OCTAVE, CRAMM, CORAS, а также
программные средства управления рисками COBRA, RiskWatch и ГРИФ.
Сравнительная оценка основных параметров методов и средств анализа и
управления рисками нарушения защищенности представлена в табл. 1.4.
Задача анализа рисков в различных методах и средствах решается по
разному: на основе аналитического определения рисков, на основе анализа
сценариев рисков и на основе мозгового штурма [144]. Уровень детализации
процесса управления рисками нарушения защищенности также дифференцируется в зависимости от конкретного метода и средства, в частности, в
методе EBIOS не рассматриваются вопросы выбора механизмов защиты и их
реализации [144]. В целом, каждый метод и средство управления рисками
нарушения защищенности имеет определенные преимущества и недостатки,
65
Таблица 1.4.
Сравнительная оценка основных параметров методов и средств анализа и управления рисками нарушения
защищенности
N
Название
Страна
Тип анализа
Тип оценки
Наличие
Исполь- Сетевое Поддерметода /
рисков
рисков
формализозование решение
жка
средства
ванных оценок
баз
моделей
знаний
безопасности
1
EBIOS
Франция
2
MEHARI
Франция
3
OCTAVE
США
4
CRAMM
5
CORAS
Великобритания
Германия,
Норвегия,
Великобритания,
Греция
США
6
COBRA
7
RA
Tools
8
ГРИФ
Software Великобритания
Россия
Аналитическое
определение
Анализ
сценариев
Качественная
-
+
-
-
Качественная/
Количественная
Качественная
-
-
+
-
-
-
+
+
Качественная
-
-
-
+
Анализ
сценариев
Качественная
+
-
-
+
Анализ
сценариев
Аналитическое
определение
Качественная
-
+
-
+
Качественная/
Количественная
Качественная/
Количественная
-
-
+
-
-
-
+
-
Мозговой
штурм
Аналитическое
определение
Анализ
сценариев
65
66
а для повышения их эффективности в процессе минимизации рисков
возможно использование нескольких механизмов одновременно.
В рассмотренных методах и средствах управление рисками нарушения
защищенности, как правило, реализуется для существующих компьютерных
систем, однако существуют определенные трудности использования данных
механизмов в процессе проектирования и разработки защищенной компьютерной системы. Это вызвано тем, что стандарты, на которые ориентированы
рассмотренные механизмы управления рисками нарушения защищенности не
в полной мере поддерживают полный цикл разработки средств защиты,
начиная со стадии разработки.
Еще одним недостатком существующих методов и средств управления
рисками нарушения защищенности компьютерных систем является то, что
генерируемые ими итоговые документы - отчеты, как правило, являются не
унифицированными и представляются чаще всего на естественном языке,
иногда с дополнением специальных таблиц, что усложняет поддержку
автоматизации процесса управления рисками [144].
Метод CORAS является единственным механизмом, в котором формируются формализованные модели и оценки для управления рисками нарушения защищенности, однако данный метод также не адаптирован к процессу
разработки защищенных компьютерных систем и, кроме того, в нем используется собственная неклассическая терминология [144]. Следует отметить,
что лишь метод EBIOS и средство COBRA для анализа рисков используют
специальные базы данных, в остальных механизмах усложнена возможность
реализации адаптивного интеллектуального подхода к управлению рисками
нарушения защищенности [144].
Одной из основных задач в области управления рисками нарушения защищенности является обеспечение комплексного подхода к использованию
средств управления рисками, для чего требуется унификация форматов входных и выходных данных, а также механизмов взаимодействия между ними.
67
Выводы к Разделу 1
1.1.
На
основе
анализа
особенностей
реализации
современных
распределенных мультикомпьютерных систем выделены основные проблемы
в данной области, в частности, задачи улучшения технических параметров
сетевых инфраструктур, таких как повышение скорости передачи данных, их
надежности и защищенности. Показано, что при реализации распределенных
МКС актуальной является проблема поддержки обеспечения качества обслуживания (QoS) субъектов для обеспечения требуемого времени выполнения
заданий. Требования QoS включают, в частности: защищенность ресурсов;
защищенность выполняющихся заданий; надежность и постоянную доступность ресурсов.
Проведенный
распределенных
анализ
вопросов,
мультикомпьютерных
связанных
систем
с
организацией
показал
необходимость
создания методик и механизмов, направленных на разработку, модификацию
и сопровождение МКС, которые позволят комплексно учесть требования
QoS, предъявляемые к современным мультикомпьютерным системам.
1.2. Рассмотрены особенности реализации многоканальных волоконнооптических связей для передачи данных в распределенных мультикомпьютерных системах. Показано, что одним из вариантов реализации каналов
связи в МКС, в частности, в сетевом ядре, в котором число узлов ограничено
и они расположены на относительно небольшом расстоянии друг от друга,
является использование волоконно-оптических линий связи, которые позволяют поддержать физическую многоканальность связей на основе частотного
или временного разделения доступа субъектов.
1.3. Показано, для поддержки оперативной реакции на несанкционированные действия в МКС необходимо обеспечить оперативное выполнение
критичных заданий и обеспечить для них приоритетную обработку. Для решения данной задачи требуется разработка и применение специализированного аппарата моделирования процессов в модуле управления заданиями.
68
1.4. Рассмотрены варианты реализации методов коммутации для МКС с
одно- и многоканальными связями. Показано, что существующие
маршру-
тизаторы/коммутаторы поддерживают лишь один тип коммутации: коммутацию каналов или коммутацию пакетов, что не позволяет совместить различные типы коммутации в пределах одного канала связи. Кроме того, ни один
из данных маршрутизаторов/коммутаторов не поддерживает возможность
управления размером буфера, что также снижает их адаптивность к различным типами коммутации, поскольку, например, для одновременной поддержки пакетной коммутации и червячного механизма коммутации требуется
возможность гибкого изменения размера буфера.
1.5. Показано, что эффективность применения МКС во многом определяется ее способностью решить проблему эффективной обработки комплексного трафика данных и обслуживания различных приложений и коммутационных ресурсов с учетом требований к качеству обслуживания, что требует использования эффективных алгоритмов, методов и средств передачи
данных. При реализации протоколов передачи данных в МКС с многоканальными связями также возникает проблема взаимных конфликтов потоков
данных, проблема сбоев и взаимных помех для других подканалов передачи
данных.
1.6. Основным необходимым условием для решения проблемы повышения надежности является построение архитектуры МКС по принципу пространственной и временной избыточности. При наличии значительных аппаратных средств возникает достаточно высокая интенсивность потока неисправностей (сбоев, отказов), что требует применения специальных механизмов
восстановления функционирования МКС. Значительное количество аппаратных и программных средств в распределенных МКС обуславливает достаточно высокую интенсивность потока отказов, что требует применения специиальных средств и механизмов по обеспечению надежности функционирования, диагностирования и устранения отказов, а также восстановлению
вычислительного процесса.
69
1.7. Рассмотрены и классифицированы методы обеспечения защиты
МКС. Показано, что существует необходимость в разработке и применении
специального механизма управления средствами защиты МКС, который позволит динамически определять требуемый в данный момент времени уровень
защищенности, что обеспечит повышение защищенности МКС. Рассмотрены
основные модели безопасности МКС. Выполнен сравнительный анализ современных программно-аппаратных средств обеспечения защиты МКС, определены их преимущества и недостатки. Показано, что к недостаткам рассмотренных средств относится, в частности то, что в ряде средств не поддерживаются механизмы управления политикой безопасности, и практически ни
в одном, кроме JGRid, не поддерживается
широко распространенный
протокол Kerberos.
1.8. Рассмотрены основные принципы управления рисками нарушения
защищенности информационных систем. Выделены основные меры по
отношению к выявленным рискам: предотвращение, минимизация, разделение, сохранение. Показано, что решение по управлению рисками нарушения защищенности, принимается, как правило, на основе оптимизационной
оценки между уровнем риска и затратами на его предотвращение. Также
показано, что любые модификации в структуре информационной системы
потенциально приводят к появлению новых уязвимостей, что повышает
уровень рисков нарушения защищенности в системе.
Выполнен сравнительный анализ основных современных методов
и
средств управления рисками нарушения защищенности распределенных
мультикомпьютерных систем, выделены их основные особенности реализации в контексте типа анализируемых рисков, типа оценки рисков, поддержки моделей безопасности, использования баз знаний, наличия сетевых решений, а также рассмотрены их преимущества и недостатки. Показано, что существуют определенные трудности реализации рассмотренных методов и
средств управления в процессе проектирования и разработки защищенной
информационной системы, ввиду того, что данные механизмы управления
70
рисками нарушения защищенности не в полной мере поддерживают полный
цикл разработки средств защиты, начиная со стадии разработки. Также в
ряде механизмов усложнена возможность реализации адаптивного интеллектуального подхода к управлению рисками нарушения защищенности.
Показано, что, несмотря на наличие общей процедуры управления
рисками нарушения защищенности, отсутствуют практические методики в
области количественного анализа и оценки рисков с учетом динамического
появления угроз безопасности, что характерно для МКС, а также адекватные
модели анализа рисков нарушения защищенности для прогнозирования
значений
критического
управлению рисками.
времени
в процессе принятия
решений
по
71
РАЗДЕЛ 2.
МОДЕЛИ ПРОГНОЗИРОВАНИЯ
ПОКАЗАТЕЛЕЙ, ХАРАК-
ТЕРИЗУЮЩИХ РАСПРЕДЕЛЕННЫЕ МУЛЬТИКОМПЬЮТЕРНЫЕ СИСТЕМЫ
2.1. Основные показатели, характеризующие МКС
При
построении
современных
распределенных
МКС
одним
из
важнейших требований является соответствие существующим стандартам в
данной области. Любая эффективно функционирующая компьютерная
система должна поддерживать определенный набор сервисов, связанных
прежде всего с постоянным предоставлением доступа к хранящимся данным:
к файловым архивам и текущим данным, реализовать обмен данными в
пределах домена или в пределах всей распределенной МКС и т.п. [145]
Кроме того, распределенные МКС должны соответствовать требованиям
Qos, что подразумевает тот факт, что система соответствует заданному
соглашению о трафике. К числу основных требований к компьютерным
системам относятся: производительность; надежность и безопасность;
расширяемость и масштабируемость; прозрачность; поддержка разных видов
трафика; управляемость; совместимость; качество обслуживания [145].
Для
современных
масштабируемых
распределенных
мульти-
компьютерных систем требуются специальные подходы к моделированию их
работы с целью оценки и прогнозирования характеризующих их показателей,
в частности, для повышения эффективности их работы. При этом
классические методы моделирования не способны в полной мере адекватно
поддержать процедуры оценки показателей МКС ввиду их постоянного
масштабирования, что приводит
к динамическому изменению их
характеристик. Таким образом, для поддержки оценки и прогнозирования
базовых показателей МКС требуется разработка специальных моделей,
которые позволят адекватно оценить соответствующие показатели МКС.
72
Несмотря на важность полного комплекса перечисленных выше
требований, часто понятие "качество обслуживания" (QoS) компьютерной
сети трактуется более узко: в него включаются только два или три наиболее
важных показателя, характеризующие МКС: интенсивность передачи
данных, надежность и безопасность [145].
Следует отметить, что на эти показатели в общем случае влияние
оказывают несколько исходных переменных (факторов) одновременно.
Рассматриваемые
в
работе
распределенные
мультикомпьютерные
системы имеют следующую организацию: формируются т.н. локальные
кластеры узлов, в которые включены 20..50 компьютерных узлов,
соединенные между собой многоканальной средой передачи данных. Далее
локальные кластеры объединяются между собой в единую распределенную
МКС
также
с
использованием
многоканальных
технологий
связи.
Рассмотрим вопрос оценки и прогнозирования основных показателей,
характеризующих МКС: интенсивность передачи данных, надежность,
уровень защищенности.
2.2. Фрактально-регрессионная модель оценки интенсивности передачи
данных в МКС
Для оценки и прогнозирования интенсивности передачи данных в МКС
на уровне одного локального кластера узлов, с учетом особенностей его
организации, в т.ч. ограниченности числа узлов, входящих
в него,
предлагается использовать функцию множественной регрессии:
M d f x1 , x2 ,..., xn .
Данная
функция
позволяет
сформировать
(2.1)
дескриптивную
(т.е.
предназначенную для описания или прогноза поведения объектов) модель с
большим числом исходных переменных (факторов), а также определить
влияние каждого фактора в отдельности и их совокупное воздействия на
оцениваемый базовый показатель, в данном случае на интенсивность
передачи данных.
73
При реализации модели множественной регрессии решаются следующие
две задачи [146-149]:
1. анализ взаимного влияния исходных переменных;
2. формирование спецификации модели, которая определяет конкретные
исходные переменные, входящие в регрессионную функцию.
При этом важно обеспечить корректность спецификации модели. Одним
из возможных вариантов является линейная модель множественной
регрессии [146, 147]:
M d rc 0 ' rc1 ' x1 rc 2 ' x2 ... rc n ' xn
,
(2.2)
где Md – результирующий показатель (искомая переменная), xi – исходные
переменные, rc j ' – регрессионные коэффициенты как частные производные
результирующего показателя Md
по соответствующим исходным пере-
менным:
rc1 '
M d
M d
M d
rc
'
rcn '
2
,
,…,
x2
x1
xn .
(2.3)
Коэффициент rc 0 ' – свободный член, который вводится для определения
значения показателя Md в том случае, если все другие переменные равны 0.
Следует отметить, что значения регрессионных коэффициентов rc j ' равны
среднему изменению показателя Md при увеличении значения xj на один шаг
при фиксации всех остальных исходных переменных [146]. Величина Δ –
случайная ошибка регрессионной зависимости.
Следует
отметить,
что
определение
значений
коэффициентов
rc 0 ' , rc1 ' , rc 2 '...,rc n ' по выборке невозможно ввиду того, что они являются
случайными
величинами
[146-150].
Поэтому
вместо
теоретического
уравнения регрессии (2.2) формируется т. н. эмпирическое уравнение
линейной регрессии в виде:
M d rc 0 rc1 x1 rc 2 x2 ... rc n xn .
(2.4)
74
Здесь rc 0 , rc1 , rc 2 ,..., rc n - эмпирические оценки значений коэффициентов rc 0 ' , rc1 ' , rc 2 '...,rc n ' , или эмпирические коэффициенты регрессии.
Пусть имеется n измерений/оценок независимых исходных переменных
(факторов) и соответствующих им значений результирующего показателя
Mdi :
xi1 , xi 2 ,..., xin , M d i ,
i 1, n
.
(2.5)
Для однозначного определения значений параметров уравнения (2.4)
объем выборки измерений/оценок n1 должен быть не меньше количества
параметров, т.е. n1 n 1 , иначе значения параметров не могут быть
определены однозначно. В том случае, если n1=n+1, то оценки параметров
рассчитываются однозначно по принципу системы линейных алгебраических
уравнений.
Следует отметить, что отклонения получаемых значений показателей от
реальных заложены в самой модели. Для уменьшения случайной ошибки
регрессионной зависимости ∆ используется, в частности, метод наименьших
квадратов (МНК) [147]. Сущность МНК заключается в том, чтобы найти
такие параметры rci, при которых сумма квадратов отклонений получаемых
результатов от реальных будет минимальной.
Запишем: Md = (Md1, Md 2, ..., Mdn), ∆ = (∆1, .., ∆n ) и обозначим RC = {rcij}
матрицу коэффициентов размерностью (n х р). Тогда модель в матричной
форме имеет вид: Md = RC*x + ∆.
Далее, сумма квадратов, подлежащая минимизации, примет вид [147]:
n
p
i 1
j 1
S ( x) {M di rcij x j }2 .
(2.6)
/
Нормальные уравнения для оценок x записываются как [147]:
n
p
i 1
j 1
{M di rcij x j }rcij 0, j 1,2,..., p ,
или в матричной форме:
/
(2.7)
75
RC / M d RC / RCx / 0
.
(2.8)
В том случае, если р столбцов матрицы RC линейно независимы, то ранг
r(RC) матрицы RC будет равен р и единственное решение нормальных
уравнений [147]:
x / ( RC / RC ) 1 RC / M d
(2.9)
представляет собой линейную функцию от результатов наблюдений
показателей Md1, Md 2, ..., Mdn и служащее МНК-оценкой для xi.
Для проведения оценки показателей, характеризующих МКС на основе
линейной модели множественной регрессии необходимо выполнение ряда
условий [146, 147]:
1. спецификация модели должна иметь вид (2.2);
2. модель немультиколлинеарна: между исходными переменными модели
отсутствует однозначная линейная зависимость, что учитывается в процессе
выбора исходных параметров при формировании спецификации модели;
3. значения
i
ошибок
i , i 1, n
имеют
нормальное
распределение
~ N 0, .
Выполнение третьего условия необходимо для проверки статистических
гипотез и построения интервальных оценок.
Формирование спецификации модели
Спецификация
(объясняющих)
характерных
модели
представляет
переменных.
именно
для
Важное
собой
значение
множественной
набор
имеет
регрессии
исходных
два
с
аспекта,
несколькими
переменными: потенциальная мультиколлинеарность факторов и частная
корреляция,
которая непосредственно связана с процедурой пошагового
отбора переменных [146 - 150].
Включение в уравнение множественной регрессии определенного набора
исходных переменных определяется, прежде всего, оценкой степени
взаимосвязи оцениваемого базового показателя с другими показателями.
76
Исходные переменные, включаемые во множественную регрессию, должны
отвечать следующим требованиям [146 -150]:
1. они должны быть количественно измеримы, а в том случае, если в
модель требуется включить качественную переменную, то ее необходимо
выразить количественно;
2. переменные не должны быть коррелированы между собой и не должны
находиться в однозначной функциональной связи.
В общем случае, регрессионная модель позволяет использовать любое
конечное число исходных переменных. Отбор исходных переменных
производится на основе предварительного анализа характера изменения
результирующего показателя. Однако, в общем случае, теоретический анализ
не позволяет однозначно ответить на вопрос о количественной взаимосвязи
исходных
переменных
и
целесообразности
включения
конкретной
переменной в модель [146]. Поэтому отбор исходных переменных
осуществляется в два этапа [146-150]:
выбираются переменные с учетом их потенциального влияния на
результирующий показатель;
анализируется матрица показателей корреляции и устанавливается,
какие из переменных наиболее сильно связаны с результирующим
показателем, а какие – между собой.
Известно, что на интенсивность передачи данных в МКС существенное
влияние имеет время задержки передачи сообщений в сети [168]. В свою
очередь, на показатель времени задержки передачи сообщений оказывают
влияние, в частности, следующие параметры:
x1 – число последовательно включенных узлов-маршрутизаторов;
x2 – число подканалов связи;
x3 – число параллельных топологических каналов.
Представим общий алгоритм формирования модели прогнозирования
времени задержки передачи сообщений в сети.
77
1. Выбираются исходные параметры для регрессионного уравнения – x1,
x3,…, xn.
2. Рассчитываются n значений результирующего показателя Mi при различных значениях исходных параметров – x1i, x2i, x3i,…, xni.
3. Формируется система линейных уравнений вида:
M1 = rc1 * x11 + rc2 * x21 + ….+rcn * xn1
M2 = rc1 * x12 + rc2 * x22 + ….+rcn * xn2
Mi = rc1 * x1i + rc2 * x2i + ….+rcn * xni
Mn = rc1 * x1n + rc2 * x2n + ….+rcn * xnn
(2.10)
.
В результате решения данной системы уравнений рассчитываются
коэффициенты: rc1, rc2, …, rci,…,rcn.
4. Формируется выражение для оценки времени задержки передачи
данных (Mпд) с учетом полученных коэффициентов:
Mпд = rc1 * x1 + rc2 * x2 + ….+rcn * xn .
(2.11)
Следует отметить, что полученное соотношение (2.11) корректно для
определенного фрагмента или фрактоида МКС: локального кластера или
локальной сети для которого были выполнены оценки исходных параметров.
Пример формирования модели оценки интенсивности передачи данных в
МКС:
Рассмотрим практическое формирование модели оценки интенсивности
передачи данных в МКС на основе оценки времени задержки передачи
сообщений. Представим в табл. 2.1 следующие параметры времени задержки
передачи сообщений.
Таблица 2.1
Время задержки передачи сообщений в МКС в контексте параметров модели
x1
x2
x3
Mi, мкс
10
10
1
14365
20
30
5
2850
30
40
8
2695
78
Фактически, требуется найти решение системы уравнений:
10rc1 + 10rc2 + rc3 = 14365
20rc1 + 30rc2 + 5rc3 = 2850
30rc1 + 40rc2 + 8rc3 = 2695
Данная система уравнений имеет единственное решение в виде
регрессионных коэффициентов для линейной функции:
rc1 = 2572.5; rc2 = – 410; rc3 = – 7260.
Тогда выражение для оценки и прогнозирования времени задержки
передачи сообщений в сети в данном случае имеет вид:
Mпд = 2572.5x1 – 410x2 – 7260x3.
Фрактальный подход к оценке и прогнозированию показателей ,
характеризующих МКС
Известно, что характеристики распределенных мультикомпьютерных
систем во многом определяются их топологическими особенностями: геометрией размещения узлов, расстоянием между ними, особенностями построения каналов связи и т.д. [154] Фактически, любая распределенная мультикомпьютерная система может быть топологически представлена как комбинация определенного количества узлов или локальных кластеров, взаимодействующих между собой через каналы связи [151 - 154]. При этом информационные и коммуникационные параметры
определенной комбинации
объектов качественно и количественно отличаются от аналогичных свойств
отдельного объекта [151 - 154]. Так, для компьютерных систем, содержащих
множество узлов, характерны несколько другие принципы изменения
показателей интенсивности передачи данных, надежности, уровня защищенности и т. д. по сравнению с отдельными объектами (узлами). [155-157].
Одной из основных характеристик распределенных мультикомпьютерных
систем и сетей является их топологическая размерность DT, а показатели
МКС, в свою очередь, зависят от данной характеристики [154]. Таким
образом, в результате определения параметра DT появляется возможность
79
оценки основных показателей МКС на основании обобщенной функциональной закономерности f(DT). [154]
Следует отметить, что топологическая размерность распределенных
мультикомпьютерных систем не может быть определена как традиционная
целочисленная евклидова размерность. На практике МКС, в частности те,
которые
имеют
нерегулярную
структуру
внутренних
связей,
характеризуются определенными закономерностями, определяемыми внешними факторами и особенностями моделей расширения таких систем [155].
В
результате,
распределенных
для
МКС
определения
применяется
топологической
механизм
на
размерности
основе
свойства
самоподобия, характерного для фракталов. Топология рассматриваемой
распределенной
компьютерной
системы,
состоящей
из
комбинации
локальных кластеров, включающих 20..50 компьютерных узлов, соединенных между собой многоканальной средой передачи данных, является примером случайного фрактала, поскольку ее малая часть подобна целой [155].
Так, топология локальной сети в пределах одного отдела организации
подобна топологии корпоративной сети в рамках всей организации, а
топология корпортивной сети - топологии сети регионального масштаба [154,
155]. Следовательно, узлы МКС рассматриваются как множество точек,
условно вложенных в пространство, а размерность данной совокупности
точек описывается как фрактальная размерность.
В МКС выделяется понятие фрактоиды: узлы или локальные кластеры
узлов. Для них рассчитываются базовые показатели компьютерной системы:
интенсивности передачи данных, надежность функционирования, уровень
защищенности и т.д. Далее, данные основные показатели оцениваются для
полной
топологии
использованием
распределенной
фрактального
мультикомпьютерной
подхода:
оценивается
системы
с
фрактальная
размерность сети, и затем осуществляется переход от показателей фрактоида
(узла или локального кластера) к показателям, характеризующих всю
распределенную мультикомпьютерную систему.
80
Формальное представление модели оценки и прогнозирования базовых
показателей, характеризующих МКС на основе фрактального подхода:
Введем следующие переменные для описания фрактально-регрессионной
модели показателей МКС:
Fi – искомые показатели, характеризующие МКС;
DT – топологическая размерность кластера;
Nc – число узлов в кластере;
NF – число узлов в фрактоиде;
d(DT) – функция распределения значений показателей Fi ;
Md (d, DT) – мера (удельное значение) показателя на узле или кластере, в
частности, интенсивность передачи данных или время задержки передачи
сообщений в пределах кластера;
S(Nc) – общее число узлов в МКС;
DN – фрактальная размерность кластера.
В [151] показано, что мера (удельное значение) Md (d, DT) показателя на
узле или кластере определяется как:
M d (d ( DT )) Nc * DT
d ( DT )
.
(2.12)
Далее, общее число узлов в МКС с учетом свойств фрактальности
рассчитывается как:
S ( N ) Nc
DN
,
(2.13)
при этом фрактальная размерность кластера определяется как [154]:
ln N c
DT 0 ln D .
T
DN lim
(2.14)
Тогда, с учетом свойств фрактальности МКС, значение показателя для
полной МКС рассчитывается как:
N
Fi M d (d ( DT )) * C
NF
DN
.
(2.15)
81
В результате, в общем виде значение Fi – искомого показателя МКС с
учетом свойств фрактальности определяется следующим образом:
Fi N c DT
( d ( DT )
N
* c
NF
ln N c
)
DT 0 ln DT
( lim
.
(2.16)
Таким образом, определив удельное значение показателя Md (d,DT) для
отдельного узла или кластера, например, с использованием многофакторной
регрессионной модели, и с учетом свойств фрактальности МКС получаем
прогнозное значение показателя Fi для полной МКС:
Nc
Fi M d (d ( DT )) *
NF
ln N c
)
DT 0 ln DT
( lim
.
(2.17)
Основным преимуществом данной модели является то, что она позволяет
адекватно
оценить
показатели,
характеризующие
распределенную
мультикомпьютерную систему.
2.3. Фрактально-сигмоидальные модели оценки надежности и уровня
защищенности МКС
Для оценки показателей надежности и уровня защищенности МКС на
уровне одного кластера предлагается следующий подход. На первом этапе,
на основе экспериментальных данных рассчитываются коэффициенты
функции
множественной
регрессии
и
формируются
регрессионные
зависимости для соответствующих показателей. Далее, ввиду того, что
показатели надежности и защищенности
фактически нормируются на
интервале от 0 до 1, то для описывающей их дескриптивной модели целесообразно использовать специальную многофакторную функцию принадлежности, которая позволит качественно или количественно установить значение
соответствующего показателя на конкретном интервале наблюдения. В
качестве многофакторной функции принадлежности для
показателей
82
надежности
и
защищенности
вводится
специальная
функция
принадлежности на основе сигмоидальной функции.
В общем случае, на показатели надежности, в частности, вероятность
безотказной работы МКС, и уровня защищенности МКС оказывают влияние
следующие исходные параметры (факторы):
Для показателя надежности:
x1 – число основных узлов;
x2 – число подканалов связи;
x3 – число параллельных топологических каналов;
x4 – число резервных узлов;
x5 – число резервных каналов связи.
Для показателя уровня защищенности:
x1 – число основных узлов;
x3 – число параллельных топологических каналов;
x6 – число активных средств защиты;
x7 – число средств мониторинга безопасности.
Тогда выражение для регрессионной оценки надежности МКС в данном
случае имеет вид:
регрес
M надеж
rc11 x1 rc12 x2 rc13 x3 rc14 x4 rc15 x5
,
(2.18)
а для регрессионной оценки уровня защищенности МКС:
регрес
M безоп
rc21x1 rc23 x3 rc26 x6 rc27 x7
.
(2.19)
Далее, многофакторная функция принадлежности имеет вид:
для показателя надежности:
M надеж 1
1
1 e( rc11x1 rc12x2 rc13x3 rc14x4 rc15x5 )
,
(2.20)
для показателя уровня защищенности:
M безоп 1
1
1 e( rc2 1x1 rc2 2x2 rc2 6x6 rc2 7x7 )
.
(2.21)
83
В соотношениях (2.20) и (2.21) rc11 , rc12 , rc13 , rc14 , rc15 - коэффициенты
регрессии для показателя надежности, rc21 , rc22 , rc26 , rc27 - коэффициенты
регрессии для показателя уровня защищенности.
Графически многофакторная функция принадлежности для показателей
надежности и уровня защищенности имеет общий вид (Mпринадл), показанный
на рис. 2.1.
1,2
Мпринадл
1
0,8
0,6
0,4
0,2
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
rci1x1 + rci2x2 +…+rcinxn
Рис. 2.1. Семейство многофакторных функций принадлежности при
различных значениях показателя степени экспоненты e: (rci1x1 + rci2x2
+…+rcinxn)
Следует отметить, что в этом случае при формировании требований к
надежности и защищенности МКС возможно использование как качественных, так и количественных характеристик. Например, задав значения
функции надежности и уровня защищенности на интервалах получим:
0.0…0.2 – очень плохо;
0.2…0.4 – плохо;
0.4…0.6 – удовлетворительно;
0.6…0.8 – хорошо;
0.8…1.0 – отлично.
84
Пример формирования модели оценки надежности функционирования МКС.
Рассмотрим практическое формирование модели оценки надежности
МКС. Представим в табл. 2.2 следующие исходные параметры, влияющие на
надежность МКС.
Таблица 2.2
Исходные параметры, влияющие на надежность МКС в контексте модели
x1
x2
x3
x4
x5
Mi
10
10
1
0
0
0.5
20
30
5
3
5
0.54
25
35
7
5
7
0.61
30
37
8
9
9
0.73
35
40
10
12
15
0.8
Фактически, требуется найти решение системы уравнений:
10rc11 + 10rc12 + rc13 = 0.5
20rc11 + 30rc12 + 5rc13 + 3rc14 + 5rc15 = 0.54
25rc11 + 35rc12 + 7rc13 + 5rc14 + 7rc15 = 0.61
30rc11 + 37rc12 + 8rc13 + 9rc14 + 9rc15 = 0.73
35rc11 + 40rc12 + 10rc13 + 12rc14 + 15rc15 = 0.8
.
(2.22)
Данная система уравнений имеет единственное решение в виде
регрессионных коэффициентов для линейной функции:
rc11 = 0.0713; rc12 = – 0.0136; rc13 = – 0.0771; rc14 = 0.0339; rc15 = 0.0017
Тогда выражение для оценки надежности функционирования МКС в
данном случае имеет вид:
регрес
M надеж
0.0713x1 0.0136 x2 0.0771x3 0.0339 x4 0.0017 x5 . (2.23)
Далее, выражение для оценки надежности МКС с использованием
функции принадлежности в данном случае имеет следующий вид:
M надеж 1
1
1 e( 0.0713x1 0.0136x2 0.0771x3 0.0339x4 0.0017x5 )
. (2.24)
85
Пример формирования модели оценки уровня защищенности МКС на
основе экспериментальных данных приведен в Разделе 8.
Представим метод определения показателей надежности и уровня
защищенности компьютерных систем на основе фрактально-сигмоидальной
модели.
На первом этапе выделяются те исходные переменные (факторы),
которые оказывают существенное влияние на показатели надежности и
уровня
защищенности
МКС.
Далее
формируются
регрессионные
зависимости для соответствующих показателей – строится модель на основе
сигмоидальной функции для оценки соответствующего показателя. В МКС
выделяются следующие фрактоиды: узлы или локальные кластеры узлов.
Вначале для фрактоидов рассчитываются показатели, характеризующие
компьютерную систему, в частности: надежность функционирования и
уровень защищенности. Далее данные показатели оцениваются для полной
топологии мультикомпьютерной системы с использованием фрактального
подхода: оценивается фрактальная размерность сети, и затем осуществляется
переход от показателей, характеризующие узел или локальный кластер к
показателям, характеризующим всю распределенную мультикомпьютерную
систему.
Таким образом, определив значения надежности и уровня защищенности
Md(d,DT) для отдельного узла или кластера с использованием многофакторной регрессионной модели с учетом свойств фрактальности МКС получаем
прогнозное значение показателя Fi для полной МКС:
N
Fi M d ( DT , d ) * c
NF
DN
.
(2.25)
Следует отметить, что важным преимуществом данной модели является
то, что она позволяет адекватно оценить показатели, характеризующие
распределенную мультикомпьютерную систему.
86
2.4.
Комплексная
модель
получения
оптимальных
значений
показателей, характеризующих МКС
Используя полученные выше модели оценки и прогнозирования
показателей интенсивности передачи данных, надежности и уровня
защищенности
МКС
сформируем
интегральную
нормативную
(т.е.
предназначенную для нахождения оптимального состояния объекта) модель
для получения оптимальных значений базовых показателей МКС.
Сформулируем цель оптимизации:
данных,
соовествующий
следующим
определить маршрут передачи
критериям:
максимизировать
интенсивность передачи данных, минимизировать число маршрутизаторов в
цепочке, при этом надежность и уровень защищенности узлов на данном
маршруте должны быть не ниже критичных значений.
В качестве целевых функций выделим регрессионный полином,
описывающий интенсивность передачи данных
rcnxn и число маршрутизаторов в цепочке:
F1 = rc1x1 + rc2x2 + … +
F2 =x1. В качестве условий
(ограаничений) выделим нахождение показателей надежности и уровня
защищенности на значениях, не ниже заданных (критичных).
Задача многокритериальной оптимизации в общем виде формулируется
следующим образом [156, 159]:
Пусть заданы целевые функции: f1(x1,x2, ..., xn), f2(x1,x2, ..., xn ), .... fm(x1,x2,
..., xn), при этом первые k функций необходимо максимизировать ,а
следующие l – минимизировать.
На
вектор
управляющих
переменных
x1,x2,...,xn
накладываются
ограничения:
g1(x1,x2, ..., xn) ≥ 0
g2(x1,x2, ..., xn) ≥ 0
..................
gp(x1,x2, ..., xn) ≥ 0 .
Задача многокритериальной оптимизации состоит в поиске вектора
целевых переменных, удовлетворяющего наложенным ограничениям и
87
оптимизирующего векторную функцию, элементы которой соответствуют
целевым функциям, которые образуют математическое описание критерия
удовлетворительности и, как правило, взаимно конфликтуют, следовательно,
процесс оптимизации состоит в поиске такого решения, при котором
значение целевых функций являются приемлемыми для удовлетворения
исходных требований [158, 159] .
При расчете оптимальных значений показателей, характеризующих МКС
возможны два варианта решения [160]:
1. оптимальное решение – набор значений X = (x1, x2, ... , xn), при котором
целевая
функция
принимает
максимальное
значение.
В
случае
неограниченности целевой функции оптимальное решение может не
существовать.
2. допустимое решение (оптимальное по Парето) – набор значений X =
(x1,x2,...,xn), удовлетворяющих исходным ограничениям. Является альтернативным в случае отсутствия оптимального решения.
Интегральная модель для получения оптимальных показателей
МКС
приобретает вид:
Mпд = rc11x1 + rc12x2 + rc13x3 max
Nмаршр = x1 min
M надеж 1
1
M надеж _ крит (2.26)
1 e( rc21x1 rc22x2 rc23x3 rc24x4 rc25x5 )
M безоп 1
1
1 e
( rc31x1 rc32x2 rc36x6 rc37 x7 )
M безоп_ крит
.
Полученные оптимальные или оптимальные по Парето решения по
значениям показателей фактически соответствуют определенному фрактоиду
МКС. Однако, с учетом свойств фрактальности МКС, возможно получение
прогнозных
значений
показателей
интенсивности
надежности и защищенности при рассчитанных
передачи
данных,
оптимальных или
88
оптимальных по Парето решений по значениям показателей
для полной
МКС.
Таким образом, определив значение показателя Md (d,DT) для отдельного
узла или кластера с использованием многофакторной регрессионной модели
с учетом свойств фрактальности МКС получаем прогнозное значение
показателя Fi для полной МКС:
N
Fi M d ( DT , d ) * c
NF
DN
.
(2.27)
Известен ряд методов решения данной задачи многокритериальной
оптимизации [161].
Интерактивный
Решение
задачи
многокритериальной
оптимизации
происходит
с
участием эксперта— человека, который выбирает и принимает решения на
основе
информации,
представленной
системой
поддержки
принятия
решений. Возможно участие группы из нескольких экспертов.
Метод исследования пространства параметров
Метод основан на построении оптимального или оптимального по Парето
множеств решений, он позволяет решать задачи проектирования и
идентификации. Компромиссным решением многокритериальной задачи
является такое эффективное решение X, для которого взвешенные
относительные затраты одинаковые и минимальные, т.е. [161]
1W1 ( X ) 2W2 ( X ) ... vmWm ( X ) k0 min .
(2.28)
Эволюционный метод
Решение
задачи
многокритериальной
оптимизации
основано
на
разделении множества элементов на подгруппы одинакового размера
(subpopulations),
каждая
из
которых
соответствует
конкретной
оптимизируемой функции [161]. Отбор производится отдельно для каждой
функции, при этом операция объединения выполняется без учета границ
подгрупп [161].
89
Алгоритм многокритериальной оптимизации на практике реализован, в
частности, в программе FlexTool [162]. Отбор выполняется т.н. турнирным
методом, при этом наилучший элемент в каждой подгруппе выбирается на
основе функции приспособленности, уникальной для данной подгруппы
[162]. Схема данного отбора при оптимизации двух функций представлена
на рис. 2.2; на этом рис. F1 и F2 -- 2-е различные функции приспособленности [162].
N элементов из
набора P(k)
Подгруппа 1
2 элемента
Подгруппа 2
2 элемента
Расчет значения
F1 для элементов
из подгруппы 1
Расчет значения
F2 для элементов
из подгруппы 2
Выбор одного из
наилучших элементов
из подгруппы 1
Выбор одного из
наилучших элементов
из подгруппы 2
Базовый набор пул
M(k) и N
элементов
Рис. 2.2. Схема турнирного отбора в случае многокритериальной
оптимизации по двум функциям
Наилучший элемент из каждой подгруппы смешивается с другими
элементами, и все генетические операции выполняются аналогично такой же
90
процедуре, как и в генетическом алгоритме для оптимизации одной функции.
[162] Схема (рис. 2.2) может быть распространена на произвольное количество оптимизируемых функций, при этом FlexTool обеспечивает одновременную оптимизацию четырех функций [162].
2.5. Выбор механизмов получения начального базисного решения и
сужения области оптимальных по Парето решений для оптимизационных моделей
Рассмотрим вопросы получения начального базисного решения и
сужения области оптимальных по Парето решений в задачах оптимизации
показателей, характеризующих МКС.
Механизм
получения
начального
базисного
решения
и
набора
оптимальных по Парето решений в задачах оптимизации базируется на
введении искусственных переменных [163]:
1. В систему исходных уравнений и неравенств добавляются т.н.
искусственные переменные по одной на каждое уравнение и неравенство.
2. Неравенства преобразуются в равенства.
3. Основным переменным присваиваются значения 0, а искусственные
переменным -- значения, соответствующие результатам соответствующих
равенств и неравенств. Формируется начальное базисное решение.
4. Итерационно выполняется изменение основных и искусственных
переменных
начального
базисного
решения
(комплексно
или
дифференциально). При этом значения основных переменных положительно
инкрементируются, а значения искусственных переменных сводятся к 0.
5. Полученные на каждом шаге оптимальные по Парето решения
проверяются на соответствии критериям оптимальности: если решение
соответствует, то работа алгоритма завершена; если нет, то выполняется
переход к пункту 4.
После получения полного набора оптимальных по Парето решений их
множество сужается для получения наиболее оптимальных решений по
91
определенным критериям. Для выполнения данной процедуры разработан
ряд методов и механизмов [164].
Все множество потенциальных решений сужается до множества
оптимальных по Парето решений с учетом существующих ограничений, при
этом процедура сужения множества решений начинается еще на этапе
формирования исходного множества. В результате, множество оптимальных
по Парето решений сужается до множества эффективных решений с
помощью
предпочтительных стратегий получения наилучших решений
[164]. Решение является эффективным в том случае, если нет более
предпочтительного, а множество эффективных решений формируют множество Парето, при этом все эффективные решения между собой эквивалентны
и ни одно из них не является наиболее предпочтительным [164]. В частном
случае множество эффективных решений может содержать только одно
решение или же, наоборот, полностью совпадать с множеством оптимальных
по Парето решений.
Сужение множества оптимальных по Парето решений до множества
эффективных повышает качество решений. Количественно степень сужения
множества решений оценивается коэффициентом определенности выбора
[164]:
K constr
cd ce
cd 1
,
(2.29)
где cd - количество оптимальных по Парето решений (мощность множества
оптимальных по Парето решений); ce - количество эффективных решений
(мощность множества эффективных решений).
Если Kconstr = 1, то множество эффективных решений содержит одно
решение (ce= 1), которое и является оптимальным, если Kconstr = 0, т.е. ce = cd
то сужения оптимальных по Парето множества не произошло [164].
Различают три вида стратегий выбора решений: пессимистическую,
оптимистическую и рациональную. Представим типовые критерии выбора
оптимального решения для трех видов стратегии выбора решений [164].
92
Поставим в соответствие каждому решению Si коэффициент важности
решения ωi. Тогда общее правило выбора оптимального решения по всем
критериям представляется в универсальном виде [164]:
S * extr{i } , i=1,m .
i
Фактически, из множества значений ωi
(2.30)
выбирается экстремальное
значение и по его индексу определяется оптимальное из возможных решений
с учетом того, что номер решения совпадает с индексом коэффициента
важности решения [164].
Целесообразно коэффициенты важности решений рассчитать таким образом, что большее значение коэффициента соответствует лучшему решению.
Тогда нахождению экстремума соответствует операция нахождения максимума [164]:
S * min {i } i=1,m .
i
Выражение (2.31) позволяет среди множества значений ωi
(2.31)
найти
наибольшее число и по его индексу определить оптимальное решение.
Различным стратегиям поведения при выборе решений соответствуют
различные критерии [164].
Критерий пессимизма (критерий Вальда) соответствует осторожной
стратегии поведения [164]. При применении данного критерия не проводится
оценка
вероятности возникновения конкретных ситуаций, что позволяет
использовать его даже в том случае, если эти вероятности неизвестны [164].
При использовании данного критерия для выбора оптимального решения
коэффициенты важности решений определяются по следующему алгоритму.
Пусть имеются оценки наилучших решений по каждой j-й ситуации, при
этом коэффициент важности i-гo решения фактически отвечает наихудшему
значению функции предпочтения по всем ситуациям [164]. Функция
предпочтения нормируется так, что наилучшему значению предпочтения
соответствует наибольшее число, например 1, а наихудшему значению --
93
наименьшее значение, например 0. Тогда расчет коэффициентов важности
решения выполняется как [164]:
i min f ij i=1,m ,
j
(2.32)
где fij - функция предпочтения i-гo решения в j-ой ситуации.
С учетом правила выбора решения (2.30) и выражения (2.31), представим
правило нахождения оптимального решения по критерию пессимизма [164]:
S * max min { fij }
i
j
.
(2.33)
В соответствии с (2.33) последовательно для каждого решения находится
минимальное
значение
функции
предпочтения
во
всех
возможных
ситуациях, а далее среди полученных значений находится максимальное,
номер которого и определяет оптимальное решение.
Критерий максимума среднего выигрыша (критерий Байеса-Лапласа)
соответствует рациональной стратегии [164]. В этом случае анализируются
вероятности возникновения возможных ситуаций и решается задача выбора
оптимального решения в условиях риска [164]. Общее правило выбора
решения (2.30) или (2.31) корректно и для данного критерия. Фактически,
коэффициенты важности решений при использовании данного критерия
отражают усредненный выигрыш, получаемый при каждом решении по всем
ситуациям [164].
В том случае, если предпочтения по решениям на множестве ситуаций
нормируются на интервальной шкале, то усредненный выигрыш по каждому
решению рассчитывается как первый центральный момент [164]:
n
i p j fij i=1,m ,
j 1
(2.34)
где pj - вероятность возникновения j-й ситуации, fij - значение функции
предпочтения i-гo решения в j-й ситуации.
В результате, правило выбора оптимального решения есть процесс
нахождения максимума/минимума среднего результата [164]:
p f
n
S * max min
i
Критерий
пессимизма
-
94
i
j ij
j 1
оптимизма
.
(2.35)
(критерий
Гурвица)
также
соответствует рациональной стратегии выбора решений, при этом использование данного критерия не требует анализа вероятностей возникновения
конкретных ситуаций [164]. Фактически, этот критерий представляет собой
комбинацию критериев пессимизма и оптимизма, при этом правило выбора
оптимального решения по критерию пессимизма - оптимизма имеет вид [164]:
S * max h min f ij (1 h) max f ij ,
j
i
j
(2.36)
где fij - значения функции предпочтений при оценке i-гo решения в j-й
ситуации, нормированные так, что более предпочтительным решениям
соответствует большее значение критерия; h - коэффициент веса пессимизма
в диапазоне 0 < h < 1, причем при h=0 - критерий оптимизма, при h=l
соответственно -- критерий пессимизма. Выбор значения коэффициента веса
пессимизма выполняется на основе экспертных оценок [164].
В задачах принятия решений выполняется анализ полученных решений
одновременно по ряду показателей, при этом конкретизация целей
осуществляется путем введения совокупности показателей достижения
целей, которые должны быть представлены в виде рациональных значений.
Критерий выбора оптимального решения соответствует экстремальной
степени
показателей
достижения
максимальные/минимальные
цели,
значения
т.е.
представляет
показателей.
Данная
собой
задача
представляет собой многокритериальный выбор, а при наличии группы
экспертов -- групповой многокритериальный выбор [164].
Рассмотрим детальнее механизм нахождения эффективных решений при
многокритериальном выборе. Пусть имеется множество оптимальных по
Парето решений Sд = (S1, …., Sm) и множество показателей x1, x2, …, xq. В
качестве показателей могут использоваться, например, показатели степени
достижения целей, такие как: интенсивность передачи данных, надежность,
95
защищенность и т.д. в качестве результатов решений. Для каждого i-го
решения определяется вектор значений показателей (xi1, xi2,…,xiq.). В соответствии с принципом Парето решение Si предпочтительнее решения Sj если
выполняется векторное отношение [164]:
(xi1, xi2,…,xiq.) ≥ (xj1, xj2,…,xjq.) .
(2.37)
Выполнение векторного отношения означает выполнение неравенств [164]:
xih ≥ xjh, h = 1, q
,
(2.38)
где i - номер решения Si: j-номер решения Sj: h - номер показателя. Данные
неравенства должны выполняться для всех h, кроме, по крайней мере, одного
номера t, для которого должно выполняться строгое неравенство [164].
Таким образом, одно решение предпочтительнее другого, если все значения
показателей
первого
решения
не
хуже
значений
соответствующих
показателей второго решения и, по крайней мере, для одного показателя есть
однозначное предпочтение [164].
На заключительном этапе процедуры выбора решений выделяется
единственное решение, которое выбирается из множества эффективных
решений. Существуют ряд альтернативных вариантов выбора решений [163].
В том случае, если имеет место линейная зависимость функции
группового выбора от индивидуальных предпочтений, то предпочтения
описываются коэффициентами важности решений ωie, где i -номер решения,
e - номер эксперта из группы или номер показателя качества решения (в
случае векторной оптимизации) [164]. Линейная функция группового
предпочтения представляется как [164]:
d
F (ie ) keie
ie1
,
(2.39)
где ke - коэффициенты весов мнений экспертов или коэффициенты весов
показателей; d - количество экспертов или количество показателей.
При
нормированном измерении
значений
предпочтений
решений
коэффициенты важности решений ωie рассчитываются как [164]:
ie f e ( S i ) ,
(2.40)
96
и линейная функция группового предпочтения равна:
d
F ( f ) ke f e ( Si ) .
(2.41)
e1
Далее, оптимальное решение определяется как максимум данной суммы
по всем эффективным решениям [164]:
d
S * max ke f e ( Si ) .
i
(2.42)
e1
Известен ряд методов, позволяющих определять оптимальное решение
как при полном, так и при частичном упорядочении коэффициентов весов и
предпочтений решений.
Выводы к Разделу 2
2.1. Предложена дескриптивная модель оценки интенсивности передачи
данных в мультикомпьютерных системах на основе фрактально-регрессионного механизма. Определены условия применения предложенной модели с
учетом особенностей организации распределенных МКС, для которых
данная модель позволяет адекватно оценить искомый показатель. Показано,
что предложенная модель позволяет учесть произвольное число исходных
переменных (факторов), а также определить влияние каждого фактора в
отдельности и их совокупного воздействие на оцениваемый базовый
показатель, в данном случае на интенсивность передачи данных в сети.
2.2
Показано,
что
топология
распределенной
МКС
состоит
из
фрактоидов: узлов или локальные кластеров, что позволяет определить
показатели, характеризующие МКС на основе фрактального подхода.
Предложено
для
фрактоида
рассчитывать
базовые
показатели
мультикомпьютерной системы: интенсивность передачи данных в каналах
связи, надежность функционирования, уровень защищенности, а далее эти
показатели рассчитывать для полной топологии МКС, для чего оценивается
фрактальная размерность сети и осуществляется переход от показателей
фрактоида к
системы.
показателям всей
распределенной
мультикомпьютерной
97
2.3.
Предложена дескриптивная модель и метод оценки показателей
надежности и уровня защищенности МКС на основе фрактального подхода.
Показано, что для описания нормированных показателей надежности и
защищенности целесообразно использовать специальную многофакторную
функцию принадлежности на основе сигмоидальной функции, которая
позволяет
качественно
или
количественно
установить
значение
соответствующего показателя на определенном интервале наблюдения.
После получения значения показателей надежности и уровня защищенности
для фрактоида, с использованием фрактального подхода проводится расчет
данных показателей для полной топологии МКС. Важным преимуществом
данной модели является то, что она позволяет адекватно оценить показатели,
характеризующие распределенную мультикомпьютерную систему.
2.4. Предложена интегральная модель получения оптимальных значений
показателей интенсивности передачи данных, надежности и уровня
защищенности МКС, которая позволяет выбрать наиболее эффективный
режим функционирования МКС. Показано, что данная модель позволяет
получить либо оптимальное решение, при котором целевая функция
принимает свое максимальное значение, либо оптимальное по Парето
решение как набор значений удовлетворяющих ограничениям задачи.
Полученные оптимальные или оптимальные по Парето значения
показателей фактически соответствуют определенному
фрактоиду МКС.
Показано, что с учетом свойств фрактальности МКС возможно получение
прогнозных
значений
показателей
интенсивности
передачи
данных,
надежности и защищенности при выбранных оптимальных значениях
показателей для полной топологии МКС.
2.5. Рассмотрены вопросы получения начального базисного решения и
сужения области оптимальных по Парето решений в задачах оптимизации.
Показано, что механизм получения начального базисного решения и
получения набора оптимальных по Парето решений в задачах оптимизации
базируется на введении искусственных переменных.
98
Показано, что после получения полного набора оптимальных по Парето
решений их множество необходимо сузить для получения лишь наиболее
оптимальных решений по определенным критериям. Множество оптимальных по Парето решений сужается до множества эффективных решений на
основе анализа предпочтительных стратегий получения наилучших решений.
Выделены
три
стратегии
выбора
решений:
пессимистическая,
оптимистическая и рациональная. Представлены типовые критерии выбора
оптимального решения для трех видов стратегии выбора решений. Критерий
выбора оптимального решения формируется как экстремальная степень
показателей
достижения
максимальные/минимальные
цели,
значения
т.е.
представляет
показателей.
Данная
собой
задача
представляет собой многокритериальный выбор, а при наличии группы
экспертов -- групповой многокритериальный выбор.
99
РАЗДЕЛ 3.
ИССЛЕДОВАНИЕ И АДАПТАЦИЯ МЕТОДОВ КОММУТАЦИИ В МУЛЬТИКОМПЬЮТЕРНЫХ СИСТЕМАХ НА ОСНОВЕ МНОГОКАНАЛЬНЫХ СРЕД
3.1. Исследование и адаптация базовых методов коммутации для мультикомпьютерных систем на основе многоканальных сред
3.1.1. Адаптация метода коммутации каналов связи.
Известно, что классические механизмы передачи данных и управления
трафиком на различных уровнях модели OSI/ISO (канальном, сетевом, транспортном) ориентированы на системы передачи данных на основе одного кАнала [165 - 168]. Реализация многоканальных сред передачи данных позволяет потенциально существенно повысить интенсивность передачи данных,
при этом классические механизмы передачи данных, управления трафиком и
перегрузкой оказываются неэффективными, поскольку их применение вызывает проблему взаимной блокировки потоков данных в МКС на основе многоканальных сред передачи данных, в результате чего значительно снижается интенсивность передачи данных. Таким образом, классические механизмы передачи данных для МКС на основе многоканальных сред требуют их
адаптации и модификации к среде передачи данных, в частности, на основе
интеграции механизмов конвейеризации и параллелизма при передаче данных в единой среде.
Рассмотрим вопросы адаптации основных методов коммутации для
распределенных компьютерных систем (КС) с многоканальными средами
передачи данных. Проведем анализ параметров наиболее распространенных
методов коммутации, при этом будем считать, что время передачи данных
рассчитывается для Ld - битовых данных, а ширину канала передачи данных
LTC бит, которая, в свою очередь равна ширине внутреннего канала передачи
данных в маршрутизаторах [165-168]. Заголовок пакета равен 1 флит, а общий размер данных равен: Ld + LTC бит. Маршрутизатор принимает решение
100
по передаче пакета за 1 цикл, и, следовательно, флит проходит через маршрутизатор или канал связи также за один цикл, как показано на рис. 3.1 [168,
169].
Заголовок пробного
пакета
Подтверждение
Данные
tb+tr
tb+ts+tr tc
tданные
tустановка
Время обработки
Рис. 3.1. Метод коммутации каналов связи для МКС с одноканальными
связями для цепочки из 2-х маршрутизаторов (MStSc)
Здесь: ts -
время, затрачиваемое
на определение выходного порта
маршрутизатора для передачи данных, tb - время входного буферирования, tr
- время передачи бит через маршрутизатор, tc - время передачи бит через
канал связи, соответственно, пробным пакетом и пакетом подтверждения.
В методе коммутации каналов связи для передачи данных резервируется
физический путь от интерфейса источника к интерфейсу приемника, после
чего источник запускает т.н. пробный пакет. Пробный пакет направляется к
приемнику в соответствии с протоколом маршрутизации, и в процессе продвижения резервирует физические каналы и порты маршрутизатора на выделенном пути. Для подтверждения факта выделения пути исходному узлуисточнику возвращается подтверждение о доставке [168, 169].
Недостатки данного метода заключаются в том, что выделенные каналы
связи и порты маршрутизаторов на некоторый интервал времени блокируют
другие потоки данных, которым требуются те же ресурсы, как и для выделенного канала связи, в частности, пробный пакет может быть заблокирован в
101
процессе ожидании освобождения канала связи [168, 169].
Каналы связи,
ранее занятые пробным пакетом аналогично блокируют создание других
каналов.
Параметр времени передачи данных при коммутации каналов определяется как сумма времени создания путей (маршрутов) и времени передачи
данных. Для канала, который проходит к приемникам через m маршрутизаторов время передачи данных рассчитываются как [168]:
tканал m *[t s 2(tb tr tc )] tданные .
(3.1)
Процесс определения выходного порта взаимно совмещается с процессом
запроса и выделения порта маршрутизатора и поэтому время формирования
пути не учитывается в выражении (3.1). Коэффициент 2 в выражении (3.1)
отражает тот факт, что пробный пакет и пакет подтверждения передаются в
обе стороны по одному и тому маршруту. Заметим, что пакет подтверждения
не маршрутизируется, и, следовательно, для него отсутствует задержка
маршрутизации на промежуточных маршрутизаторах [168]. Временная
диаграмма на рис. 3.1 описывает процедуры формирования и настройки
каналов связи, которые проходят через два маршрутизатора.
Коммутация каналов, как правило, более эффективна в том случае, когда
данные передаются с низкой интенсивностью и являются относительно
длинными по сравнению с размером пробных пакетов. После первичного
формирования пути следования, последующие блоки данных в этом
направлении передаются без задержек на формирование пути, при этом
также повышается межузловая интенсивность передачи данных, поскольку
после создания пути следования данных не маршрутизируются и не
блокируются в сети [168 – 175].
Вариант реализации коммутации каналов для многоканальных связей
приведен на рис. 3.2. В этом случае единый канал связи подразделяется на N
независимых подканалов, например, на основе частотного принципа
разделения, и по каждому из них данные передаются независимо друг от
102
друга (на определенной частоте). При этом перед передачей следующего
пакета в маршрутизаторе формируется задержка передачи, которая рассчиты-
Рис. 3.2. Метод коммутации каналов связи для МКС с многоканальными
связями (MStPc)
вается как:
tnext = tsp +tdmux+ tb+ts+tr+tmux ,
(3.2)
где tsp – время, затрачиваемое оптическим разветвителем (сплиттером), tdmux
– время демультиплексирования каналов, tmux – время мультиплексирования
103
каналов. В результате, параметр времени передачи данных при коммутации
каналов при многоканальных связях определяется как:
t канал t s (m 1)(t sp t dmux tb t r t s t mux ) t mux tданные ,
(3.3)
где m – число маршрутизаторов в цепочке.
Далее, рассмотрим варианты адаптации метода коммутации каналов для
МКС с множественными топологическими связями. На рис. 3.2 и далее на
рис. 3.3 –3.24 координатные оси имеют следующие значения: FD – разделение канала на подканалы по частоте, TPL – топологическое пространство, t –
время.
MPtSc – метод коммутации каналов при топологических одноканальных
связях.
Рис. 3.3. Метод коммутации каналов при топологических одноканальных
связях для цепочки из 2-х маршрутизаторов (MPtSc)
104
Параметр времени передачи данных при коммутации каналов при
топологических одноканальных связях определяется как сумма времени
создания путей (маршрутов) и времени передачи данных. Для каналов, которые проходят к приемникам через m маршрутизаторов и k
параллельных
топологических каналов время передачи данных рассчитываются как:
t канал m * [t s 2 * (tb t r t c )] t данные / k .
(3.4)
MPtC – метод коммутации каналов при топологических многоканальных
связях в одном канале.
Рис. 3.4. Mетод коммутации каналов при топологических многоканальных
связях в одном канале для цепочки из 2-х маршрутизаторов (MPtC)
В результате, параметр времени передачи данных при коммутации каналов при топологических многоканальных связях в одном канале
определяется как:
105
t канал t s (m 1)(t sp t dmux tb t r t s t mux ) t muxtданные / k ,
(3.5)
где m – число маршрутизаторов в цепочке, k – число параллельных
топологических каналов.
MPtPc – метод коммутации каналов при топологических многоканальных
связях на основе многожильной волоконно-оптической линии связи.
Рис. 3.5. Метод коммутации каналов при топологических многоканальных
связях на основе многожильной волоконно-оптической линии связи (MPtPc)
В результате, параметр времени передачи данных при коммутации
каналов
при
топологических
многоканальных
связях
на
основе
многожильной волоконно-оптической линии связи определяется как:
t канал t s (m 1) * (tb t r t s )) t данные / k
.
(3.6)
106
На рис. 3.6 показаны графические зависимости времени передачи данных
(в временных тактах T) по каналу связи от источника к приемнику в
зависимости от числа m маршрутизаторов в цепочке для различных случаев
коммутации каналов для МКС с одноканальными и многоканальными связями. При построении графических зависимостей принято, что: ts = 1 временной такт (Т), tb = 2 Т, tr = 1Т, tc =1Т, tsp = 0,2T, tdmux = 1T, tmux = 1T, tданные =10Т
и результат представлен во временных тактах.
T, такт
1, 3
2, 4
5
m
Рис. 3.6. Время передачи данных в зависимости от числа маршрутизаторов
(m) в цепочке по методу коммутации каналов для МКС с одноканальными
связями (1), с многоканальными связями (2), коммутации каналов при
топологических одноканальных связях (3), коммутации каналов при
топологических многоканальных связях в одном канале (4), коммутации
каналов при топологических многоканальных связях на основе
многожильной волоконно-оптической линии связи (5)
Как видно из рис. 3.6, наиболее эффективной оказывается коммутация
каналов для мультикомпьютерных систем с многоканальными связями при
топологических
многоканальных
связях
на
основе
использования
многожильной волоконно-оптической линии связи, которая обеспечивает
107
снижение времени передачи одинаковых массивов данных для данного
случая в среднем в 1,35 раза по сравнению с другими реализациями
коммутации каналов для МКС с многоканальными связями.
3.1.2. Адаптация метода коммутации пакетов
В методе коммутации каналов процессы маршрутизации и передачи
данных четко разделены. Все маршрутизаторы на пути следования пакета от
источника к приемнику определяются заранее и все передающиеся в пакетах
пользовательские данные полностью занимают полосу пропускания канала.
В методе коммутации пакетов данные разделяются на блоки одинаковой
длины. Первые несколько байт формируют заголовок пакета, который
содержит информацию по маршрутизации и управляющую информацию, а
пользовательские данные находятся в теле пакета. Каждый пакет передается
по сети отдельно, а управление потоком данных между маршрутизаторами
выполняется на уровне полных пакетов [165 – 168].
Пакет не может быть переслан в том случае, если буферное пространство
для пакета не доступно на следующем маршрутизаторе, в противоположном
случае, полный пакет передается по каналу связи во входной буфер
следующего маршрутизатора [165 - 168].
Пример реализации метода коммутации пакетов показан на рис. 3.7 [168].
Данные
пакета
Канал связи
Заголовок
пакета
tb+ts+tr tc
tпакетная
Время обработки
Рис. 3.7. Метод коммутации пакетов для МКС с одноканальными связями
(PStSc)
108
Время
передачи
данных
через
маршрутизаторы
в
этом
случае
оценивается как [168]:
tпакетная m *[ts (tb tr tc ) * ( LM / LTC )]
если Ld = 10LTC , то:
tпакетная m *[ts 10 * (tb tr tc )] .
(3.7)
Методы коммутации пакетов получили определенное развитие в
настоящее время [168 -175]. По сравнению с методом коммутации каналов,
метод коммутации пакетов является более эффективным в том случае, если
средний размер передаваемых данных достаточно мал. Ввиду того, что
пакеты захватывают ресурсы только тогда, когда они передаются по сети,
этот метод коммутации позволяет повысить интенсивность передачи данных
в канале передачи данных в сети. Пакетная коммутация также поддерживает
локальные методы обнаружения ошибок и восстановление данных после
сбоев, поскольку все данные и информация по маршрутизации инкапсулируются в виде единого блока бит [168].
Варианты реализации коммутации каналов для многоканальных связей
приведен на рис. 3.8 – 3.9.
В этом случае единый канал связи подразделяется на N независимых
подканалов, например, на основе частотного принципа разделения, и по
каждому из них данные передаются независимо друг от друга (на
определенной частоте).
Параметр времени передачи данных при коммутации пакетов при
многоканальных связях определяется как:
tпакетная m *[ts (tsp tdmux tb tr tc tmux ) * ( LM /(с * LTC ))]
если Ld = 10LTC и с = 20, то:
tпакетная m *[ts 0.5 * (tsp tdmux tb tr tc tmux )]
где m – число маршрутизаторов в цепочке, с – число
подканалов в режиме разделения частот в одном канале.
. (3.8)
параллельных
109
Рис. 3.8. Метод коммутации пакетов для МКС с многоканальными связями (PStC)
PStPc – метод коммутации пакетов при многоканальных связях на основе
многожильной волоконно-оптической линии связи (рис.3.9)
Рис. 3.9. Mетод коммутации пакетов при многоканальных связях на
основе многожильной волоконно-оптической линии связи (PStPc)
110
Параметр времени передачи данных при коммутации пакетов при
многоканальных связях на основе многожильной волоконно-оптической
линии связи определяется как:
t пакетная m *[(t s tb t r t c ) * ( LM /(с * LTC ))] , если Ld = 10LTC и с = 20 то:
t пакетная m * [0.5 * (t s tb t r t c )]
.
где m – число маршрутизаторов в цепочке, с – число
(3.9)
параллельных
подканалов в режиме разделения частот в одном канале.
Далее, рассмотрим адаптацию метода коммутации пакетов для МКС с
множественными
топологическими
связями.
Возможны
следующие
варианты.
PPtSc – метод коммутации пакетов при топологических одноканальных
связях (рис. 3.10)
Рис. 3.10. Метод коммутации пакетов при топологических одноканальных
связях (PPtSc)
Параметр времени передачи данных при коммутации пакетов при
топологических одноканальных связях определяется как:
111
t пакетная m * [t s (t b t r t c ) * ( LM /( k * LTC ))]
если Ld = 10LTC , k = 20, то:
tпакетная m *[t s 0.5 * (tb tr tc )] .
где m – число маршрутизаторов в цепочке, k – число
(3.10)
параллельных
топологических каналов.
PPtC – метод коммутации пакетов при топологических многоканальных
связях в одном канале (рис. 3.11).
Рис. 3.11. Mетод коммутации пакетов при топологических
многоканальных связях в одном канале (PPtC)
Параметр времени передачи данных при коммутации пакетов при
топологических многоканальных связях в одном канале определяется как:
t пакетная m * [t s (t sp t dmux t b t r t c t mux ) * ( LM /( k * с * LTC ))]
если Ld = 10LTC и с = 20, k = 20, то:
t пакетная m * [t s 0.025 * (t sp t dmux t b t r t c t mux )] ,
(3.11)
112
где m – число маршрутизаторов в цепочке, с – число
параллельных
подканалов в режиме разделения частот в одном канале, k – число
параллельных топологических каналов.
PPtPc – метод коммутации пакетов при топологических многоканальных
связях на основе многожильной волоконно-оптической линии связи (рис.
3.12)
Рис. 3.12. Метод коммутации пакетов при топологических многоканальных
связях на основе многожильной волоконно-оптической линии связи (PPtPc)
Параметр времени передачи данных при коммутации пакетов при
топологических многоканальных связях на основе многожильной волоконнооптической линии связи определяется как:
t пакетная m * [(t s t b t r t c ) * ( LM /(k * с * LTC ))] ,
если Ld = 10LTC и с = 20, k = 20, то:
t пакетная m * [0.025 * (t s tb t r t c )]
,
(3.12)
113
где m – число маршрутизаторов в цепочке, с – число
параллельных
подканалов в режиме разделения частот в одном канале, k – число
параллельных топологических каналов.
На рис. 3.13 показаны графические зависимости времени передачи
данных по каналу связи от источника к приемнику в зависимости от числа
маршрутизаторов в цепочке для различных случаев коммутации пакетов для
МКС с одноканальными и многоканальными связями.
T, такт
1
2
4
3
5
6
m
Рис. 3.13. Время передачи данных в зависимости от числа маршрутизаторов
(m) в цепочке по методу коммутации пакетов для МКС с одноканальными
связями (1), с многоканальными связями (2), с многоканальными связями на
основе многожильной волоконно-оптической линии связи (3), коммутации
пакетов при топологических одноканальных связях (4), коммутации пакетов
при топологических многоканальных связях в одном канале (5), коммутации
пакетов при топологических многоканальных связях на основе
многожильной волоконно-оптической линии связи (6).
При построении графических зависимостей принято, что: ts = 1 временной
такт (Т), tb = 2 Т, tr = 1Т, tc =1Т, tsp = 0,2T, tdmux = 1T, tmux = 1T, tданные =10Т и
результат представлен во временных тактах. Как видно из рис. 3.13 более
114
эффективной оказывается коммутация пакетов для МКС с многоканальными
связями на основе многожильной волоконно-оптической линии связи, которая обеспечивает снижение времени передачи одинаковых массивов данных
в среднем в 2.5 раза по сравнению коммутацией для МКС с одноканальных
связями.
3.1.3. Адаптация червячного механизма коммутации
Необходимость полной буферизации пакетов в маршрутизаторе создает
определенные проблемы при построении компактных и быстродействующих
маршрутизаторов [165 -168]. В ранних версиях в коммутируемых сетях для
буферизации блокированных пакетов в качестве хранилища использовалась
память локальных узлов. Процесс повторного запуска пакетов существенно
повышает
величину
задержки
передачи
пакетов,
следовательно,
целесообразно минимизировать их потери [168].
Однако, оказалось недостаточно буферировать пакеты внутри лишь
отдельных маршрутизаторов. Червячный механизм коммутации представляет
собой вариант оптимизации виртуальной конвейерной коммутации, с
использованием буферов. Размер буфера в каждом маршрутизаторе позволяет хранить несколько флит. В том случае, если заголовок пакета блокирован, данные занимают буферы в нескольких маршрутизаторах [165 - 168].
Рассмотрим сообщение, показанное на рис. 3.14, при передаче его через
маршрутизатор с буфером в один флит [168]. Пусть сообщение А
заблокировано
сообщением
B
и
занимает
буферы
на
нескольких
маршрутизаторах, что приводит к повторной блокировке сообщений на
нескольких маршрутизаторах. Временная диаграмма показывает то, как
процесс
конвейеризации
пакетов
на
нескольких
маршрутизаторах
существенно снижает зависимость величины задержки передачи сообщения
от расстояния. Конвейерный характер червячного механизма коммутации
приводит к существенному снижению задержек передачи сообщений при
низкой интенсивности трафика в сети. Еще одно данного метода
115
преимущество связано с тем, что в нем не требуется извлекать сообщения из
сети и хранить их отдельно [168].
Использование буферов малого размера также приводит к двум важным
результатам. Во-первых, снижаются задержки доступа к буферу и
сокращается
время процесса конвейеризации
(рис. 3.14). Снижение
задержек конвейеризации позволяет повысить тактовую частоту работы
маршрутизатора, например, до уровня 5 ГГц, и, следовательно, повысить
пропускную способность маршрутизатора [165 - 168]. Во-вторых, малые
буферы снижают статическое энергопотребление, что особенно важно для
встроенных маршрутизаторов. Однако, при увеличении загрузки канала
связи,
блокированное
сообщение
занимает
буферы
на
нескольких
маршрутизаторах и каналы связи между ними, что приводит к повторному
блокированию сообщений, разделяющих эти каналы связи, что, в свою
очередь, распространяет блокировки далее по сети [168].
Флит
заголовка
Флиты
данных
Канал связи
флит
tb
ts
tc
tчервячная
Время обработки
Рис. 3.14. Метод червячного механизма коммутации для МКС с
одноканальными связями (FStSl)
Базовое время передачи данных, передаваемых по методу червячного
механизма коммутации через маршрутизатор вычисляется следующим
образом [168]:
116
tчервячная m * [(t s tb t r tc )] tb * ( LM / LTC )
если Ld = 10LTC , то:
tчерв ячная m * [( t s tb t r tc )] 10tb .
(3.13)
Недостатком метода червячного механизма коммутации, реализуемого
классическими
маршрутизаторами является
то, что заблокированные
сообщения захватывают физические ресурсы канала связи. Информация по
передаче данных -- несколько флит в заголовке пакета, а флиты с данными
пользователя не содержат маршрутной информации [168]. Следовательно,
когда пакет заблокирован, передачи других пакетов по физическому каналу
связи не выполняются. В результате при увеличении интенсивности трафика
возникает быстрое насыщение каналов связи заблокированными пакетами.
Вариант реализации червячной коммутации для многоканальных связей
приведен на рис. 3.15.
Рис. 3.15. Метод червячного механизма коммутации для МКС с
многоканальными связями (FStSf)
В этом случае единый канал связи подразделяется на N независимых
подканалов, например, на основе частотного принципа разделения, и по
117
каждому из них данные передаются независимо друг от друга (на
определенной частоте).
Параметр времени передачи данных при червячной коммутации при
многоканальных связях определяется как:
tчервячная (m / c) * [( t sp t dmux t s tb t r t mux tc )] tb * ( LM / с * LTC )
если Ld = 10LTC и с = 20, то:
tчервячная (m / c) * [(t sp tdmux t s tb tr tmux tc )] 0.5tb ,
где m – число маршрутизаторов в цепочке, с – число
(3.14)
параллельных
подканалов в режиме разделения частот в одном канале.
FStMf - червячный механизм коммутации для МКС с многоканальными
связями на основе многожильного провода (рис. 3.16)
Рис. 3.16. Червячный механизм коммутации для МКС с многоканальными
связями на основе многожильного провода (FStMf)
118
Параметр времени передачи данных при червячной коммутации для МКС
с многоканальными связями на основе многожильного провода определяется
как:
tчервячная (m / c) * [(t s tb t r tc )] tb * ( LM / с * LTC )
если Ld = 10LTC и с = 20, то:
tчервячная (m / c) * [(t s tb t r t c )] 0.5tb
,
где m – число маршрутизаторов в цепочке, с – число
(3.15)
параллельных
подканалов в режиме разделения частот в одном канале.
Далее, рассмотрим адаптацию червячной механизма коммутации для
МКС с множественными топологическими связями. Возможны следующие
варианты.
FPtSl
–
червячный
механизм
коммутации
при
топологических
одноканальных связях. (рис. 3.17)
Рис. 3.17. Червячный механизм коммутации при топологических
одноканальных связях (FPtSl)
119
Параметр времени передачи данных при червячной коммутации при
топологических одноканальных связях определяется как:
tчервячная (m / k ) * [(t s tb t r tc )] tb * ( LM / k * LTC )
если Ld = 10LTC и k = 20, то:
tчервячная (m / k ) * [(t s tb t r t c )] 0.5tb .
(3.16)
FPtSf – червячный механизм коммутации при топологических многоканальных связях в одном канале. (рис. 3.18)
Рис. 3.18. Червячный механизм коммутации при топологических
многоканальных связях в одном канале (FPtSf)
Параметр времени передачи данных при червячной коммутации при
топологических многоканальных связях в одном канале определяется как:
tчервячная (m / c) * [(t sp t dmux t s tb t r t mux tc )] tb * ( LM /(k * с * LTC ))
если Ld = 10LTC и с = 20, k =20 то:
tчервячная (m / c) *[(t sp t dmux t s tb t r t mux tc )] 0.025 tb . (3.17)
120
FPtMf
–
червячный
механизм
коммутации
при
топологических
многоканальных связях на основе многожильного кабеля (рис. 3.19)
Рис. 3.19. Червячный механизм коммутации при топологических
многоканальных связях на основе многожильного кабеля (FPtMf)
Параметр времени передачи данных при червячной коммутации при
топологических многоканальных связях на основе многожильного кабеля
определяется как:
tчервячная (m / c) *[(t s tb t r tc )] tb * ( LM /(k * с * LTC ))
если Ld = 10LTC и с = 20, k = 20 то:
tчервячная (m / c) *[(t s tb t r tc )] 0.025 tb ,
где m – число маршрутизаторов в цепочке, с – число
(3.18)
параллельных
подканалов в режиме разделения частот в одном канале.
На рис. 3.20 показаны графические зависимости времени передачи
данных по каналу связи от источника к приемнику в зависимости от числа
маршрутизаторов в цепочке для различных случаев червячной коммутации
для МКС с одноканальными и многоканальными связями.
121
При построении графических зависимостей принято, что: ts = 1 временной
такт (Т), tb = 2 Т, tr = 1Т, tc =1Т, tsp = 0,2T, tdmux = 1T, tmux = 1T, tданные =10Т и
результат представлен во временных тактах.
T, такт
1, 4
3
2, 5
m
Рис. 3.20. Время передачи данных в зависимости от числа маршрутизаторов
(m) в цепочке по червячному механизму коммутации для МКС с
многоканальными связями (1), с многоканальными связями на основе
многожильной волоконно-оптической линии связи (2), червячной
коммутации при топологических одноканальных связях (3), червячной
коммутации при топологических многоканальных связях в одном канале (4),
червячной коммутации при топологических многоканальных связях на
основе многожильной волоконно-оптической линии связи (5).
3.2. Механизм формирования канала передачи для поддержки разных
типов передаваемых данных в МКС
Как отмечалось выше, при коммутации каналов формируется непрерывный физический канал из последовательно соединенных промежуточных
участков. В этом случае скорость передачи данных по установленному каналу постоянна, при этом уровень задержки передачи данных через систему
передачи данных является низким и постоянным, что позволяет эффективно
и качественно передавать данные, чувствительные к задержкам, т.е. пото-
122
ковый трафик: видео- и аудио-потоки данных, а также различную технологическую информацию [26, 29, 176].
Метод коммутации пакетов позволяет выполнить эффективную передачу
компьютерного трафика, который генерируется неравномерно и с высоким
уровнем пульсации [26, 29, 176]. Например, при обращении к удаленным
ресурсам вначале просматривается содержимое каталога, что требует передачи небольшого объема данных, а далее требуемый файл передается по системе передачи данных, что существенно повышает интенсивность обмена
данными. Коэффициент пульсации трафика для отдельного узла, рассчитываемый как отношение средней интенсивности обмена данными к максимально возможной, может достигать значения 1:100 [176]. При реализации
метода коммутации канала для передачи эластичного трафика канал
большую часть времени будет простаивать и коммутационные возможности
МКС, выделенные для пары сервер - узел будут недоступны другим пользователям сети. Таким образом, метод коммутации пакетов обеспечивает высокую пропускную способность сети при передаче эластичного трафика и
предоставляет возможность динамически перераспределять пропускную способность физических каналов связи между абонентами в соответствии с
реальными потребностями их трафика [176].
В результате, особую актуальность приобретает совмещение в одном канале связи эластичного (компьютерного) и неэластичного (мультимедийного) трафика для обеспечения высокого качества обслуживания для передаваемых данных различного типа [30].
Предлагается механизм совмещения различных методов коммутации (каналов, пакетов, червячного механизма) в одном канале на основе использования технологии многоканальных связей с выделением подканалов передачи для различных методов коммутации в зависимости от типа трафика данных. На рис. 3.21 – 3.24 показан ряд вариантов, демонстрирующих возможности комбинирования различных алгоритмов коммутации в МКС с многоканальными связями. В этом случае появляется возможность гибко настраивать
123
канал передачи данных на конкретный метод коммутации в зависимости от
типа передаваемых данных, что позволяет повысить качество обслуживания
передачи данных различного типа в пределах единого канала.
Рис. 3.21. Совмещение коммутации каналов и коммутации пакетов для
многоканального кабеля
124
Рис. 3.22. Совмещение коммутации каналов и червячного механизма
коммутации для многоканального кабеля
125
Рис. 3.23. Совмещение коммутации каналов и коммутации пакетов для
многожильной волоконно-оптической линии связи
126
Рис. 3.24. Совмещение коммутации каналов и червячного механизма
коммутации для многожильной волоконно-оптической линии связи
127
3.3. Сравнительный анализ параметров методов коммутации в МКС на
основе многоканальных сред
На рис. 3.25 представлено сравнение зависимости времени передачи данных в зависимости от числа маршрутизаторов в цепочке для различных видов методов коммутации: каналов, пакетов, червячного механизма коммутации для МКС с одно- и многоканальными связями. На рис. 3.25 рассмотрен
случай, когда передаются массивы данных 100 Кбайт, а на рис. 3.26 – 1 Мбайт.
T, такт
1
2
3
4
5, 8
6, 7, 9
m
Рис. 3.25. Время передачи данных в зависимости от числа маршрутизаторов
(m) для методов коммутации каналов при топологических многоканальных
связях на основе многожильной волоконно-оптической линии связи (1), по
методу коммутации пакетов для МКС в многоканальных средах на основе
многожильной волоконно-оптической линии связи (2), коммутации пакетов
при топологических многоканальных связях в одном канале (3), коммутации
пакетов при топологических многоканальных связях на основе
многожильной волоконно-оптической линии связи (4), по червячному
механизму коммутации для МКС с многоканальными связями (5), с многоканальными связями на основе многожильной волоконно-оптической линии
связи (6), червячной коммутации при топологических одноканальных связях
(7), червячной коммутации при топологических многоканальных связях в
одном канале (8), червячной коммутации при топологических
многоканальных связях на основе многожильной волоконно-оптической
линии связи (9) для данных размера 100 Кбайт
128
T, такт
2
3, 1
4
5, 8
6, 7, 9
m
Рис. 3.26. Время передачи данных в зависимости от числа маршрутизаторов
(m) для методов коммутации каналов при топологических многоканальных
связях на основе многожильной волоконно-оптической линии связи (1), по
методу коммутации пакетов для МКС в многоканальных средах на основе
многожильной волоконно-оптической линии связи (2), коммутации пакетов
при топологических многоканальных связях в одном канале (3), коммутации
пакетов при топологических многоканальных связях на основе
многожильной волоконно-оптической линии связи (4), по червячному
механизму коммутации для МКС с многоканальными связями (5), с многоканальными связями на основе многожильной волоконно-оптической линии
связи (6), червячной коммутации при топологических одноканальных связях
(7), червячной коммутации при топологических многоканальных связях в
одном канале (8), червячной коммутации при топологических
многоканальных связях на основе многожильной волоконно-оптической
линии связи (9) для данных размера 1 Мбайт
Как видно из рис. 3.25 и рис. 3.26 наиболее эффективным оказывается
червячный механизм коммутации, в частности, при реализации его для МКС
с топологическими многоканальными связями на основе многожильного
кабе-ля. При этом следует отметить, что при передаче данных размера
100 Кбайт метод пакетной передачи оказался более эффективным, чем метод
коммутации каналов, а при передаче данных большего размера (1 Мбайт) –
129
метод коммутации каналов, наоборот оказался более эффективен, чем метод
пакетной передачи.
3.4. Особенности архитектуры формирователей канала передачи данных
для компьютерных систем на основе многоканальных сред
Предложена модификация маршрутизатора EC8430 “Ангара” [167] для
адаптации его к многоканальной логико-физической среде передачи данных.
В нем для решения рассмотренной выше проблемы взаимного блокирования
потоков данных (дейтаграмм) предлагается использовать следующий механизм: в маршрутизаторе на уровне коммутатора предлагается установить ряд
параллельно функционирующих и управляемых буферов переменного размера, соединенных многоканальной линией связи. Данный механизм позволяет разбить канал передачи данных на определенное число подканалов, при
этом подканалы являются независимыми и передача данных по ним может
осуществляться в параллельном режиме, тем самым устраняя задержки, связанные взаимной блокировкой, которая вызвана захватом буфера пакетами
или виртуальным каналом. Кроме того, в зависимости от метода коммутации,
блок управления буферами обеспечивает управление размерами буферов, в
том числе позволяет передать данные без буферизации, что позволяет настраивать канал передачи данных на такой вид коммутации, который является
наиболее эффективным для соответствующего типа передаваемых данных.
Схема модифицированного маршрутизатора с многоканальными линиями связи представлена на рис. 3.27. [177, 178] Основные блоки управления
используются из маршрутизатора EC8430 “Ангара” с добавлением блоков
управления буферами и обработки фитов /флитов. Для мультиплексирования
каналов передачи данных применяются временное разделение каналов (ВРК)
или временное мультиплексирование (TDMA), либо частотное разделение
каналов (ЧРК) или мультиплексирование с разделением по частоте (FDMA).
На уровне коммутации добавлены оптические разветвители, управляемые
буферы переменного размера для промежуточного хранения данных и
пакетов, а также оптические демультиплексоры и мультиплексоры. Выборка
130
пакетов и данных реализуется в соответствии с алгоритмом маршрутизации.
Управляющие сигналы
Ethernet
PHY
Защита
сервисного
процессора
RAM 4 ГБ
RAM
256 M
DDR2
Контроллер
PCI-Expess
конечный
контроллер
Блок операций
агрегаций
сообщений и
синхронизация
Блок
управления
интерфейсом
Блок служебных
операций
Блок инжекции
и эжекции
Блок обработки
пакетов
Блок обработки
неблокирующих
операций
Блок обработки
флитов/фитов
Блок обработки
операций
чтения
Блок управления
буферами
ОР
Коммутация
каналов
Пакетная
передача
Червячная
передача
Коммутатор
Мультиплексор
ОР
Демультиплексор
Каналы связи
ОР – оптический разветвитель
Рис. 3.27. Обобщенная структурная схема маршрутизатора с
внутренними многоканальными связями
131
В режиме многоканальных связей происходит разделение канала
передачи данных между множеством источников пакетов или флитов. В
результате, появляется возможность реализации множества одновременно
функционирующих
виртуальных
безопасных
каналов
для
передачи
критичных данных, а также открытых каналов связи для передачи открытой
информации без их взаимной блокировки, что повышает эффективность
функционирования и защищенность обработки данных в распределенных
мультикомпьютерных системах.
Следует отметить, что число одновременно используемых каналов на
уровне буфера может быть различным, однако при фиксированном числе каналов упрощается механизм управления многоканальной передачей. Число
каналов определяется интенсивностью трафика в МКС, что, в свою очередь,
определяет число требуемых виртуальных каналов передачи данных, которые формируются одновременно. На практике, число каналов фактически
должно быть равно числу узлов-источников, которые с высокой интенсивностью генерируют и передают пакеты. Также в данной реализации при
повышении интенсивности трафика могут возникать проблемы блокировки,
но число случаев блокировки существенно снижено.
Таким образом, в результате разработана новая иерархическая архитектура многоканальной среды передачи данных, которая интегрирует в себе
многоканальную структуру на основе непосредственно-связанных подсетей,
многоканальную систему мультиплексирования, поддерживает конвейеризацию и параллелизм на всех уровнях, что создает предпосылки для существенного повышения интенсивности передачи данных и позволяет предотвратить блокирование каналов.
Предложенная структурная организация канала передачи данных интегрирует в себе различные виды коммутации и отличается возможностью гибкого варьирования организацией и размерами буферных областей маршрутизаторов, что позволяет настраивать канал передачи данных на наиболее
эффективный вид коммутации в зависимости от типа передаваемых данных.
132
Выводы к Разделу 3
3.1. Показано, что классические механизмы передачи данных и
управления трафиком на различных уровнях модели OSI/ISO (канальном,
сетевом, транспортном) оказываются неэффективными, поскольку их применение вызывает проблему взаимной блокировки потоков данных в МКС на
основе
многоканальных
сред
передачи
данных,
в
результате
чего
значительно снижается интенсивность передачи данных. Таким образом,
возникает задача адаптации и модификации классических механизмов
передачи данных для МКС на основе многоканальных сред которая
решается, в частности, на основе интеграции механизмов конвейеризации и
параллелизма при передаче данных в единой среде.
3.2. Рассмотрены вопросы адаптации базовых методов коммутации для
мультикомпьютерных систем в многоканальных средах передачи данных.
Показано, что применение технологии многоканальных связей, в частности,
на основе волоконно-оптической линий связи с многожильным кабелем
позволяет в несколько раз снизить время передачи эквивалентных объемов
данных. Исследования показали, что наиболее эффективным оказывается
червячный механизм коммутации, в частности, при реализации его для МКС
с топологическими многоканальными связями на основе многожильного
кабеля.
Также
проведенные
исследования
показали,
что
наиболее
эффективным оказывается червячный механизм коммутации, при этом при
передаче данных размера 100 Кбайт метод пакетной передачи является более
эффективным, чем метод коммутации каналов, а при передаче данных
большей длины 1 Мбайт – метод коммутации каналов является более
эффективен, чем метод пакетной передачи.
3.3. Выделены различные типы трафика в МКС и их главные
особенности. Показано, что для каждого типа трафика целесообразно
применять соответствующий метод коммутации. Предложен механизм
формирования канала передачи для поддержки разных типов передаваемых
данных в МКС на основе совмещения различных методов коммутации
133
(каналов, пакетов, червячного механизма) и использования технологии
многоканальных
связей
с выделением подканалов, поддерживающих
различные методы коммутации в зависимости от типа трафика данных, что
позволяет повысить пропускную способность канала передачи данных.
Разработана новая иерархическая архитектура многоканальной среды
передачи данных, которая интегрирует в себе многоканальную структуру на
основе непосредственно-связанных подсетей, многоканальную систему мультиплексирования, поддерживает конвейеризацию и параллелизм на всех
уровнях, что создает предпосылки для существенного повышения интенсивности передачи данных и позволяет предотвратить блокирование каналов.
3.4. Для решения проблемы взаимного блокирования потоков данных в
предложена структура модифицированного маршрутизатора, в котором
применяется механизм многоканальных связей и установлен ряд параллельно
функционирующих буферов и многоканальная линия связи, которая
позволит разделить канал передачи данных на определенное число
подканалов. Подканалы являются независимыми и передача данных по ним
осуществляется в параллельном режиме, тем самым, устраняя задержки, связанные взаимной блокировкой, которая вызвана захватом буфера пакетами
или виртуальным каналом. В зависимости от метода коммутации, блок
управления буферами обеспечивает управление размерами буферов, в том
числе позволяет передать данные без буферизации, что позволяет настраивать канал передачи данных на такой вид коммутации, который является
наиболее эффективным для соответствующего типа передаваемых данных.
Показано, что появляется возможность реализации множества одновременно функционирующих виртуальных безопасных каналов для передачи
критичных данных, а также открытых каналов связи для передачи открытой
информации без их взаимной блокировки, что повышает эффективность
функционирования и защищенность обработки данных в распределенных
мультикомпьютерных системах.
134
РАЗДЕЛ 4.
МЕХАНИЗМЫ ПОВЫШЕНИЯ ЗАЩИЩЕННОСТИ ПЕРЕДАЧИ
ДАННЫХ
И
НАДЕЖНОСТИ
МУЛЬТИКОМПЬЮТЕРНЫХ
РАСПРЕДЕЛЕННЫХ
СИСТЕМ
НА
ОСНОВЕ
МНОГОКАНАЛЬНЫХ СРЕД
4.1. Алгоритм адаптивной маршрутизации для передачи данных по
выбранному безопасному пути
4.1.1. Особенности поддержки защищенной передачи данных в процессе
маршрутизации
Для повышения защиты передачи данных в распределенных мультикомпьютерных системах предлагается механизм адаптивной маршрутизации,
который предусматривает передачу данных по определенному каналу связи,
сформированному по критерию максимальной защищенности передачи данных по каждому из составляющих подканалов связи между узлами. Критерий защищенности определяется как вероятность реализации угроз безопасности передачи данных по конкретному подканалу. Эта вероятность фактически функционально связана с параметром уровня доверия к действиям узла
МКС. Теория формирования уровня доверия к действиям узлов будет детально рассмотрена в Разделе 5.
В частности, рассмотрим случай, когда параметр уровня доверия к узлам
варьируется в интервале от 0 до 1. Рассмотрим в качестве примера схему
топологии распределенной мультикомпьютерной системы с предопределенными уровнями доверия к действиям узлов МКС (рис. 4.1).
При передаче данных от узла А к узлу М доступны несколько путей. Так,
в том случае, если условием защищенной передачи является то, что уровень
доверия к действиям узлов на всем пути следования пакетов не должен
снижаться ниже, чем 0.6, то возможна передача данных по более короткому
пути 1, если же требованием является то, что параметр уровня доверия не
должен снижаться ниже, чем 0.5, то передача данных должна проходить по
135
пути 2, который, с другой стороны, не является наиболее оптимальным с
точки зрения расстояния передачи данных.
0.5
0.7
0.7
C
D
B
1.0
1.0
А
`
0.3
0.7
E
F
0.5
L
H
M
G
0.6
K
0.6
0.7
- путь 1
- путь 2
Рис. 4.1. Топология МКС с предопределенными уровнями доверия к
действиям узлов МКС
Таким
образом,
необходима
разработка
специального
механизма
адаптивной маршрутизации данных по заданному пути, что позволит
обеспечить передачу данных с учетом критерия уровня доверия к действиям
узлов системы, который функционально связан с уровнем защищенности
передачи данных по этому пути.
При реализации механизма адаптивной маршрутизации возникает еще
одна сопутствующая проблема. Адаптивная маршрутизация предусматривает передачу данных по определенному каналу связи, который формируется
по критерию максимальной защищенности передачи данных. Пусть
требуется передать сообщение от узла A к узлу M,
используя наиболее
защищенный маршрут A – F– G – L – M (рис. 4.2).
В результате формируется временный канал A – F – G – L – M, который
на некоторое время перекрывает возможность реализации ряда других
каналов связи в данной топологии, например, канала D – C – G – L – K или
136
канала E – F – G – H. Фактически, возникает классическая взаимная
блокировка передачи данных, что существенно увеличивает время передачи
данных по другим каналам. Кроме того, при интенсивном трафике
существует
вероятность
того,
что
какой-либо
пакет
окажется
заблокированным в буфере, заняв ряд буферов по своему маршруту, что, в
свою очередь, вызовет увеличение времени доставки других пакетов.
A
B
C
D
E
F
G
H
I
K
L
M
Рис. 4.2. Топология связей распределенной мультикомпьютерной
системы с различными вариантами реализации каналов передачи данных
Проблема взаимной блокировки каналов возникает также и при
реализации механизма маршрутизации на основе виртуальных каналов связи.
4.1.2 Алгоритм адаптивной маршрутизации по выбранному безопасному
пути
При реализации алгоритма адаптивной маршрутизации по защищенному
пути вводится дополнительный параметр: вес канала передачи данных или
канала
связи
с
точки
зрения
его
защищенности
как
величина,
пропорциональная уровню доверия к соответствующему узлу МКС, и обратно пропорциональная вероятности реализации угроз безопасности по даному каналу и
узлу. Сам алгоритм является модификацией метода
дистанционно-векторной маршрутизации [179]. В каждом узле (маршрутизаторе) поддерживается вектор весов каналов связи, который периодически
обновляется по данным других узлов, после чего происходит обновление
137
таблиц маршрутизации. Таким образом, на каждом узле поддерживаются 3-и
вектора.
В каждом узле n формируется вектор весов защищенности передачи
данных по каналам связи SWn:
SWn = {SW(n,i)} ,
(4.1)
где i=1,.., М, (М – число сетей, к которым узел n подключен напрямую),
SW(n,i) – вес канала с точки зрения защищенности передачи данных.
Веса
канала
передачи
данных
представляют
собой
метрику
маршрутизации (routing metrics) [179].
Далее формируются еще два вектора:
Вектор расстояния для узла n NLn:
NLn = {NL(n,i)} ,
(4.2)
где i=1,…,S, (S – число подсетей в конфигурации); NL(n,i) – текущая оценка
веса защищенности канала от узла n к подсети;
Вектор следующего участка линии связи для узла n NTn:
NTn = {NT(n,i)} ,
(4.3)
где NT(n,i) – следующий маршрутизатор в данном маршруте с максимальным
весом защищенности канала связи от узла n к сети i.
Периодически, через короткий промежуток времени, каждый узел
обменивается весами защищенности каналов со всеми соседними узлами и с
учетом всех входящих векторов весов защищенности каналов оба вектора
обновляются:
NL(n,i) = min (NL (n, i)), при SW(n, i)≥ TLcrit ,
(4.4)
при этом NL(n,i) =Rt, где Rt – маршрутизатор, при котором NL(n,i) принимает
минимальное значение, TLcrit – минимальное значение степени доверия к
узлу, при котором данные могут быть переданы этому узлу.
При маршрутизации от источника в заголовок пакета добавляется поле
адреса
маршрутизаторов
на
пути
следования
формирования адресов маршрутизаторов
пакетов.
Принцип
имеет решающее значение,
например, при рассматриваемой адаптивной маршрутизации необходимо
138
обеспечить
передачу
пакетов
по
цепочке
лишь
доверенных
маршрутизаторов. Таким образом, формат передаваемого пакета с учетом
критериев надежности узла (NR) и доверия к нему (TL) имеет вид (рис. 4.3):
comments version
IP-1
NL-1
NR-1
TL-1
IP-2
NL-2
NR-2
TL-2
...
...
...
...
IP-n
NL-n
NR-n
TL-n
Рис. 4.3. Формат передаваемого пакета с учетом критериев надежности (NR)
и доверия (TL)
Рассмотрим варианты передачи данных между узлами N1 и N5 (рис.4.4).
N3
N2
N5
N4
N1
N10
N8
N7
N6
N9
N13
N12
N11
N17
N14
N16
N15
Рис. 4.4. Топологические связи в МКС как варианты передачи данных между
узлами N1 и N5.
Для каждого из узлов рассчитываются параметры-метрики: степень
доверия, надежность и степень вершины (узла). Далее для формируемого
пути рассчитывается интегрально-усредненный коэффициент (степень) связности (Kc) следующим образом:
n
Kc
deg( N i )
i 1
n
,
(4.5)
где deg (Ni) – cтепень связности i-той вершины (узла); n - число вершин
139
(узлов) на пути.
Далее, представим метод выделения областей значений показателей
многоканальных сред передачи данных, отличающихся требуемыми показателями надежности, степени связности и интенсивности передачи данных.
Вначале формируется т.н. код состояния узла KSN по следующему принципу:
KSN состоит из битовых полей, соответствующих критериям состояния узла
при маршрутизации. Так KSN = {NR, TL, Kc, NL}, где NR - надежность, TL уровень доверия, Kc- степень связности узла, NL - длина маршрута (расстояние); при этом в том случае, если соответствующее значение полей NR, TL,
Kc, NL превышает требуемый показатель, то оно устанавливается в 1, иначе
- в 0. Приведем примеры нескольких таких областей:
0001 – допустимая область передачи данных по длине маршрута
(расстоянию);
0010 – допустимая область передачи данных по степени связности узла;
0100 – допустимая область передачи данных по уровню доверию;
1000 – допустимая область передачи данных по надежности;
0110 – допустимая область передачи данных по доверию и степени
связности;
1001 – допустимая область передачи данных по надежности и длине
маршрута;
1100 – допустимая область передачи данных по надежности и по доверию;
1110 – допустимая область передачи данных по надежности, доверию и
степени связности;
1111 – допустимая область передачи данных по всем критериям;
0000 – допустимая область передачи данных отсутствует.
Далее, на основе кодов состояния узлов KSN выполняется формирование
допустимых областей передачи данных, по которым может проходить
маршрут передачи данных, с учетом требуемых показателей надежности,
уровня доверия, степени связности и интенсивности передачи данных для
каждого показателя отдельно или в определенной их комбинации.
140
Формально данное формирование допустимых областей передачи данных
может реализоваться на основе выборки тех узлов, код состояния которых
соответствует определенной битовой маске, характеризующей область
передачи данных с определенным показателем. Например, маска 11хх
соответствует допустимой области передачи данных по показателям
надежности и уровня доверия одновременно.
В процессе передачи в том случае, если для одного из промежуточных
узлов на пути была снижена степень доверия к нему либо снизилась
надежность функционирования узла, то путь оперативно перестраивается,
как показано на рис. 4.5.
N1
N4
N3
N2
N8
N7
N6
N5
N9
N13
N10
N17
N12
N11
N15
N16
N14
Рис. 4.5. Варианты обхода узла МКС с низким уровнем доверия или с
высокой вероятностью отказа
Фактически конкретный узел обходится по альтернативному пути. Для
реализации данной возможности необходимо наличие соответствующих
связей между соответствующими узлами. Таким образом, именно путь с
наибольшим коэффициентом связности узлов позволит
с высокой
вероятностью поддержать данное перестроение пути.
Реализация предложенного выше метода возможна в частности, для
протоколов пакетной передачи данных на основе технологии MPLS.
141
На уровне
протокола MLPS данный подход реализуется на уровне
управления метками протокольных сообщений [7 - 13].
Метка
ТС
S
TTL
Рис. 4.6. Формат пакета протокола MLPS
Поле метки занимает 20 бит; поле ТС – класс трафика, необходимое для
реализации механизмов качества обслуживания (QoS) и явного уведомления
о перегрузке, занимает 3 бита; флаг S – дно стека; если флаг установлен в 1,
то это означает, что текущая метка последняя в стеке; занимает 1 бит; поле
TTL необходимо для предотвращения петель MPLS коммутации, занимает 8
бит [7 - 13].
В маршрутизаторе, поддерживающем протокол MPLS пакет с MPLSметкой коммутируется на следующий порт после поиска метки в таблице
коммутации вместо поиска в таблице маршрутизации. В протоколе MPLS
поиск меток и коммутация по меткам выполняется быстрее, чем поиск в
таблице маршрутизации, так как коммутация может быть выполнена непосредственно на коммутационном поле вместо центрального процессора [7].
В соответствии с предложенным выше алгоритмом, в поле метки
заносятся метрики требуемой минимальной степени доверия к узлу, его
надежности, и коэффициент связности узла. Далее, маршрутизация реализуется с учетом текущих значений данных метрик.
Формат пакета при табличной маршрутизации в этом случае следующий:
DEST
DATA
EOP
Рис. 4.7. Формат пакета при табличной маршрутизации
DEST – поле, в котором указывается адрес следующего узла-приемника;
DATA – данные, передаваемые от источника к приемнику; EOP – признак
конца пакета.
Следующий узел-приемник в данном случае определяется с учетом
метрик степени доверия, надежности и коэффициента связности либо на
142
основе таблицы маршрутизации, либо в самом пакете при машрутизации от
источника. В случае маршрутизации от источника формат пакета имеет
следующий вид (рис. 4.8):
DEST
NL-i
NR-i
TL-i
DATA
EOP
Рис. 4.8. Формат пакета при маршрутизации от источника
4.2. Особенности реализации механизма адаптивной маршрутизации по
по защищенному пути для МКС на основе многоканальных сред
Алгоритмы маршрутизация различаются, в частности, по месту принятия
решений о маршруте: если для этой цели используется специально
реализованный центральный контроллер, то такое принятие решений
определяет централизованную маршрутизацию (centralized routing), далее
существует вариант маршрутизации от источника (source routing), в том
случае, если принятие решений определяется перед вводом пакетов в сеть,
следующий вариант: маршрутизация определяется распределенным способом, когда решения принимаются по мере прохождения пакета через сеть
(distributed routing) [179 – 189]. При этом возможны и комбинированные
решения. Одно из таких решений основано на многофазовой маршрутизации
(multiphase routing). При ее использовании источник вычисляет некоторое
множество узлов назначения, а маршрут между ними определяется
распределенным способом [184]. Рассмотрим детальнее особенности каждого
из алгоритмов маршрутизации.
Централизованная маршрутизация от одного сервера-контроллера. В
механизме
централизованной
маршрутизации
выделяется
единый
компьютер-узел, определяющий маршрут данных для всех остальных узлов
системы. Данный центральный узел должен регулярно и оперативно
собирать служебные данные по векторам весов каналов связи, в том числе
формировать уровень доверия к каждому узлу. Такой подход является
эффективным для регулярных топологий с относительно малым число узлов.
В условиях масштабирования компьютерной системы централизованная
143
маршрутизация оказывается неэффективной [180, 181]. Кроме того, централизация основных функций машрутизации в одном узле выдвигает
повышенные требования к надежности функционирования самого узла и
каналов связи с ним.
На рис. 4.9 представлен вариант реализации централизованной маршрутизации для компьютерной системы с одноканальными связями.
NLi,NRi,TLi
NLi,NRi,TLi
NLi,NRi,TLi
NLi,NRi,TLi
NLi,NRi,TL
i
NLi,NRi,TLi
Рис. 4.9. Централизованная маршрутизация для МКС с одноканальными
связями
Несколько
повысить
эффективность
механизма
централизованной
маршрутизации позволяет подход к построению компьютерных систем на
основе реализации многоканальных связей (рис. 4.10).
В этом случае передача вектора весов каналов связи (NL, NR, TL)
выполняется, например, в дуплексном режиме, что несколько повышает
скорость
обмена
данными,
но
не
решает
основных
проблем
централизованной маршрутизации: обеспечение надежности центрального
узла-контроллера
и
его
перегрузка
компьютерных систем [180, 181].
в
условиях
масштабирования
144
NLi,NRi,TLi
NLi,NRi,TLi
NLi,NRi,TLi
NLi,NRi,TLi
NLi,NRi,TLi
NLi,NRi,TLi
Рис. 4.10. Централизованная маршрутизация для МКС с многоканальными
связями
В механизме маршрутизации от источника узел-источник встраивает в
заголовок пакета все выходные порты, через которые пакет может быть
передан в дальнейшем. Маршрутизатор считывает номер следующего узлаприемника (порта) и передает пакет в соответствующий канал связи [182].
Сам маршрутизатор в этом случае является достаточно простым, так как он
учитывает состояния лишь нескольких узлов сети, что, следовательно,
обеспечивает минимизацию задержек на каждом маршрутизаторе. Так как
заголовок пакета при маршрутизации от источника должен передаваться
через сеть и использовать сетевую пропускную способность, весьма важно
минимизировать длину заголовка. Дополнительной проблемой является то,
что в условиях масштабирования МКС размер заголовка пакета увеличивается пропорционально числу узлов МКС.
На рис. 4.11 представлен вариант реализации маршрутизации от
источника для компьютерной системы с одноканальными связями.
145
NLi, NRi,TLi
NLi, NRi,TLi
NLi, NRi,TLi
NLi, NRi,TLi
Рис. 4.11. Маршрутизация от источника для МКС с одноканальными
связями
Для повышения эффективности механизма маршрутизации от источника
применяется подход к построению компьютерных систем на основе
реализации многоканальных связей (рис. 4.12).
NLi,NRi, TLi
NLi,NRi, TLi
NLi,NRi, TLi
NLi,NRi,TLi
Рис. 4.12. Маршрутизация от источника для МКС с многоканальными
связями
В этом случае передача вектора весов каналов связи (NL, NR, TL)
выполняется одновременно с передачей данных, например, в режиме
частотного разделения каналов связи с конвейеризацией, что повышает
скорость обмена данными.
146
В механизме распределенной маршрутизации на основе ребрендинга
маршрута путь следования данных определяется после достижения ими
конкретного узла. Далее выполняется анализ метрик (NL, NR, TL) других
ближайших узлов и выбирается подходящий узел для передачи по
соответствующим критериям.
Фактически, в условиях топологической
многоканальности появляется возможность оперативно изменять маршрут
передачи данных с учетом текущих параметров узлов и каналов связи на
протяжении трафика.
Одним из проблем реализации данного алгоритма маршрутизации
является необходимость постоянного и оперативного обмена метриками (NL,
NR, TL) между всеми узлами МКС, что снижает ее производительность и
скорость передачи данных.
На рис. 4.13 представлен вариант реализации распределенной маршрутизации на основе ребрендинга маршрута для компьютерной системы с
одноканальными связями.
TLi < TLcrit или NRi < NRmin
Рис. 4.13. Распределенная маршрутизация для МКС с одноканальными
связями
Аналогично предыдущему алгоритму маршрутизации, для повышения
эффективности механизма распределенной маршрутизации на основе
ребрендинга маршрута применяется подход к построению компьютерных
систем на основе реализации многоканальных связей (рис. 4.14).
147
В этом случае передача вектора весов каналов связи (NL, NR, TL) также
выполняется одновременно с передачей данных, например, в режиме
частотного разделения каналов связи с конвейеризацией, что повышает
скорость обмена данными.
TLi < TLcrit или NRi <NRmin
Рис. 4.14. Распределенная маршрутизация для МКС с многоканальными
связями
Алгоритм
многофазовой
маршрутизации
представляет
собой
комбинированное решение. В данном алгоритме узел-источник определяет
один узел-приемник или некоторое подмножество узлов назначения, а
маршрут
между
ними
определяется
распределенным
способом
и
последовательно. Передача данных от узла осуществляется на несколько
соседних узлов одновременно, при этом только на те узлы, которые
соответствуют критерию допустимости передачи им данных, например, по
уровню доверия к ним. Фактически, среди всех соседних узлов выбираются
наиболее доверенные и надежные, и данные передаются только этим узлам.
Далее процесс построения пути продолжает до поступления данных в узел
назначения. Данный подход также позволяет повысить надежность передачи
данных за счет их фактического дублирования и одновременной передаче по
нескольким каналам.
Проблемами реализации данного алгоритма маршрутизации является
необходимость постоянного и оперативного обмена метриками (NL, NR, TL)
148
между всеми узлами МКС, а также формирование избыточных каналов
передачи данных, что снижает производительность МКС и скорость передачи данных.
На рис. 4.15 представлен вариант реализации многофазовой маршрутизации для компьютерной системы с одноканальными связями.
NLi, NRi,TLi
NLi, NRi,TLi
NLi, NRi TLi
NLi, NRi,TLi
NLi, NRi,TLi
NLi, NRi,TLi
NLi, NRi,TLi
NLi, NRi,TLi
NLi, NRi TLi
NLi, NRi,TLi
Рис. 4.15. Многофазовая маршрутизация для МКС с одноканальными
связями
Аналогично предыдущему алгоритму маршрутизации, для повышения
эффективности
механизма многофазовой
маршрутизации
применяется
подход к построению компьютерных систем на основе реализации
многоканальных связей (рис. 4.16).
В этом случае сформированные избыточные каналы передачи реализуются
одновременно и без взаимного блокирования например, в режиме частотного
разделения каналов связи, и передача вектора весов каналов связи (NL, NR,
TL) также выполняется одновременно с передачей данных, например, в
149
режиме частотного разделения каналов связи с конвейеризацией, что
повышает скорость обмена данными.
NLi, NRi,TLi
NLi, NRi,TLi
NLi, NRi,TLi
NLi, NRi,TLi
NLi, NRi,TLi
NLi, NRi,TLi
NLi, NRi,TLi
NLi, NRi,TLi
NLi, NRi,TLi
NLi, NRi,TLi
Рис. 4.16. Многофазовая маршрутизация для МКС многоканальными связями
Фактически, в данном случае реализуется комбинации технологий
физической и топологической многоканальности для передачи данных, что
позволяет оперативно изменять маршрут передачи данных с учетом текущих
параметров узлов и каналов связи на протяжении трафика, и обеспечивать
достаточно надежную передачу данных от источника к приемнику.
Для повышения эффективности реализации алгоритма адаптивной
маршрутизации по заданному защищенному пути предлагается использовать
алгоритм многофазовой маршрутизации.
В этом случае на первом этапе
определяется путь следования данных через узлы и маршрутизаторы МКС,
что позволяет выбирать наиболее защищенные пути передачи данных по
критерию доверия к узлам и маршрутизаторам, через которые проходит
маршрут передачи данных оперативно изменять его в случае изменения
метрик узлов. Кроме того, алгоритм многофазовой маршрутизации позволяет
150
повысить надежность передачи данных за счет реализации нескольких
параллельных трафиков, которые при этом должны проходить только через
доверенные узлы.
4.3. Анализ показателей надежности МКС на основе многоканальных
сред в режиме эксплуатации
Количественно свойства надежности мультикомпьютерных систем на
основе многоканальных сред оцениваются с помощью показателей надежности. Рассмотрим оценки основных показателей надежности МКС.
В общем случае, отказ МКС является случайным событием, следовательно, показатель наработки на отказ, определяемый как интервал времени
от начала работы системы до первого отказа, является случайной величиной
tfd, которая описывается с
использованием вероятностных характеристик
[190]:
интегральной функции распределения вероятностей: F(t) = Р(tfd < t),
где t - некоторый фиксированный момент времени;
дифференциальной функции распределения вероятностей: f(t) = dF(t)/dt;
математического ожидания случайной величины tfd:
m tf (t )dt
.
(4.6)
0
Единичные показатели надежности МКС
Единичные
показатели
надежности
МКС:
вероятность
отказа,
вероятность безотказной работы, среднее время работы до отказа, интенсивность отказов определяются на основе вероятностных характеристик
времени работы до отказа [190].
Вероятность отказа МКС представляет собой вероятность того, что
отказ МКС произойдет после включения системы через интервал времени, не
превышающий заданной величины t [190]:
q(t)=P(tfd <t), t>0 .
(4.7)
Функция q(t) является монотонно возрастающей в пределах от 0 до 1 (рис.
4.17)
151
p(t), q(t)
1
q(t)
p(t)
0
t
Рис 4.17. Вероятность безотказной работы и вероятность отказа МКС
Вероятность безотказной работы МКС на заданном временном
интервале времени [190]:
p(t)=P(tfd >t) = 1 – q(t), t > 0 .
(4.8)
Функция p(t) является монотонно убывающей в пределах от 1 до 0, при
условии, что изначально МКС была работоспособна (рис. 4.17).
Среднее время работы до отказа МКС [190]:
T
cp
0
0
tf (t )dt p(t )dt .
(4.9)
Интенсивность отказов МКС (Λ)-- среднее количество отказов в
бесконечно малый промежуток времени [190]:
1 dp(t ) f (t )
.
p(t ) dt
p(t )
(4.10)
Комплексные показатели надежности МКС.
Комплексные показатели надежности МКС: коэффициент готовности,
коэффициент оперативной готовности, коэффициент простоя, зависят
одновременно от нескольких свойств надежности, например, от безотказности и восстанавливаемости работоспособности МКС [190].
152
Коэффициент готовности -- вероятность того, что если МКС включена,
то в любой произвольный момент времени она находится в работоспособном
состоянии [190].
Коэффициент оперативной готовности -- вероятность того, что при
включении МКС в произвольный момент времени она будет работоспособна
и безотказно проработает в течение времени t [190]:
КГ
Т ср
Т ср Т В
.
(4.11)
где TВ - среднее время восстановления работоспособности системы.
Расчет показателя безотказности МКС.
Для расчета показателя безотказности МКС, в том случае, когда отказы
отдельных компонентов системы не приводят к нарушению работоспособности всей системы используется параллельная схема надежности, а в том
случае, когда отказы отдельных компонентов системы могут приводить к
неработоспособности
всей
системы,
используется
последовательно-
параллельную схема надежности [190] .
В случае параллельно соединенных элементов МКС: пусть qi(t) вероятность отказа i-го элемента (i = l,..,m), тогда cреднее время работы до
отказа МКС рассчитывается как [190]:
m
qu (t ) qi (t ) ;
(4.12)
pu (t ) 1 qu (t ) ;
(4.13)
i 1
Tcp pu (t )dt
.
(4.14)
0
При экспоненциальном распределении времени безотказной работы:
qi (t) = 1 - e-λit , тогда cреднее время работы до отказа МКС рассчитывается
как [190] :
m
qu (t ) (1 e it ) ;
i 1
(4.15)
153
m
pu (t ) 1 (1 e it ) ;
(4.16)
i 1
Tcp pu (t )dt
.
(4.17)
0
В случае последовательно-параллельно соединенных элементов МКС
вначале
определяется
вероятность
безотказной
работы
параллельно
соединенных компонентов pp(t), а затем вероятность безотказной работы
последовательно
соединенных
элементов
рs(t),
затем
вероятность
безотказной работы системы [190]:
pu (t ) p p (t ) * ps (t ) ,
(4.18)
qu (t ) 1 pu (t ) ,
далее:
(4.19)
Tcp pu (t )dt .
(4.20)
0
Рассмотрим вопросы анализа надежности комплексных программноаппаратных
средств
защиты
многоканальными связями.
в
мультикомпьютерных
системах
с
Комплекс защиты включает в себя ряд
программно-аппаратных компонентов, таких как: средства шифрования
передаваемых данных, средства разграничения доступа субъектов к
ресурсам, механизмы идентификации и аутентификации, средства мониторинга безопасности МКС и т.д. В общем случае, средства защиты
запускаются на узлах МКС, для которых возможны появления отказов в
зависимости от интенсивности их эксплуатации.
С другой стороны,
параметры интенсивности эксплуатации средств защиты во многом
определяются
механизмом
управления
ними.
В
результате,
каждое
программно-аппаратное средство защиты косвенно влияет на надежность
аппаратных средств МКС. Кроме того, программное обеспечение средства
защиты может иметь алгоритмические ошибки в его коде, которые могут
привести
к
отказу
системы
защиты.
Таким
образом,
надежность
комплексной системы защиты МКС зависит от следующих факторов [198]:
154
1. времени эксплуатации средств защиты на конкретном узле или устройстве;
2. интенсивности отказов аппаратных компонентов в процессе функционирования средств защиты;
3. наличия ошибок в алгоритмическом программном обеспечении.
Таким образом, для определения надежности средств защиты мультикомпьютерной системы требуется отдельно оценить параметры надежности
программного и аппаратного обеспечения этой системы.
Пусть t - время безотказной работы аппаратных компонентов i МКС, на
которых
функционируют
средства
защиты,
характеризуется
экспоненциальным распределением λi. Тогда вероятность безотказной работы
аппаратных компонентов за время t оценивается как:
t
Pi (t ) 1 i * e * d e *t .
i
i
(4.21)
0
Вероятность
безотказной работы программного обеспечения средств
защиты оценивается как:
t
Psw (t ) e
R ( t ) dt
0
,
(4.22)
,
(4.23)
где:
R(t ) Ro * e K *t
R(t) – функция наличия логических ошибок в программном обеспечении
средств защиты.
Тогда комплексная вероятность безотказной работы i-того средства
защиты МКС определяется как:
Psec i (t ) Pi (t ) * Psw
.
(4.24)
Пусть Ns - число аппаратных устройств МКС, на которых реализуются
средства защиты в последовательном режиме, а Np
- число аппаратных
155
устройств МКС, на которых реализуются средства защиты в параллельном
режиме.
Тогда для комплекса средств защиты МКС справедливо:
N
Pint sec (t ) 1 1 Psec i (t )
l 1
k 1
Ns
Полученная
интегральная
p
оценка надежности
мультикомпьютерных системах
Pint sec (t )
средств
.
(4.25)
защиты
в
в дальнейшем учитывает
коэффициент μ – интенсивность включения средств защиты при оценке
степени риска нарушения защищенности. Фактически, если надежность
средств защиты снижается, то соответственно, снижается и возможность их
эффективного использования (включения), в частности, для оперативного
реагирования на инциденты безопасности, что, соответственно влияет на
общую
оценку
риска
нарушения
защищенности
распределенных
мультикомпьютерных систем.
4.4. Оценка живучести многоканальной среды передачи данных для
мультикомпьютерных систем.
Предложенная
в
работе
логико-физическая
многоканальная
коммуникационная среда для передачи данных в мультикомпьютерных
системах представляет собой многоуровневую иерархическую структуру,
включающую в себя множество каналов связи для соединения узлов. Таким
образом,
эта
среда
характеризуется
свойством
уязвимости,
которая
обуславливается тем, что ввиду наличия множества узлов и связей между
ними может возникать ситуация, когда сбой или отказ одного или
нескольких каналов связи вызывает перегрузки в процессе передачи данных,
что снижает скорость передачи данных [191].
Разработка и анализ параметров многоканальных сред требует учета
существующих потоков данных и конфигурации связей внутри среды, что
связано с проблемой поддержки живучести среды передачи данных. В общем
156
случае, для многоканальных сред характерно наличие как объективных, так и
субъективных факторов неопределенности, при этом неопределенные и
случайные факторы должны быть формально оценены, и информация о функциях распределения и случайных величинах должна быть указана явно [191].
Структурная
живучесть
многоканальной
среды
обуславливается
возможностью выполнения реконструкции, реорганизации, реконфигурации
при
возникновении
неблагоприятных
воздействиях,
что
позволяет
обеспечить поддержку критического подмножества функций для достижения
цели функционирования системы [192 - 198]. Для многоканальных сред
параметр структурной живучести определяется на основе оценки максимально возможной скорости передачи данных в случае отказов ее элементов
(каналов) с учетом допустимого уровня качества функционирования.
Структурная живучесть многоканальной среды на основе технологии
MPLS оценивается по следующему алгоритму [192]:
1. оценивается
скорость передачи данных в безотказном состоянии
среды;
2. моделируются различные состояния отказа среды и рассчитываются
вероятности наступления этих состояний;
3. для каждого состояния отказа среды рассчитываются следующие
параметры: относительное понижение скорости передачи данных; оптимальная скорость передачи данных; максимальная скорость передачи данных и
т.п.
Следует отметить, что автоматическая реконфигурация и перезагрузка,
связанные со структурной живучестью, например, в случае DDoS-атак, в настоящее время являются неотъемлемыми элементами при организации Web- и
proxy-серверов, в частности, под управлением НТТР-сервера Apache, где
используются внешние программные модули Web-сервера для изменений в
его конфигурации и перезагрузки при обнаружении DDoS-атак [192].
В настоящее время актуальной является задача оценки показателей
качества, характеризующих функционирование многоканальной среды
157
большой размерности и сложной структуры в случае возникновения сбоев
или отказов. Эффективность решения проблемы поддержки живучести
многоканальных сред передачи данных определяется типом используемых
методов оценки живучести и их адекватностью моделируемым объектам для
получения точных оценок о реальном состоянии системы [191].
Оценка живучести многокальной среды передачи данных
Для оценки живучести системы многокальной среды передачи данных с
разветвленной структурой устанавливается такой показатель качества,
изменение которого определяет степень ухудшения характеристик при
наличии действия внешних возбуждающих воздействий [192]. Для многоканальной среды передачи данных в качестве такого показателя используется
число работоспособных каналов передачи данных, при этом ввиду того, что
число работоспособных каналов имеет случайный характер, требуется установить распределение числа работоспособных каналов P(t/Ci). [192] Далее,
по вектору функций P(t/Ci)
определяются показатели эффективности ie
(P(t/Ci)), по изменению которых оценивается живучесть многоканальной
среды [192].
Для многоканальных сред передачи данных характерны следующие
показатели эффективности:
- среднее количество работоспособных каналов ANWC [192]:
N0
ANWC Pi (t / C )( N 0 i)
i 1
,
(4.26)
где Pi(t/С) - вероятность того, что в момент времени t неработоспособны i
каналов передачи данных; No — количество каналов в полностью
работоспособной многоканальной среде;
- вероятность
работоспособности
количества каналов передачи
данных, не меньше заданного числа Pnwc [192]:
i0
Pnwc Pi (t / C )
i 1
,
(4.27)
158
где i0 - максимально допустимое количество неработоспособных каналов
передачи данных.
Свойство живучести, как способности многоканальной среды передачи
данных выполнять свои основные функции на заданном интервале времени
без отказов, определяет порог устойчивости, за которым без восстановления
элементов и функций среда передачи может прекратить функционирование.
[192] Таким образом, живучесть многоканальной среды передачи данных
имеет
важнейшее
значение
для
эффективного
функционирования
мультикомпьютерной системы.
Выводы к Разделу 4
4.1. Рассмотрены проблемы поддержки защиты передачи данных в
процессе маршрутизации. Показано, что требуется разработка специального
механизма адаптивной маршрутизации данных по заданному пути, что
позволит обеспечить передачу данных по защищенному пути. Показано, что
для реализации адаптивной маршрутизации по заданному
защищенному
пути требуется учет вектора весов канала передачи данных, в частности,
метрик защищенности и надежности пути передачи данных,
а также
критерия
который
уровня
доверия
к
действиям
узлов
системы,
функционально связан с уровнем защищенности передачи данных по этому
пути.
4.2.
Предложен
алгоритм
адаптивной
маршрутизации,
который
предусматривает передачу данных по определенному каналу связи, сформированному по принципу комплексного повышения эффективности передачи
данных. Критерий защищенности определен как вероятность реализации
угроз безопасности передачи данных по конкретному подканалу. Введен
дополнительный параметр: вес канала передачи данных или канала связи с
точки зрения его защищенности как величина, обратная вероятности
реализации угроз безопасности по данному каналу, при этом в каждом узле
(маршрутизаторе) поддерживается вектор весов каналов связи, который
159
периодически обновляется по данным узлов, после чего происходит
обновление таблиц маршрутизации. Разработан метод выделения маршрутов
передачи данных на основе формирования комплексного состояния узлов,
значение которого определяет возможность их включения в области
передачи данных, которые отличаются требуемыми показателями надежности, уровня доверия, степени связности и интенсивности передачи данных.
4.3. Рассмотрены особенности реализации механизмов адаптивной маршрутизации по защищенному пути. Показано, что для компьютерных систем
с относительно малым числом узлов и регулярной топологией достаточно
эффективными являются централизованная маршрутизация и маршрутизация
от источника. Для масштабируемых компьютерных систем наиболее
эффективной
является
многофазовая
маршрутизация.
Дополнительное
повышение эффективности достигается за счет использования компьютерных систем с многоканальными связями, поскольку в этом случае
реализуется комбинация технологий физической и топологической многоканальности для передачи данных, что позволяет оперативно изменять
маршрут передачи данных с учетом текущих параметров узлов и каналов
связи, и обеспечивать достаточно надежную передачу данных от источника к
приемнику.
4.4. Выполнен анализ надежности программно-аппаратных средств
защиты МКС с многоканальными связями в режиме эксплуатации.
Показано, что полученная интегральная оценка надежности средств защиты в
распределенных
корректирующий
мультикомпьютерных
фактор
для
системах
оценки
степени
используется
риска
как
нарушения
защищенности. Также показано, что в случае, если надежность средств
защиты снижается, то соотвественно, снижается и возможность их
эффективного использования (включения), в частности, для оперативного
реагирования на инциденты безопасности, что, соответственно влияет на
общую
оценку
риска
нарушения
мультикомпьютерных систем.
защищенности
распределенных
160
4.5. Выполнен анализ живучести многоканальной среды передачи данных
в МКС. Показано, что для оценки живучести системы многокальной среды
передачи данных с разветвленной структурой требуется установление таких
показателей качества, изменение которых определяет степень ухудшения
характеристик при наличии действия внешних возбуждающих воздействий.
Для многоканальных сред передачи данных выделяются и оцениваются такие
показатели эффективности: среднее количество работоспособных каналов;
вероятность работоспособности количества каналов передачи данных, не
меньше заданного числа.
161
РАЗДЕЛ 5.
АДАПТИВНОЕ УПРАВЛЕНИЕ СРЕДСТВАМИ
ЗАЩИТЫ
РЕСУРСОВ РАСПРЕДЕЛЕННЫХ МУЛЬТИКОМПЬЮТЕРНЫХ СИСТЕМ
5.1. Основные угрозы защищенности и базовые компоненты защиты
мультикомпьютерных систем
Защита компьютерных систем основывается на предотвращении угроз,
классифицированных с учетом потенциальных нарушений защищенности
ресурсов. Для обеспечения эффективной защиты учитываются все разновидности угроз, среди которых наиболее опасными
являются те, которые
связаны с действиями субъектов-пользователей. На рис. 5.1 представлены
основные компоненты в области защиты компьютерных
систем и их
взаимосвязь [199].
Владельцы
Средства
защиты
Риски
Угрозы
Активы
(ресурсы)
Уязвимости
Агенты
вторжений
Рис. 5.1. Компоненты защиты компьютерных систем и их взаимосвязь
Определим понятия уязвимость и угроза безопасности.
162
Под уязвимостью понимается проблемный элемент в компьютерной
системе, используя который можно нарушить ее защищенность.
Под угрозой безопасности понимается возможность возникновения
ситуаций, влияющих на компьютерную систему таким образом, что это
приводит к нарушению ее безопасности.
Угрозы
защищенности
компьютерных
систем
классифицируются
следующим образом [200]:
по природе происхождения: случайные и преднамеренные;
по направлению осуществления: внешние и внутренние;
по объекту воздействия: узел субъекта, узел администратора, каналы
связи, маршрутизаторы и т.д.;
по способу осуществления: информационные, программные, физические,
радиотехнические, организационно-правовые;
по жизненному циклу: проектирование МКС, эксплуатация МКС, вывод
из эксплуатации МКС.
В распределенных МКС ввиду того, что число узлов в них динамически
изменяется и постоянно модифицируются связи между узлами, присутствует
практически полный комплекс выше перечисленных угроз. Следует
отметить, что в процессе обработки данных субъект передает их МКС, при
этом часто субъекту не известны те конкретные узлы, маршрутизаторы и
каналы связи, которые обрабатывают и передают его данные. Ввиду того, то
в результате масштабирования к МКС могут подключаться такие узлы,
поведение которых с точки зрения защищенности передаваемых им данных
неизвестно,
а
также
использоваться
каналы
связи,
потенциально
подверженные опасным воздействиям, вопрос текущей безопасности данных
приобретает вероятно-стный характер в зависимости от конкретной
конфигурации узлов МКС и среды передачи данных. Таким образом, особую
важность приобретает задача оценки рисков защищенности обрабатываемых
163
данных и адаптивное управление механизмами защиты для оперативной
реакции на несанкционированные воздействия.
В компьютерных системах существует значительное число уязвимостей,
используемых
агентами
вторжений для организации
атак с целью
несанкционированного доступа (НСД) к информации.
Под несанкционированным доступом понимается событие, нарушающее
правила разграничения доступа и приводящее к следующим результатам:
нарушение конфиденциальности и
целостности обработки информации,
отказ в обслуживании, нарушение функционирования системы.
К типичным нарушениям защищенности относятся [202]:
потеря конфиденциальности ресурса с нанесением определенного
ущерба;
потеря целостности ресурса вследствие несанкционированной модификации;
потеря доступности ресурса вследствие некорректного запрета доступа
к нему для легального субъекта.
В общем случае, ответственность за защиту ресурсов возлагается на их
владельцев, которые также определяют
стоимость данных ресурсов. С
другой стороны, эти ресурсы представляют собой интерес и имеют
значимость также и для агентов вторжений, целью которых является
получение несанкционированного доступа к ним. С точки зрения владельцев
информации, угрозы безопасности представляют собой потенциальные
нежелательные воздействия на их ресурсы, приводящие, в том числе, к
снижению их стоимости.
В результате анализа существующих
угроз определяются риски
нарушения защищенности ресурсов компьютерных систем, кроме того,
данный анализ позволяет определить контрмеры для нейтрализации
потенциальных угроз и снизить риски нарушения защищенности ресурсов до
приемлемого уровня. Требования к процедуре анализа рисков нарушения
164
защищенности на различных этапах проектирования, разработки, внедрения
и сопровождения средств защиты информации от НСД, а также действия владельцев информации и администраторов компьютерных систем по их защите от возможных угроз и вторжений определяет стандарт ІSO-15408 [201].
Контрмеры позволяют снизить число потенциальных уязвимостей в
компьютерной системе с использованием механизмов защиты в соответствии
с установленной политикой безопасности. При этом после реализации
контрмер могут оставаться остаточные уязвимости, которые могут быть
использованы агентами вторжений. Эти уязвимости формируют остаточный
риск, который снижается путем применения дополнительных средств
защиты.
Перед тем, как предоставить доступ к своим ресурсам их владельцы
должны убедиться в том, что применяемые ими контрмеры обеспечивают
адекватное противостояние
потенциальным угрозам. В общем случае,
владельцы ресурсов не всегда могут объективно оценить эффективность
используемых средств защиты и в таком случае необходима независимая
оценка. Результатом такой оценки является степень доверия к средствам
защиты с точки зрения снижения рисков нарушения защищенности ресурсов.
Степень доверия – характеристика средств защиты, которая подтверждает
корректность и эффективность их использования, также данная оценка используется владельцем ресурсов в процессе принятия решения о допустимом
уровне риска нарушения защищенности для его ресурсов. На рис. 5.2 показана взаимосвязь между степенью доверия к средствам защиты и уровнем
риска нарушения защищенности ресурсов компьютерных систем [199].
Результаты
оценки
параметров
средств
защиты
должны
быть
верифицированы с точки зрения их корректности, что позволит использовать
данные оценки для обоснования допустимого уровня риска нарушения
защищенности в конкретной среде компьютерной системы [199, 203, 204].
165
Методы
доверия
Оценка
Доверие
Владельцы
Средства
защиты
Уверенность
Риск
Активы
Рис. 5.2. Взаимосвязь понятий, используемых при оценке рисков нарушения
защищенности
5.2. Комплексные риск-ориентированные адаптивные системы управления средствами защиты
5.2.1. Основные принципы реализации адаптивных систем управления
средствами защиты
Адаптивное управление средствами защиты – специальный подход,
позволяющий гибко и в реальном времени изменять текущий
уровень
защищенности распределенных мультикомпьютерных систем с учетом
возникающих угроз их безопасности и особенностей их функционирования.
Основной задачей систем адаптивного управления средствами защиты
является повышение эффективности системы защиты путем автоматического
принятия решений по управлению уровнем защищенности распределенных
мультикомпьютерных
систем
с
учетом
динамически
изменяющихся
факторов угроз безопасности и реконфигурации системных ресурсов [205].
Реализация
адаптивного
подхода к
построению
средств
защиты
распределенных мультикомпьютерных систем базируется на следующих
принципах [205 – 207]:
1. разграничение среды обработки и среды хранения информации;
166
2. унификация всех взаимодействий в системе;
3. выделение средств защиты в отдельные подсистемы;
4. формирование единого интерфейса взаимодействия подсистем защиты
с другими подсистемами распределенной мультикомпьютерной системы.
Разделение среды обработки и среды хранения данных вызвано
выполнением анализа обращений к ресурсам компьютерных систем и
управлением доступом к ним [205 – 207]. Анализ информационных потоков в
системе возможен лишь в том случае, если все взаимодействия между средой
обработки и средой хранения информации осуществляется на основе
специального контролируемого механизма передачи сообщений.
Унификация взаимодействий в системе позволяет упростить реализацию
механизма управления доступом, и, соответственно, снизить вероятность
ошибок при его реализации [208 – 218].
Реализация средств защиты в виде отдельных подсистем позволяет
разрабатывать их независимо от модулей поддержки прикладных функций
[205 -207]. При этом требуется обеспечение единого интерфейса взаимодействия подсистем защиты между собой, а также с другими подсистемами.
Реализация средств защиты на прикладном уровне позволяет создавать
средства обеспечения защиты без привязки к конкретной операционной
системе. Однако данный подход к реализации средств защиты имеет
недостаток: такие средства могут быть ориентированы на конкретное
приложение, что не позволит их использовать для защиты полного спектра
приложений. Для устранения данного недостатка приложениям предоставляется доступ к функциям защиты на основе единого интерфейса сервиса
прикладного уровня, что позволяет решить проблему добавления новых
средств защиты в систему и избежать их дублирования [205 -207]. Данный
подход является универсальным и может применяться как при разработке
средств защиты распределенных мультикомпьютерных систем, так и при
построении
защищенных
распределенных
прикладных программных комплексов [205].
операционных
систем
и
167
Представим основные спецификации и требования к адаптивным
системам защиты (рис. 5.3).
Программные
ресурсы
Аппаратные
ресурсы
Оценка параметров системы
безопасности
Актуальные угрозы
и каналы утечки
информации
Атаки
Административная
политика
безопасности
Переоценка целей системы
безопасности
Каталог
требований к
безопасности
Генерация требований к безопасности
Функциональные
требования
Требования по
надежности
Требования к
аппаратуре
Обобщенная спецификация
системы безопасности
Каталог сертификатов адаптивных систем безопасности
Рис. 5.3. Основные требования и спецификации адаптивных систем защиты
На первом этапе основной целью является анализ параметров, связанных
с обеспечением защиты распределенных мультикомпьютерных систем, таких
168
как: уровень защищенности, риски нарушения защищенности, уровень
потенциальных угроз безопасности, уровень ценность обрабатываемой
информации, надежность функционирования, производительность и т.д.
На втором этапе выполняется переоценка целей системы защиты на
основе
механизмов
мониторинга
безопасности,
которые
выполняют
обнаружение сетевых атак и позволяют выявить возможные угрозы и каналы
утечки информации в мультикомпьютерных системах. Важным требованием
к механизмам мониторинга безопасности является обеспечение корректности
выявления всех недостаточно защищенных компонентов распределенных
мультикомпьютерных систем. Также на этом этапе выполняется проверка
соответствия реализуемой политики безопасности требуемому уровню
защищенности распределенной мультикомпьютерной системы. На основании
оценок, полученных на данном этапе и с учетом данных из специального
каталога, содержащего предварительно сформированные требования к
защищенности мультикомпьютерной системы, формируются требования к
механизмам защиты.
На
третьем
этапе
формируется
общая
спецификация
системы
обеспечения защиты с учетом:
функциональных требований, представленных в виде списка функций,
которые должны выполняться механизмами защиты,
требований к надежности, включающих определение затрат на
обеспечение надежности и доступности механизмов защиты,
требования к аппаратному обеспечению.
На четвертом, завершающем, этапе выполняется создание обновленного
каталога сертификатов адаптивных систем защиты, которые используются
для формирования стандартов в области обеспечения защищенности систем.
169
5.2.2. Средства адаптивного управления средствами защиты
компьютерных систем на основе профилей безопасности
Для повышения эффективности адаптивного управления средствами
защиты компьютерных систем предлагается использовать подход на основе
эталонной модели. В качестве эталонной модели выступают профили
(шаблоны) безопасности, т.е. параметры защищенности компьютерной
системы.
База
профилей
безопасности
формируется
на
основе
предварительно собранных экспериментальных данных о функционировании
системы защиты [232].
Структурная схема предлагаемой системы адаптивного управления
средствами защиты на основе профилей безопасности показана на рис. 5.4.
Блок анализа
параметров
безопасности МКС
yр
0
Средства
адаптации
Средства защиты
информации в
МКС
yт
База профилей
безопасности МКС
Блок задания требуемых
параметров безопасности
МКС
Рис. 5.4. Система адаптивного управления средствами защиты с
использованием профилей безопасности
Рассмотрим особенности функционирования данной системы. В том
случае, если параметры защищенности компьютерной системы постоянны,
ошибка
регулирования
равна:
yт y р 0 и
средства
адаптации
находятся в т.н. “спящем” режиме.
Если параметры системы защиты изменяются вследствие реакции на
изменение требуемого уровня защищенности обрабатываемой информации,
170
то возникает ошибка регулирования y m y р 0 и инициализируются
средства адаптации параметров системы защиты, с тем чтобы привести
функционирование
системы
защиты
в
соответствии
с
требуемыми
параметрами. Таким образом, фактически, задача средств адаптации состоит
в сведении к нулю ошибки регулирования ( 0 ).
5.2.3. База профилей безопасности компьютерной системы
Фактически, профиль безопасности представляет собой набор параметров
системы
защиты
компьютерной
системы,
на
основании
которых
определяется требуемый уровень защищенности системы с учетом критериев
оценки защищенности информации [233]. К числу функциональных
критериев оценки уровня защищенности в соответствии с стандартом ISO
15408 "Общие критерии оценки безопасности информационных технологий"
относятся:
аудит
безопасности
(FAU:
security
audit);
связь
(FCO:
communication); криптографическая поддержка (FCS: cryptographic support);
защита данных пользователя (FDP: user data protection); идентификация и
аутентификация
(FIA:
identification
and
authentication);
управление
безопасностью (FMT: security management); секретность (FPR: privacy);
защиты функций безопасности объекта оценки (FPT: protection of the TSF);
использование ресурсов (FRU: resource utilisation); доступ к объекту оценки
(FTA: TOE access); надежный маршрут/канал (FTP: trusted path/channels)
[235].
Кроме функциональных критериев, в ISO 15408
Критерии
корректность
гарантированной
реализации
безопасности,
функций
также выделены
позволяющие
обеспечения
защиты,
оценить
такие
как:
управление конфигурацией (ACM: configuration management); разработка
(ADV: development); внедрение и функционирование (ADO: delivery and
operation); руководящие документы (AGD: guidance documents); жизненный
цикл (ALC: life cycle support); испытания (ATE: tests); оценка уязвимых
ресурсов (AVA: vulnerability assessment).
171
Таким образом, критерии оценки защищенности компьютерных систем
определяются как комплекс требований к механизмам обеспечения защиты,
оценки их эффективности и доверия к ним при использовании. Задача
адаптивного управления средствами защиты эффективно решается
при
наличии
компьютерной
полной
информации
о
состоянии
системы
только
защиты
системы и параметров ее функционирования [235, 236].
Таким образом, для обеспечения адаптивного управления средствами защиты
необходимо использовать не только количественные, но и качественные
критерии безопасности.
Для принятия решений по управлению средствами защиты с учетом
вышеперечисленных
требований
предлагается
использовать
аппарат
нечеткой логики. В этом случае профили безопасности вносятся в базу
знаний
и на основании нечеткого логического вывода
принимаются
решения по управлению средствами защиты компьютерной системы.
5.2.4. Этапы проектирования адаптивных механизмов защиты
распределенных мультикомпьютерных систем
Процесс реализации адаптивных механизмов защиты распределенных
мультикомпьютерных
систем
предлагается
выполнять
по
этапам,
представленным на рис. 5.5. [251]. Основными субъектами в данном
процессе являются: владельцы информации, владельцы распределенных
мультикомпьютерных
систем
и
субъекты-агенты
конкурирующих
организаций.
Владельцы информации – субъекты, которые обладают данными,
которые должны быть защищены от несанкционированного доступа. Владельцы распределенных мультикомпьютерных систем – субъекты, которые
предоставляют владельцам информации свои системы для обработки данных.
В частном случае владельцы информации и владельцы распределенных
мультикомпьютерных систем являются одним и тем же лицом.
172
Владельцы информации
Решение по аудиту
Требования по минимизации рисков
Решение по финансированию
новых механизмов защиты
of the information losses
Владельцы МКС
Аудит МКС с учетом
возможных атак
Противодействия возможным атакам
and threats
Вспомогательные сервисы
Решение по модификации систем
безопасности
Аудит политики безопасности
Анализ уязвимостей МКС в связи с
угрозами и модификацией
Анализ новых каналов утечки
modifications информации
due to the threats and
Анализ рисков потерь информации
due to the threats and modifications
Решение по адаптации
систем безопасности
Агенты вторжений
and their Intelligence Services
Руководство по эксплуатации
для служб технической
разведки
Анализ параметров систем безопасности
and realizations of the unauthorized access Реализация несанкционированного доступа к информации
Системы безопасности для защиты
информации с динамически изменяющейся
ценностью
Рис. 5.5. Этапы разработки адаптивных механизмов защиты распределенных
мультикомпьютерных систем
173
Введем следующие этапы проектирования адаптивных механизмов
защиты. На первом этапе владельцы информации формируют требования к
системам
с целью минимизации рисков потерь информации. На втором
этапе владельцы распределенных мультикомпьютерных систем определяют
принципы аудита мультикомпьютерных систем с учетом возможных атак на
них и принимают решение по добавлению новых механизмов защиты. На
третьем
этапе
владельцы
мультикомпьютерных
систем
реализуют
противодействие возможным атакам и угрозам, используя результаты
анализа уязвимостей систем, а также результаты анализа рисков нарушения
защищенности
собственно информации. На данном этапе принимаются
решения по модификации механизмов защиты и политики безопасности, а
также выполняется анализ возможных каналов утечки данных. Данная
информация является основой для принятия решений по адаптации
механизмов
защиты
мультикомпьютерной
защищенности.
параметров
к
системы,
Агенты
систем
требуемым
например,
вторжений
защиты
параметрам
к
необходимому
выполняют
и
делают
распределенной
собственный
попытки
уровню
анализ
реализовать
несанкционированный доступ к защищенной информации. Их действия
находятся под постоянным мониторингом, фиксируются в специальном
файле аудита и являются составной частью исходных данных для анализа
потенциальных угроз и каналов утечки данных. На завершающем, четвертом
этапе,
выполняется
практическая
реализация
механизмов
защиты,
реализующих перечисленные выше этапы.
Предложенный подход позволяет проектировать адаптивные системы
защиты,
способные
динамически,
с
учетом
изменения
ценности
обрабатываемой информации, реагировать на потенциальные атаки агентов
вторжений на распределенные мультикомпьютерные системы.
174
5.2.5. Выбор стратегии модификации средств защиты в адаптивных
системах защиты
После завершения процесса проектирования адаптивных механизмов
защиты распределенных мультикомпьютерных систем, необходимо выбрать
оптимальную стратегию модификации используемых средств защиты.
Известен ряд специальных критериев принятия решений по модификации
механизмов
защиты,
основывающихся
на
методической
оценке
неопределенных факторов с неизвестным распределением или нечетких
факторов.
Наиболее часто в теории поддержки принятия решений используются
критерии Вальда, Сэвиджа, Гурвица и Лапласа [158, 219]. Так, в
соответствии с критерием Вальда, оптимальной является такая стратегия,
которая гарантирует результат не хуже, чем "нижняя цена игры с природой".
Решения, принятые таким образом, характеризуются минимальным риском
нарушения функционирования системы.
Для
формирования
сбалансированного
решения
по
модификации
механизмов защиты с учетом, с одной стороны, пессимистической оценки по
критерию Вальда (W), с другой -- оптимистической оценки по критерию
Сэвиджа (S), предлагается использовать критерий Гурвица (G):
G = τ * W + (1 - τ) * S ,
(5.1)
где: τ - показатель пессимизма-оптимизма, который определяется на основе
экспертных оценок.
Параметр τ (0 < τ <1) определяется путем анализа параметров механизмов
защиты таких, как: предоставляемый уровень защищенности, потери
производительности системы вследствие применения средств защиты,
вероятность несанкционированного доступа, затраты на реализацию и т.д.
Если
механизмы
защиты
достаточно
эффективны,
то
τ
параметр
устанавливается в значение, меньше, чем 0,5 и с увеличением эффективности
175
средств защиты стремится к 0, а в противном случае значение τ превышает
0,5 и при снижении эффективности средств защиты стремится к 1.
Таким образом, применение стратегии модификации средств защиты на
основе критерия Гурвица является оптимальным подходом, который
рекомендуется использовать на практике при реализации адаптивных систем
защиты.
5.3. Адаптивное управление средствами защиты компьютерных систем
на основе семиотических СППР с интеллектуальным агентом
5.3.1. Формализация задачи принятия решений для адаптивного
управления средствами защиты
Эффективные решения по адаптивному управлению средствами защиты
связаны с оптимизационной задачей: повышение производительности МКС
при условии обеспечения требуемого уровня защищенности МКС.
В общем случае, производительность МКС γ оценивается как:
Tcmp
I
,
fT ( X i )
(5.2)
где I - объем обрабатываемой информации, Tcmp - время, затрачиваемое на
вычислительные функции, fT (Xi) – функциональная зависимость времени,
затрачиваемого на реализацию средств защиты МКС. Фактически, fT (Xi)
является целевой функцией оптимизации, где в качестве параметров данной
функции Xi выступает количество единиц средств защиты, выделенных на
обеспечение защищенности МКС.
Как видно из соотношения (5.2), для повышения производительности
МКС значение данной функции должно быть минимизировано при условии
обеспечения требуемого уровня защищенности МКС.
Формализуем рассматриваемую оптимизационную задачу следующим
образом: минимизировать
n
fT ( X i ) Ti * X i
i 1
,
(5.3)
176
при ограничении:
n
K
i 1
i
* X i SLmin , i = 1,..,n ,
(5.4)
где Ti - время, затрачиваемое на реализацию i-того средства защиты
МКС, Ki - коэффициент эффективности применения i-того средства защиты
МКС с учетом его влияния на общий уровень защищенности МКС, n – общее
число используемых средств защиты, SLmin – текущий требуемый уровень
защиты.
Поиск решений по адаптивному управлению средствами защиты
компьютерных систем реализуется с использованием,
последовательных
алгоритмов дискретной оптимизации, в частности, метода последовательного
анализа и отсева вариантов [158, 219].
5.3.2. Средства поддержки принятия решений для адаптивного
управления средствами защиты
Для
реализации
компьютерных
адаптивного
управления
средствами
защиты
систем предлагается применить аппарат семиотического
моделирования с использованием систем поддержки принятия решений
(СППР).
СППР
применяются
для
принятия
решений
в
слабо
структурированных задачах, не имеющих строгого алгоритмического
решения. В СППР изначально формируется модель предметной области и
база знаний о предметной области, которая заполняется знаниями экспертов,
и обновляется в процессе эксплуатации.
Семиотические СППР для представления знаний о компьютерной
системе и событиях в ней используют множество формальных или логиколингвистических моделей, реализующих определенные интеллектуальные
функции: функцию (правило) выбора необходимой модели (совокупности
моделей)
для
обработки
текущих
событий,
множество
функций
модификации моделей, функцию (множество функций) модификации
собственно системы и ее базовых конфигураций [220].
177
Общая структура системы адаптивного управления средствами защиты
компьютерных систем на основе СППР представлена на рис. 5.6.
Адаптивное управление средствами защиты компьютерных систем на
основе СППР реализуется как последовательность 4-х этапов:
1. Создание лингвистических моделей для описания событий, связанных
с защитой компьютерных систем. Анализ этих событий обеспечивает
выявление нештатных ситуаций в компьютерных системах.
2. Формирование подмножества информационно-знаковых моделей
событий, которые ранее возникали в аналогичных ситуациях для принятия
решений по текущим событиям с использованием специальной базы данных.
Формальные правила
принятия решений
База данных
для принятия
решений
Подсистема
принятия решений
Подсистема
анализа ситуаций
Компьютерная
система
Подсистема
прогнозирования
Рис. 5.6. Общая структура средств адаптивного управления средствами
защиты компьютерных систем на основе СППР
3. Выработка возможных решений на основе формальных правил,
описанных в семантических сетях. Полученные решения сравниваются с
решениями, полученными из базы данных, и в результате чего формируется
подмножество наиболее эффективных решений.
4. Прогнозирование возможных состояний компьютерной
178
системы в
соответствии с каждым из эффективных решений. Оцениваются последствия
решений и их интегральные характеристики, при этом решение, получившее
наивысшую оценку, реализуется для управления средствами защиты
распределенной мультикомпьютерной системы.
5.3.3. Архитектура СППР для адаптивного управления средствами
защиты
Для принятия решений по адаптивному управлению средствами защиты
компьютерных систем предлагается механизм на основе семиотической
СППР агентного типа. Данная СППР является системой искусственного
интеллекта и сочетает строгие, формальные методы и модели поиска решений с нестрогими, эвристическими методами и моделями, базирующимися на
знаниях специалистов-экспертов, моделях человеческих рассуждений, имитационных моделях, неклассической логике и накопленном опыте [221, 222].
Архитектура
предлагаемой
СППР
для
адаптивного
управления
средствами защиты представлена на рис. 5.7. Рассмотрим функции основных
компонентов данной СППР.
База данных предназначена для хранения исходных и оперативных
промежуточных данных о параметрах компьютерной системы.
База знаний (БЗ) СППР предназначена для хранения долгосрочных
данных, описывающих принципы управления средствами защиты компьютерных систем, и правил, описывающих требуемые преобразования данных
для этой задачи.
Компонент приобретения знаний автоматизирует процесс наполнения
СППР знаниями, осуществляемый экспертами.
Объяснительный компонент показывает, каким образом получено
решение задачи или причину отказа в решении и какие знания при этом были
использованы, что облегчает тестирование системы и повышает доверие к
полученному результату.
179
Диалоговый
компонент
Объяснительный
компонент
Эксперт
Блок выработки
решений
Компонент
приобретения
знаний
База
данных
База знаний
Подсистема
моделирования
компьютерной
системы
Интерфейс
с компьютерной
системой
Рис. 5.7. Архитектура СППР для адаптивного управления средствами
защиты
Диалоговый компонент реализует эффективный интерфейс с экспертом в
ходе решения задачи, в процессе приобретения знаний и объяснения
принятого решения.
Блок выработки решений, на основании исходных данных из базы данных и знаний БЗ, формирует последовательность правил, приводящую к
эффективному решению задачи управления средствами защиты.
Подсистема моделирования компьютерной системы описывает модели
функционирования и поддержки защищенности компьютерных систем.
Интерфейс
с компьютерной
системой обеспечивает получение
требуемых характеристик компьютерных систем с помощью специальных
программно-аппаратных средств.
СППР выполняет поиска (вывод) решений с использованием моделей и
методов обработки динамических знаний, которые могут характеризоваться
180
недостоверностью, нечеткостью, неполнотой и противоречивостью [221,222].
Поиск решений осуществляется на основе механизмов нечетких, псевдофизических (пространственно-временных и причинно-следственных), немонотонных (абдуктивных, умолчания и т.д.) логик, а также механизмов обобщения и пополнения динамических знаний [221,222]. При этом для имитации
проблемной ситуации, в частности, поведения управляемой компьютерной
системы могут использоваться точные математические модели в сочетании с
экспертными моделями.
Следует отметить, что для повышения эффективности принимаемых
решений необходимо учитывать информацию о соответствующих последствиях, получаемую из базы знаний или от средств прогнозирования [223].
5.3.4. Интеллектуальный агент СППР
Для выработки решений в СППР агентного типа используется
интеллектуальный агент (или система интеллектуальных агентов), который
направленно обрабатывает данные, представленные в его базе знаний на
основе модели предметной области и накопленного в процессе обучения
"опыта", и способен генерировать решения в соответствии с заданной
целевой функцией.
Интеллектуальный агент интегрируется в блок выработки решений СППР
(рис. 5.8) и обладает следующими свойствами [224, 225]:
автономность
–
функционирует
без
внешнего
управляющего
воздействия;
реактивность – способен воспринимать систему и реагировать на
изменения ее параметров;
активность – способен ставить цели и инициативно действовать для
достижения поставленной цели;
коммуникативность – взаимодействует с другими агентами;
обучаемость – поддерживает процесс обучения и адаптации накопленного "опыта" при изменениях в системе.
181
Архитектура предлагаемого интеллектуального агента СППР для задач
адаптивного управления средствами защиты представлена на рис. 5.8 [226 –
229].
Компьютерная система
База знаний агента
База моделей агентов
Интерфейс агента
Сенсор
Эффектор
База знаний о принципах
адаптивного управления
средствами защиты
Планировщик действий
агента
База знаний по
накопленному "опыту"
Рис. 5.8. Архитектура интеллектуального агента СППР
Интерфейс агента включает функциональные блоки, выполняющие
взаимодействие с компьютерной системой. Сенсор обеспечивает получение
агентом сообщений от компьютерной системы и других аналогичных
агентов, а эффектор служит средством передачи
сообщений от данного
агента компьютерной системе и другим агентам.
База знаний агента хранит полный набор знаний, полученных в процессе
функционирования агента. В нее входят база моделей агентов, база знаний о
принципах адаптивного управления средствами защиты компьютерных
систем и база знаний накопленного "опыта".
В базе моделей агентов хранятся знания о структуре и интерфейсах
вызовов других агентов. Вначале, в этой базе содержится исходная
информация о структуре других агентов, необходимая для взаимодействия
между ними, далее, в процессе взаимодействия с другими агентами, в базу
добавляются новые знания. Использование моделей агентов является
необходимым условием в СППР агентного типа, поскольку общая
конфигурация СППР, в частности, количество, функции и состав агентов
может постепенно изменяться без прерывания ее функционирования.
182
База знаний о принципах адаптивного управления средствами защиты
содержит формализацию данной задачи, а также знания, получаемые в
процессе ее решения. Эта база содержит промежуточные результаты
решения подзадач, а также хранит знания о способах решения задач и
методах выбора данных способов (модели поведения).
База знаний накопленного "опыта" содержит знания агента о решениях
предыдущих задач по адаптивному управлению средствами защиты и
различные сопутствующие знания, которые нельзя отнести к предыдущим
категориям.
Планировщик действий агента обеспечивает координацию деятельности
агента по решению задачи адаптивного управления средствами защиты.
Планировщик должен балансировать функционирование агента между
построением планов решения
задачи и непосредственной реализацией
намеченных планов.
Для принятия эффективных решений по адаптивному управлению
средствами защиты сложных распределенных мультикомпьютерных систем
необходимо использовать СППР с несколькими взаимодействующими
интеллектуальными агентами. Для организации взаимодействия между
агентами
применяется
специальный
язык
общения
агентов
KQML
(Knowledge Query and Manipulation Language), позволяющий описывать
формат и протокол передачи сообщений между агентами. Описание на языке
KQML содержит 3 уровня [230, 231]:
коммуникативный уровень – описывает
параметры отправителя,
получателя и идентификаторы сообщений;
уровень сообщения – описывает запросы, управляющие действия и
протокол для интерпретации сообщений;
уровень содержания
– содержит информацию, сопровождающую
запросы уровня сообщения.
Результатом
действий
интеллектуального
агента
СППР
является
183
нахождение такой стратегии принятия решений, которая соответствует
экстремуму целевой функции. Целевыми функциями для задач адаптивного
управления
средствами
защиты
являются,
в
частности,
уровень
защищенности и производительность компьютерных систем.
5.4. Адаптивное управление средствами защиты на основе нечеткой
логики
5.4.1. Алгоритм адаптивного управления средствами защиты компьютерных систем на основе аппарата нечеткой логики
В настоящее время не существует дискретных алгоритмов, оперирующих
одновременно качественными и количественными знаниями для получения
однозначных решений. В свою очередь, функциональные (качественные)
критерии оценки уровня защищенности компьютерных
систем не могут
быть адекватно формализованы без применения аппарата нечеткой логики.
Использование
аппарата
теории
нечетких
множеств
позволяет
формализовать процесс принятия решений также и в многомерной нечеткой
среде.
Математическое описание параметров защищенности компьютерных
систем на основе аппарата нечетких множеств позволяет эффективно
формализовать и исследовать многие не только количественные, но и
качественные
события
для
оценки
защищенности
систем
путем
представления их в виде: x X : A ( x, A ( x), где ( x, A ( x)) пара
компонентов (синглтон), составленная из элемента x и степени его
принадлежности
Для
A (x)
к множеству X [237].
формализации
защищенности
функциональных
предлагается
критериев
применять
аппарат
оценки
уровня
лингвистических
переменных. В общем случае, лингвистическая переменная характеризуется
набором из компонентов:
n,T , D ,
где n – имя лингвистической
184
переменной, T – ее терм-множество или множество ее значений, D – область
определения значений [238, 239].
Принцип построения средств управления защитой на основе нечеткой
логики состоит в реализации синтеза теории планирования экспериментов и
теории нечетких множеств.
Функциональные критерии оценки уровня защищенности компьютерных
систем (например, знания и опыт экспертов) формализуются в виде
полинома [240]:
n
Y 0 i xi
i 1
n
j ,u 1
ju
x j xu , j u ,
(5.5)
где Y – зависимая лингвистическая переменная (критерий), i – правый
нечеткий коэффициент, xi – лингвистическая переменная.
Продукционные правила на основе функциональных критериев оценки
уровня защищенности в некоторой точке факторного пространства носят
импликативную форму «Если…, то…, иначе…», а набор продукционных
n
правил составляет ортогональную матрицу типа 2 , где n – размерность
факторного пространства.
Предлагается алгоритм построения прогностической модели управления
средствами защиты на основе формализации функциональных критериев в
многомерном пространстве.
Данный алгоритм включает в себя следующие шаги [240 - 244]:
1. Определение факторного пространства задачи
управления безопа-
сностью компьютерной системы.
2. Определение границ оппозиционной шкалы и термов по каждому
фактору.
3. Формирование матрицы функциональных критериев оценки уровня
защищенности компьютерной системы.
4. Генерация
лингвистических
переменных
качественной информации о событиях безопасности.
для
формализации
185
5. Расчет коэффициентов полинома формализации функциональных
критериев безопасности по (5.5).
6. Оценка ошибки численного эксперимента по управлению средствами
защиты компьютерной системы.
7. Оценка адекватности полученного полинома (5.5) для системы
управления защитой.
Таким
образом,
предлагаются
средства
адаптивного
управления
средствами защиты компьютерной системы на основе формализации
функциональных требований к обеспечению защиты в виде прогностических
моделей в многомерном пространстве. Принятие решений по управлению
средствами защиты реализуется путем решения нечетких уравнений.
Значением нечеткой функции
F ( x1 , x2 ,..., xn ) от нечетких чисел
x1 , x 2 ,..., x n является нечеткое множество с функцией принадлежности F(t)
:
sup min X ( x), A (a1),..., A (a n)
F (t )
F ( x1 ,..., xr ) t
,.
0, F (t ) 1
(5.6)
Согласно принципу расширения Заде нечеткое число x является
решением нечеткого уравнения F ( x, A1 ,..., An ) B, если
F 1 (t ) , F (t )
t :
min X ( x), A (a1 ),..., A ( a n) , (5.7)
F ( x ,a1 ,...,an )t
sup
где F ( x, A1 ,..., An ) – значение нечеткой функции от нечетких чисел,
A1 ,..., An , B – известные нечеткие числа, x – неизвестное нечеткое число,
F(t) – степень принадлежности x к множеству чисел В.
5.4.2. Принцип установления требуемого уровня защищенности МКС
Представим основные принципы установления
требуемого уровня
защищенности МКС. Уровень защищенности МКС определяется совокупно-
186
стью требований к обеспечению защищенности с использованием методов
оптимизации плановых решений, а также на основе специальных моделей
поддержки защиты.
Достаточность уровня защищенности для конкретной МКС определяет
администратор
безопасности
в
процессе
планирования
механизмов
реализации требований к защищенной обработки данных.
Определение
необходимого
уровня
защищенности
базируется
на
принципах минимальной достаточности и дискретности, на основе которых,
с учетом действующих ограничений, устанавливается базовый уровень
защиты МКС с возможностью его увеличения в случае необходимости.
Оценка
базового
уровня
защищенности
использованием показателей SLБОИ
открытой
информации
и
SLБКИ
МКС
выполняется
с
- базовый уровень защищенности
-
базовый
уровень
защищенности
конфиденциальной информации. Администратор МКС может повысить
уровень защищенности, включив в состав мер, определяющих показатель
SLБi, дополнительные требования к защищенности.
В
процессе
формирования
необходимого
уровня
защищенности
учитываются следующие факторы:
характер обрабатываемой информации: ограничение доступа, объем и
интенсивность
обработки
информации;технологические
особенности
информации: структурированность, стабильность, масштаб обработки;
характеристики МКС: вычислительные мощности, территориальная
распределенность, структурированность компонентов;
условия
функционирования
МКС:
архитектура,
компактность
расположения;
организация работы МКС: администрируемость, уровень подготовки и
дисциплины конечных пользователей.
Моделирование процессов обеспечения защиты ресурсов МКС позволяет
повысить корректность значения достаточного уровня защищенности, а
187
также ввести оценки целесообразности его изменения на основании
специфики моделей угроз и имеющихся ресурсов МКС.
Уровень защищенности МКС оценивается обобщенным показателем
нейтрализации угроз SL
в диапазоне от 0 до 1. Если требования всех
заданных
защищенности
показателей
МКС
соответствует требуемому уровню защищенности,
удовлетворены,
МКС
и в идеальном случае
значение показателя SL равно 1. В случае невыполнения хотя бы одного из
заданных требований, значение показателя SL меньше 1. Точность оценки
показателя SL зависит от учета важности показателей защищенности и их
взаимного влияния друг на друга.
При оценке уровня защищенности SL выполняются следующие действия:
1) определяется набор показателей SLi, учитываемых при оценке. Из
множества показателей исключаются те показатели, которые не оказывают
влияния на рассматриваемую систему, в частности, для изолированной компьютерной сети исключаются показатели защиты, связанные с передачей
данных по открытым каналам связи.
2)
определяется
коэффициенты
взаимного
влияния
показателей
защищенности VDij матричным методом по табл. 5.1.
Таблица 5.1.
Матрица коэффициентов взаимного влияния VDij
…
SLj
…
SL1
SL2
SLn
SL1
1
VD12
VD1j
VD1n
SL2
VD21
1
VD2j
VD2n
VDi1
VDi2
VDij
VDin
VDn1
VDn2
VDnj
1
….
SLi
…
SLn
Значения коэффициентов в матрице формируются на основе экспертных
оценок, они нормируются в интервале от 0 до 1, при этом значение 0,5
188
может, в частности, подразумевать, что i-ый показатель на 50% компенсирует отсутствие j-го показателя.
3) определяется весовая важность показателей защищенности.
Каждому показателю SLi ставится в соответствие вес Gi, который
нормируется в интервале от 0 до 1. Самому важному, с точки зрения
эксперта, показателю присваивается вес 1, остальным - значения менее 1,
если же показатель не учитывается, то его вес равен 0.
4) определяется качество реализации показателей. Если эксперт считает ,
что механизм защиты адекватен предъявляемым требованиям, то коэффициент качества реализации показателя ki он устанавливает в 1, если же
механизм не соответствует требованиям, то коэффициент ki равен 0. При
частичном соответствии требованиям эксперт устанавливает значение ki в
промежутке от 0 до 1.
5) определяется комплексная оценка уровня защищенности МКС как:
n n
SL = VDij * ki*Gi, где VDij=0,..,1; ki=0,…,1; Gi = 0,…,1 . (5.8)
i=1 j=1
На основании полученных результатов
администратор безопасности
вырабатывает управляющее воздействие на средства защиты информации с
учетом имеющихся ресурсов (финансовых, технических, временных и т.п.).
Алгоритм формирования требуемого уровня защищенности МКС
включает следующие этапы:
определение модели угроз безопасности;
определение модели агента вторжений;
установление требований к способам и механизмам защиты от угроз и
действий агентов вторжений;
определение номенклатуры действий по реализации средств защиты
информации;
выполнение оценки текущего уровня защищенности.
189
Формирование требуемого уровня защищенности реализуется на основе
информации по результатам действий субъектов МКС, осуществленных в
процессе предыдущих интервала функционирования МКС.
В том случае, если в МКС на протяжении определенного промежутка
времени обрабатывается менее ценная информации и в условиях высокого
уровня доверия к узлам МКС, на которых она обрабатывается, риск
нарушения защищенности оказывается сниженным, следовательно существует возможность снижения текущего требуемого уровня защищенности
ресурсов МКС, что, с другой стороны, обеспечит повышение производительности функционирования МКС по обработке пользовательских данных.
5.4.3. Анализ параметров функционирования механизма адаптивного
управления средствами защиты
Проведем анализ функционирования средств защиты компьютерных
систем двух различных типов: первый – средства защиты, поддерживающие
фиксированный уровень защищенности, второй – средства защиты с
использованием механизма адаптивного управления средствами защиты.
Рассмотрим, каким образом изменяется во времени уровень защищенности
Y(t) компьютерной
системы, в которой реализованы средства защиты
первого и второго типа. Для оценки данного параметра сформируем вектор
событий безопасности S = <S1,...,Sn>, элементами Si
которого являются
следующие события безопасности:
1. количество попыток ввода пароля;
2. длительность сеанса работы пользователя, мин.;
3. время использования пароля, суток;
4. количество попыток обращений к защищенным ресурсам;
5. количество отправленных пользователем сообщений;
6. количество попыток запуска критичных программ;
7. количество попыток модификации системных файлов.
190
Далее, на основании мониторинга событий безопасности в 100 сеансах
работы пользователей сформируем матрицу событий безопасности, пример
фрагмента которой представлен на рис. 5.9.
В этой матрице введен вектор V взвешенных оценок событий
безопасности, элементы которого рассчитываются как:
Vi
n
w S
i
i 1
,
i
(5.9)
где wi – весовой коэффициент опасности i-того действий для реализации
n
вторжения, причем
w
i 1
i
1 , и для рассматриваемого случая n = 7.
N
1
2
3
4
5
6
7
8
9
10
S1
S2
S3
S4
S5
S6
S7
19
4
11
4
12
18
4
12
6
19
2
1
0
1
0
4
1
1
4
3
4
2
2
4
4
1
3
0
1
1
V
4.32
3.05
3.15
4.47
3.53
2.35
2.14
1.51
1.98
2.03
3
2
3
2
3
1
0
5
2
1
3
6
32
15
57
16
58
50
36
22
20
37
29
18
19
36
21
17
3
34
4
5
4
7
2
2
1
0
2
1
.
.
.
.
.
.
.
.
…
90
91
92
93
94
95
96
97
98
99
100
5
3
4
3
1
2
4
2
5
4
3
22
38
41
32
37
45
29
12
21
39
42
23
2
13
35
15
7
38
22
10
21
25
9
6
1
2
7
9
8
6
5
8
2
18
14
4
8
13
19
18
14
15
16
8
3
2
5
1
1
2
4
2
3
3
0
5
1
2
4
3
2
4
2
3
1
3
6.65
3.45
2.49
3.43
4.28
4.86
5.93
3.74
4.42
4.42
2.91
Рис. 5.9. Матрица событий безопасности в компьютерной системе
Далее, для повышения эффективности представления полученных
данных, проведем кластеризацию вектора V по пять значений в кластере. В
191
резуль-тате получим 20 значений кластеризованного вектора взвешенных
оценок, элементы V5i которого рассчитываются как среднее арифметическое:
V5i
5i
V
j 5 i 4
j
/ 5, i = 1..20 .
(5.10)
Требуемый уровень защищенности Y(t) компьютерной системы
в
кластеризованном виде Y5i (t) определяется как:
Y5i (t ) V5i (t ) / V5 max , i = 1..20 ,
(5.11)
где V5max – максимально возможное значение вектора V в кластере, соответствующее средствам защиты информации с фиксированным уровнем защищенности. Уровень защищенности удобно представлять в процентном
отношении. Определим уровень защиты, обеспечиваемый средствами защиты с фиксированным уровнем защищенности как 100%, а также уровень
вычислительных затрат на реализацию функций защиты теми же средствами
зададим как 100%.
На основании полученных результатов (рис. 5.9) построим график изменения уровня защищенности Y5i(t) компьютерной системы сети во времени
для средств защиты информации с фиксированным уровнем защищенности
(первого типа) и средств защиты с использованием механизма адаптивного
управления средствами защиты (второго типа) (рис. 5.10).
В общем случае, по статистике, системы защиты контролируют около
75% подозрительных и опасных событий, таким образом, будем считать, что
уровень вычислительных затрат на реализацию функций защиты Z(t) связан с
уровнем защищенности Y(t) с масштабирующим коэффициентом k = 0,75, т.е.
оценивается как:
Z(t) ~ k* Y(t) .
(5.12)
Как видно из рис. 5.10 в средствах защиты информации первого типа
уровень защищенности остается постоянным на всем интервале наблюдения,
причем для гарантирования защищенной обработки данных этот уровень
должен оставаться максимально высоким. Как следствие, вычислительные
192
Уровень защищенности МКС, Y(%)
1
100,00
2
80,00
3
60,00
40,00
20,00
0,00
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Время, t
1 – Средства защиты информации первого типа
2 – Средства защиты информации второго типа
3 – Средний уровень для средств защиты второго типа
Рис. 5.10. Изменение уровня защищенности компьютерной системы во
времени для средств защиты информации первого и второго типа
затраты на поддержание функций защиты также постоянно находятся на
максимальных значениях (рис. 5.11).
При применении средств защиты информации второго типа - на основе
механизма
адаптивного
управления
средствами
защиты
уровень
защищенности постоянно изменяется в зависимости от требуемого уровня
защищенности обрабатываемой в данный момент информации, при этом
достаточно часто уровень защищенности оказывается ниже максимально
возможного (рис. 5.10).
В результате, вычислительные затраты на реализацию средств защиты
информации второго типа также постоянно изменяются, при этом усреднен-
193
ный уровень затрат оказывается ниже, чем для систем первого типа (рис.
5.11).
Таким образом, производительность обработки пользовательских данных
в компьютерных системах, в которых применяются системы защиты
информации на основе механизма адаптивного управления средствами
защиты оказывается выше, чем в случае использования обычных средств
защиты информации с фиксированным уровнем защищенности за счет снижения вычислительных затрат на реализацию функций защиты информации,
1
Уровень затрат Z,( %)
100,00
3
80,00
2
60,00
40,00
20,00
0,00
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Время, t
1 – Средства защиты информации первого типа
2 – Средства защиты информации второго типа
3 – Средний уровень для средств защиты второго типа
Рис. 5.11. Изменение вычислительных затрат на реализацию функций
защиты для средств защиты информации первого и второго типа
что подтверждает эффективность предложенного подхода к построению
средств защиты информации.
194
В целом, реализация средств защиты на основе механизма адаптивного
управления средствами защиты позволяет гибко определять требуемый в
данный момент времени уровень защищенности компьютерной системы, что
обеспечивает снижение усредненных потерь производительности в плане
обработки
пользовательских
данных.
Повышение
эффективности
функционирования средств защиты с адаптивным механизмом управления
средствами защиты достигается за счет применения аппарата нечеткой
логики.
5.5. Рейтинговый метод установления доверия в распределенных
мультикомпьютерных системах
5.5.1. Основные принципы формирования доверия между узлами МКС
Для повышения защищенности распределенных мультикомпьютерных
систем предлагается реализация системы защиты ресурсов МКС на основе
формирования уровня доверия к узлам с динамическим ранжированием
информации по ее ценности.
Суть предлагаемого подхода заключается в следующем. В процессе
масштабирования МКС каждому новому подключаемому узлу либо домену
изначально присваивается начальный минимальный (возможно, нулевой)
уровень доверия со стороны других узлов МКС, ввиду того, что поведение
данного узла в процессе функционирования в составе МКС не определено,
т.к. отсутствует соответствующая статистическая информация.
Таким образом, новый подключаемый узел в начальный период его
функционирования в составе МКС не имеет достаточного уровня доверия
для обработки им конфиденциальной информации (определенного уровня
секретности) и, следовательно, он может обрабатывать лишь открытые
данные. В процессе функционирования узла в составе МКС постоянно выполняется мониторинг параметров его функционирования и данных, передаваемых с данного узла в МКС. Необходимость в постоянном мониторинге
данных передаваемых от узлов, в частности вызвана возможностью
195
возникновения ситуации, когда узел с низким уровнем доверия фактически
выступает как агент вторжений, например, реализует НСД к ресурсам МКС.
По умолчанию, новый подключаемый к МКС узел автоматически
принимает установленную в системе политику безопасности [245, 246]. В
общем случае, подразумевается, что новый узел доверяет, как минимум, узлу-администратору или домену, поддерживающими базовые функции защиты МКС. Далее, в процессе функционирования узла в составе МКС уровень
доверия к нему динамически изменяется, тем самым формируется показатель рейтинга узла на основе соответствующей статистической информации.
Для формирования рейтинга (уровня доверия) узла МКС используются
механизмы мониторинга параметров узла, а также статистические данные,
преобразуемые в рекомендации, получаемые от доверенных узлов МКС,
Подключаемый
Узел
Мониторинг действий
Взаимодействие с узлом
ранее интегрированных в систему (рис. 5.12).
Другие
узлы МКС
Узел администратор
Отслеживание
попыток атак, Формирование
сканирование рейтинга узла
портов
Рекомендации других узлов
по текущему рейтингу
Рис. 5.12. Схема формирования рейтинга (уровня доверия) узлов МКС
196
Предлагается метод формирования уровня доверия к узлам МКС на
основе анализа динамики изменения ценности обрабатываемой узлами
информации. Представим его ниже.
С учетом ценности обрабатываемой информации уровень доверия Tni(t) к
i-ому узлу рассчитывается как:
N lim
Tni (t ) Tn0 *
* С (t )
N i (t ) 1
,
(5.13)
где: Тn0 – начальный уровень доверия к узлу, С(t) – функция показателя
ценности информации на интервале времени (0, t), Ni(t) – число случаев
нарушения защищенности, инициированных или связанных с i-тым узлом на
интервале времени (0, t),
Nlim – критичное число случаев нарушения
защищенности на том же интервале времени.
Показатель ценности информации задается в виде дискретных уровней,
например, от 1 до 5 в зависимости от текущих требований к уровню ее
защищенности,
при
этом
данный
показатель
является
динамически
изменяемой величиной.
События
нарушения
защищенности
МКС
разделяются
на
преднамеренные и случайные действия субъектов. В общем случае субъекты
МКС и соответственно узлы, с которых они взаимодействуют с МКС, могут
случайным образом совершать непреднамеренные ошибочные действия,
формально связанные с попыткой нарушения защищенности. Управление
параметром Nlim, который, фактически, определяет предельно допустимое
число
случаев
нарушения
защищенности,
вызванных
случайными
действиями субъектов, позволяет учесть данные случаи.
В общем случае, уровень доверия Tni к i-ому узлу в процессе его
функционирования в составе МКС может повышаться, снижаться или
оставаться постоянным. Так, в том случае, если число случаев нарушения
защищенности Ni(t), связанных с i-тым узлом на интервале наблюдения (0, t)
превышает установленное критичное число Nlim
197
(Ni(t) > Nlim), то уровень
доверия к данному узлу снижается, если же число случаев нарушения
защищенности меньше значения Nlim (Ni(t) < Nlim), то уровень доверия к узлу,
наоборот, повышается.
Предлагается нормировать рейтинг узла на интервале (0,…,1). Для этого
определяется максимально возможный уровень доверия Тnmax
к узлам в
конкретной МКС при фиксированном начальном уровне доверия:
Tnmax T0 * N lim * Сmax
где Cmax
,
(5.14)
– максимально возможное значение показателя ценности
информации на интервале времени (0, t). Далее, для нормирования уровня
доверия Tnnorm(t) полученные значения Tni(t) делятся на Tnmax:
Tnnorm (t )
Tni (t )
Tnmax
.
(5.15)
Период функционирования узла в составе МКС (0, t) представим в виде
конечных интервалов наблюдения (tk, tl), на которых в зависимости от
результатов функционирования узла на данном интервале уровень доверия к
нему снижается или повышается. В результате, динамика изменения уровня
доверия Tni к i-ому узлу представляет собой кусочную функцию.
На рис. 5.13 показаны возможные варианты изменения нормированного
рейтинга узла в процессе его функционирования в составе МКС при
динамическом изменении показателя ценности информации на интервале
наблюдения.
В первом рассматриваемом случае (зависимость 1) на первом интервале
уровень доверия к узлу растет, на втором снижается, а на третьем вновь
возрастает, что определяется двумя факторами:
числом случаев нарушения защищенности, связанных с данным узлом
(соответственно, на первом и третьем участках – число случаев нарушения
защищенности меньше критичного уровня, на втором - выше),
динамикой ценности обрабатываемой в узле информации.
198
Tnnorm
0,45
0,4
0,35
1
0,3
0,25
0,2
0,15
0,1
0,05
2
0
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51
t
Рис. 5.13. Рейтинг узлов МКС при динамическом изменении показателя
ценности информации
С ростом уровня доверия к узлу повышается и степень ценности
информации, которая может быть передана данному узлу для обработки, что
в свою очередь, в соответствии с соотношением (5.13), дополнительно
повышает уровень доверия к узлу [247 - 251] . В том случае, если со стороны
узла инициируются события нарушения защищенности, уровень доверия к
узлу снижается и соответственно ему для обработки передается информация
с более низким показателем ценности, вплоть до исключительно открытой
информации. В целом, для рассматриваемого случая зависимость 1
демонстрирует общую тенденцию повышения рейтинга узла МКС, при этом
сам следует отметить, что рейтинг узла изменяется постепенно (плавно), а не
скачком в конце интервала наблюдения.
Зависимость 2 отражает второй рассматриваемый случай, когда ввиду
значительного числа случаев нарушения защищенности со стороны узла
уровень доверия к нему снижается, однако, как и в предыдущем случае, на
отдельных интервалах наблюдения отмечается локальный рост уровня
доверия.
На рис. 5.14
условиях,
когда
199
рассмотрены варианты изменения рейтинга узлов в
число
случаев
нарушения
защищенности
на
соответствующих интервалах наблюдения (tk, tl) равно такому же параметру
для первого и второго рассмотренных выше случаев, но при этом показатель
ценности обрабатываемой информации остается постоянным. Фактически,
данная ситуация характерна и для того случая, когда дифференциация
информации по ее ценности не проводится.
Tnnorm
0,5
0,45
0,4
0,35
0,3
0,25
0,2
0,15
0,1
0,05
0
1
2
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51
t
Рис. 5.14. Рейтинг узлов МКС при постоянном значении показателя
ценности информации
Как видно из рис. 5.14 в данном случае общая тенденция изменения
уровня доверия к узлу МКС остается такой же, как в случае динамического
изменения ценности информации, однако при этом значения уровень доверия
изменяются дискретно (скачком) в конце интервала наблюдения, что не
обеспечивает поддержку оперативной адаптации параметров функционирования узла к текущим требованиям к защищенности МКС.
Следует отметить, что в общем случае МКС объединяет значительное
количество узлов, и, как следствие, централизованное формирование уровня
200
доверия к каждому из узлов системы является достаточно трудоемкой задачей, требующей значительных временных затрат. Для решения данной проблемы в системе XenoTrust ограничивается число узлов, от которых учитывается информация для изменения уровня доверия. Однако, в этом случае
необходимо установить корректные критерии выбора тех узлов, от которых
поступают данные и проводить постоянный контроль получаемых от них
данных, поскольку в том случае, если репутация узла в системе находится на
низком уровне, то данные предоставляемые им для модификации уровня
доверия могут оказаться недостоверными.
Для решения данной проблемы предлагается следующий подход. В
общем случае структура МКС представляет собой объединение доменов,
внутри которых узлы расположены на ограниченной территории, относятся к
одному организационной структуре и формируют взаимный уровень доверия
по результатам функционирования в пределах своего локального домена.
Для повышения корректности процедуры установления уровня доверия и
для снижения соответствующих временных затрат предлагается формировать
усредненные оценки рейтинга с учетом взаимного уровня доверия между узлами в пределах локального домена. Для реализации данного подхода предлагается ввести сервер метрик доверия, который, в зависимости от текущего уровня доверия к узлам МКС, формирует комплексные оценки уровня
доверия.
Тогда комплексный уровень доверия Tncxi к узлу МКС рассчитывается
как:
n
Tncxi k1 * Tnsi k2 *
Tn
j 1
n
ji
,
(5.16)
где Tnsi – уровень доверия к i-ому узлу на сервере метрик доверия, Tnji –
уровень доверия j-го узла к i-ому узлу (взаимное доверие), n – число узлов в
системе, k1 и k2 – весовые коэффициенты параметров доверия к узлу на
сервере метрик доверия и взаимного доверия между узлами, соответственно,
причем k1 + k2 = 1.
201
Изначально, значение уровня доверия к i-ому узлу на сервере метрик
доверия установлено в начальное значение Tns0i, при этом, в случае
необходимости, для отдельных узлов могут быть установлены отличные от
Tns0i начальные уровни доверия. Далее, по результатам функционирования
узла в составе МКС и в составе своего домена, используя соотношения (5.13)
и (5.15) рассчитываются уровни доверия Tnsi и Tnji, после чего формируется
комплексный уровень доверия Tncxi.
Для корректировки уровня доверия к подключенному узлу с начальным
уровнем доверия Tncurr0 предлагается использовать т.н. тестовые посылки, т.е.
генерировать данные, имитирующие информацию с повышенным показателем ценности (легендирование) и передавать их узлу, при этом проводить
анализ реакции узла на эти данные. Далее, в случае инициирования несанкционированных действий со стороны узла по отношению к этим данным
уровень доверия к нему снижается. Такие корректировки являются особенно
актуальными в тех случаях, когда в узлах МКС обрабатывается исключительно конфиденциальная информация и при этом установлен критичный
уровень доверия, который не может быть снижен в процессе обработки
данной информации.
5.5.2. Метод установления рейтинга узлов МКС с учетом динамики
изменения ценности информации
Сформулируем предлагаемый метод формирования рейтинга узлов МКС
с учетом динамики изменения ценности информации.
1. Выполнить ранжирование информации по ценности, сформировать
функциональную зависимость изменения ценности информации С(t) во
времени. Каждому конечному блоку информации (данные, задания и т.п.)
присваивается соответствующий уровень его ценности.
2. Рассчитать по соотношению (5.13) уровень доверия к узлам со стороны
сервера метрик доверия (Tnsi ) и взаимный уровень доверия между узлами в
пределах локального домена (Tnji).
3. Выполнить оценку текущего комплексного рейтинга Tncxi
202
узла МКС
по соотношению (5.16).
4. Выполнить корректировку уровня доверия к вновь подключенным
узлам на основе механизма тестовых посылок.
5. Перед каждой транзакцией с узлом выполнять проверку возможности
передачи
информации
данному
узлу
путем
сравнения
текущего
комплексного уровня доверия Tncxi к данному узлу и требуемого критичного
уровня доверия Tnmin, установленного администратором МКС или домена.
Транзакция разрешена только в том случае, если текущий уровень доверия к
узлу превышает или равен требуемый уровень доверия (Tncxi ≥ Tnmin).
Предложенный метод формирования рейтинга узлов
МКС позволяет
адаптивно, в процессе функционирования системы, определить наиболее
защищенную
конфигурацию
ресурсов
(узлов)
МКС
для
обработки
информации с учетом динамики изменения ее ценности, что позволяет
повысить эффективность систем защиты МКС. Реализация средств защиты
МКС на основе предложенного метода обеспечивает поддержку достаточно
высокого уровня защищенности системы при добавлении новых узлов в
процессе масштабирования МКС, что особенно важно в практических
приложениях.
5.5.3. Реализация средств защиты МКС, поддерживающих механизм
формирования доверия
В соответствии с рекомендациями OGF, средства обеспечения защиты
МКС реализуются в виде надстройки над аппаратно-программными
механизмами, реализующими распределенные вычисления. Для реализации
предложенного метода установления рейтинга
специальная
структура
средств
обеспечения
узлов МКС предлагается
защиты,
включающая
механизмы формирования и анализа уровня доверия к узлу (рис. 5.15).
203
Приложение, управляющая среда
Сервис
мониторинга
Сервис аутентификации
Сервис авторизации
Сервис слежения
за событиями,
влияющими на
рейтинг
Сервис управления правами
доступа на основе рейтинга
узлов
…
Шифрование
Хранение данных
по рейтингу
Сервис безопасности сообщений
Проверка
целостности
Расчет
рейтинга
Сервис
формирования
рейтинга
узлов
Сервис сетевой поддержки
Протоколы HTTP, IIOP и др.
Протоколы поддержки
безопасности: SSL, TLS, IPSeс
Программные сетевые средства
Рис. 5.15. Структура средств защиты МКС, реализующихся на основе
формирования рейтинга узлов
Данная
структура
соответствует
основным
требованиям
OGF
к
построению системы защиты МКС: наличие механизмов сетевой защиты,
авторизации
и
аутентификации,
поддержки
защиты
передаваемых
204
сообщений, а также имеет возможность расширения путем включения
дополнительных механизмов.
Представленные средства защиты формируют единую систему, но при
этом каждое средство является независимым от других. В этой структуре с
одним
из
важнейших
компонентов
является
сервис
мониторинга
безопасности, функции которого расширены для поддержки формирования
уровня доверия в системе. Данный сервис включает подсистемы слежения за
событиями, влияющими на рейтинг узла и оценки уровня доверия к узлам.
Сервис мониторинга реализует отслеживание всех критичных событий в
МКС
с точки зрения ее защищенности. В частности, он отслеживает
реализацию процессов идентификации, аутентификации и авторизации,
разграничения доступа к ресурсам МКС и т.д.
Сформированные значения текущего рейтинга узлов передаются сервису
управления правами доступа на основе уровня доверия, который и
устанавливает защищенную конфигурацию ресурсов (узлов) МКС для
обработки информации с учетом динамики изменения ее ценности. Кроме
того, в предложенной структуре средств защиты применяется ряд
стандартных сервисов, поддерживающих распределенную вычислительную
среду, в частности, протоколы защищенной передачи данных.
Следует отметить, что блок сервиса формирования рейтинга узлов
является одной из основных целей воздействий со стороны агентов вторжений и он достаточно уязвимый компонент. Агенты вторжений, в случае
получения
непосредственного
доступа
к
данному
блоку,
могут
фальсифицировать текущие уровни доверия к действиям узлов МКС, что
приведет
к
искажению
уровня
реальной
опасности
действий
соответствующих узлов по отношению к обрабатываемым данным. Следовательно, этот блок должен быть обеспечен дополнительными средствами
защиты транзакций и находиться под постоянным мониторингом со стороны
администратора безопасности.
205
Выводы к Разделу 5
5.1. Представлены базовые компоненты защиты компьютерных систем и
типичные нарушения защищенности.
Выделена взаимосвязь понятий,
используемых при оценке рисков нарушения защищенности. Показано, что
контрмеры для нейтрализации потенциальных угроз позволяют снизить
число потенциальных уязвимостей в компьютерной системе, однако даже
после реализации контрмер могут оставаться остаточные уязвимости,
которые потенциально используются агентами вторжений. Эти уязвимости
формируют остаточный риск, который снижается путем применения
дополнительных средств защиты.
5.2. Рассмотрены особенности реализации адаптивного подхода к обеспечению защиты распределенных мультикомпьютерных систем. Выделены
основные этапы разработки адаптивных механизмов защиты распределенных
мультикомпьютерных
систем,
адаптивных систем защиты.
определены
основные
спецификации
Показано, что с системы адаптивного
управления средствами защиты обеспечивают автоматическое принятие
решения об оптимальном уровне защищенности компьютерных систем с
учетом
динамически
изменяющихся
факторов
угроз
безопасности
информации и реконфигурации системных ресурсов.
5.3. Предложена семиотическая система поддержки принятия решений
(СППР) с интеллектуальным агентом для поддержки принятия решений по
адаптивному управлению средствами защиты компьютерных систем в
условиях динамически изменяющихся факторов угроз безопасности и
конфигурации ресурсов. Показано, что предлагаемый подход за счет применения СППР агентного типа позволяет эффективно реализовать механизм
адаптивного управления средствами защиты компьютерных систем.
5.4. Предложены алгоритм адаптивного управления средствами защиты
на основе нечеткой логики, а также средства адаптивного управления
средствами защиты распределенных мультикомпьютерных систем на ос-
206
нове нечеткой логики на основе формализации функциональных критериев в
многомерном пространстве. Выполнен анализ параметров функционирования средств защиты информации, реализованных на основе предложенного алгоритма. Показано, что применение аппарата нечеткой логики
обеспечивает повышение эффективности функционирования средств защиты
информации с адаптивным механизмом управления за счет формализации
функциональных критериев уровня защищенности распределенных мультикомпьютерных систем.
5.5. Предложен метод формирования уровня доверия к узлам на основе
динамического ранжирования информации по ее ценности и оперативного
учета числа случаев нарушения защищенности со стороны соответствующего
узла. Показано, что предложенный метод формирования рейтинга узлов
распределенных мультикомпьютерных систем позволяет адаптивно, в
процессе
функционирования
системы,
определить
защищенную
конфигурацию ресурсов (узлов) МКС для обработки информации с учетом
динамики изменения ее ценности, что позволяет повысить эффективность
систем
защиты
МКС.
Реализация
средств
защиты
распределенных
мультикомпьютерных систем на основе предложенного метода обеспечивает
поддержку достаточно высокого уровня защищенности системы при
добавлении новых узлов в процессе масштабирования распределенных
мультикомпьютерных систем.
5.6. Рассмотрены особенности реализации средств установления доверия
между узлами компьютерных
систем. Предложена
структура средств
защиты на основе рейтингового метода установления доверия между узлами
и ранжирования информации по ее ценности. Показано, что предложенные
средства соответствует основным требованиям к построению системы
защиты
распределенных мультикомпьютерных систем,
а
также имеет
возможность расширения путем включения дополнительных механизмов.
207
РАЗДЕЛ 6.
УПРАВЛЕНИЕ СРЕДСТВАМИ ЗАЩИТЫ РАСПРЕДЕЛЕННЫХ МУЛЬТИКОМПЬЮТЕРНЫХ СИСТЕМ С УЧЕТОМ
РИСКОВ
6.1. Ценность информации как фактор защищенности обработки данных
в мультикомпьютерных системах
6.1.1.Оценка ценности информации, обрабатываемой в компьютерных
системах
Рассмотрим
общую
методику
оценки
ценности
информации,
обрабатываемой в компьютерных системах. В общем случае, ценность информации, обрабатываемой в компьютерных системах определяется потенциальной материальной выгодой для ее владельца при корректном использовании данной информации. Данный показатель позволяет cформировать
требования к уровню защищенности обрабатываемой информации, а также
косвенно оценить эффективность использования ресурсов МКС. Для оценки
ценности информации часто используется метод экспертных оценок [252].
Показатель ценности информации формируется на основе учета ряда факторов, среди которых выделим прямые и косвенные факторы. Первый
фактор относится к числу прямых – это рыночная стоимость информации
(IC), т. е. фактически ее цена в денежном выражении [252].
Следующие факторы относятся к косвенным, они связаны с влиянием
оцениваемой информации на основную деятельность ее владельца.
Вторым фактором является потенциальный ущерб владельцу (PD) вследствие получения НСД к информации. Его величина зависит от многих факторов: числа потенциальных злоумышленников, претендующих на получение
доступа к данной информации, качества и корректности информации, структуры информационной политики ее владельца. Все эти факторы могут негативно отражаться на эффективности функционирования МКС по обработке
208
информации владельца, что нанесет его деятельности определенный ущерб
[252].
Третий фактор формирования ценности информации – ущерб вследствие
потери целостности или снижения уровня конфиденциальности информации
(ICD), например, в результате ее компроментации, что также приводит к
определенным убыткам [252].
В результате, интегральная ценность информации (C) рассчитывается с
учетом перечисленных выше факторов как:
С k1* IC k 2 * PD k 3 * ICD .
(6.1)
Коэффициенты k1, k2 и k3 определяются на основе экспертных оценок,
они отражают весовой вклад соответствующего фактора в формирование
интегрального показателя ценности информации.
Параметры PD и ICD оцениваются исходя из качества информации, и ее
влияния на основную деятельность ее владельца. В каждом конкретном случае для определенного владельца используются специальные методики таких
оценок, однако в общем случае возможно применение универсальных
оценок.
С параметром ценности информации фактически связана величина
финансовых инвестиций в поддержку защищенности МКС, в которой она
обрабатывается.
По
современным
рекомендациям,
для
обеспечения
защищенной и надежной обработки информации в МКС затраты на
информационное обеспечение и соответствующие механизмы защиты
должны составлять 50-70% от потенциальной ценности информации [252].
Следующим важным показателем является информация о стоимости
ресурсов МКС. Он отражает величину затрат на поддержку оперативности
обработки информации с учетом ее текущей ценности в контексте активов
владельца.
Еще одним важным показателем является фактор нанесения ущерба
деятельности владельца информации вследствие недооценки ее ценности.
Данный показатель (UD) оценивается следующим образом:
209
UD CR C CR ,
(6.2)
где С – текущая ценность информации, определенная владельцем, СR –
реальная (объективная) ценность данной информации.
Таким образом, ценность информации связана с материальной выгодой
для ее владельцев, которую они могут получить при эффективном
использовании
данной
информации
[253].
Следовательно,
ценность
информации отражает ее определенную стоимость или величину убытков в
случае ее уничтожения или нарушения конфиденциальности.
Материальные
потери
владельцев
Lsti
информации
вследствие
реализации i-того события НСД рассчитываются как:
n
Lsti Pevi , j * C j
,
(6.3)
j 1
где Pevi,j – степень опасности реализации i-того события НСД по отношению
к j-тому ресурсу, Сj – потенциальная ценность для владельцев j-того
информационного ресурса.
6.1.2. Классификация информации, обрабатываемой информационными
системами по ее ценности
Очевидно, что чем выше ценность информации, тем больше вероятность
того, что агенты вторжений будут осуществлять НСД к ней, и,
следовательно, выше риск нарушения защищенности данной информации.
Таким образом, риск нарушения защищенности информационной системы
фактически функционально связан с ценностью информации, которая может
динамически изменяться, что приводит к изменению текущего риска
нарушения защищенности. Таким образом, актуальным вопросом является
классификация информации с учетом динамики изменения ее ценности.
Известна следующая классификация информации в зависимости от
динамики изменения ее ценности во времени [254 – 259]:
1. ценность информации стационарна во времени: базы данных, в которых информация актуальна на протяжении длительных периодов времени;
210
2. ценность информации увеличивается: базы данных в момент
накопления информации;
3. ценность информации уменьшается: базы данных, в которых
актуальность информации падает;
4.
ценность
информации
имеет
верхний
экстремум:
значимость
информации резко изменяется в определенный момент времени, например,
информация о разработках, которые патентуются, о предвыборной кампании;
5. ценность информации имеет нижний экстремум: теоретически
возможный случай.
В
качестве
практической
иллюстрации,
приведем
зависимости,
основанные на реальных данных и показывающие, как изменяется ценность
экономической и налоговой информации. Рис. 6.1 показывает изменение
ценности защищенной экономической и налоговой информации в течение
определенного периода.
C Ценность защищаемой информации
по отношению к ее максимальной оценке
V
100%
90
80
70
60
50
40
30
20
10
9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5
Месяцы года
С =10% – уровень ценности
архивной информации
Рис. 6.1. Пример изменения ценности экономической и налоговой информации
Представленные данные соответствуют информации о ежегодных
налоговых платежах физических лиц.
Как видно на рис. 6.1, в этом случае четко выражена граничная дата
поступления налогов (1 апреля). Отделы Государственной налоговой службы
211
должны собрать максимальный объем налоговых данных до 1 апреля, а
также рассчитать платежи и возвраты налогов в государственный бюджет,
которые должны выполнить физические лица. Подавляющее большинство
(90-95%) налоговых платежей проходит до завершения граничного срока,
после данная информация преобразуется в архивные данные, причем эта
ситуация повторяется ежегодно [253].
Для повышения уровня защищенности ценной информации используется
принцип
проведения
опережающих
организационно-административных
мероприятий по защите информации [259]. Рис. 6.2 показывает соотношение
затрат на поддержку защиту информации и ее ценности.
S Затраты на администрирование
безопасности по отношению к ценности
30%
информации
25%
20%
15%
10%
T
9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5
Месяцы года
Упреждающее применение
организационно-административных
мероприятий по защите информации
Рис. 6.2. Соотношение затрат на администрирование защиты и ценности
защищаемой информации
Очевидно, что эти затраты растут вместе с увеличением ценности
информации, при этом они должны быть увеличены заранее для реализации
превентивных мер по обеспечению защиты информации.
212
6.1.3. Оценка защищенности информационных систем с учетом ценности
обрабатываемой информации
Предлагается подход к оценке защищенности информационных систем с
учетом рисков реализации потенциальных угроз безопасности и динамики
изменения
ценности
информации.
Для
проведения
данной
оценки
последовательно реализуются четыре подзадачи:
выделение факторов риска нарушения защищенности и оценка их
весомости при нарушении системы защиты с учетом динамики изменения
ценности информации;
оценка вероятности вторжений (атак) в информационную систему по
каналам уязвимости в условиях действия факторов риска;
оценка защищенности уязвимых ресурсов информационной системы;
определение интегрального уровня защищенности информационной
системы.
В общем случае, распределенная информационная система состоит из
ресурсов, соединенных средой передачи данных, причем как для отдельных
ресурсов, так и для данной среды существуют каналы реализации
несанкционированного доступа. Риск нарушения защищенности информационной системы связан с возможностью реализации несанкционированного
доступа к ее ресурсам по каналам доступа, при этом канал, по которому
осуществляется несанкционированный доступ, является фактором риска.
Зададим параметры атаки на распределенную мультикомпьютерную
систему как повторяющиеся воздействия, распределенные по пуассоновскому закону. Тогда вероятность Рi того, что атака по i-му каналу доступа
приведет к несанкционированному доступу xi раз рассчитывается как [254]:
Pi P 0 * e
где
i
i
i
*
i
xi !
xi
,
(6.4)
i – интенсивность поступления воздействий по і-му каналу; i –
213
интенсивность обработки воздействий и реакции на них средств защиты, P0
– нормирующий коэффициент, і – индекс фактора риска, Aі – событие, обусловленное і-тым фактором риска и приводящее к реализации несанкционированного доступа, при этом будем считать, что события множества А
независимы друг от друга.
Параметр i функционально зависит от ценности информации, а параметр i отражает степень защищенности комппьютерной системы по i-му
каналу доступа, при этом, если i , то можно считать, что данный канал
полностью закрыт от возможности реализации несанкционированного
доступа.
Рассмотрим частный случай, когда xi = 1, ввиду того, что момент первой
успешно реализованной попытки несанкционированного доступа весьма
важен, так как после успешной попытки несанкционированного доступа
следует ожидать роста параметра i , т.е. реакции со стороны средств
защиты, а также увеличения параметра i – действий агента вторжений, что
позволяет считать рассматриваемый входной поток воздействий пуассоновским лишь с определенной степенью приближения.
При xi = 1 получаем:
Pi P0 * e
i
i
* i
i
.
(6.5)
Вероятность реализации НСД по i-му каналу в зависимости от времени
рассчитывается как:
Pi (t ) P 0 * e
t*i
i
* i
i
.
(6.6)
Вероятность Pi(t) реализации НСД по i-му каналу в зависимости защищенности компьютерной системы и динамики изменения ценности информации во времени приведены на рис. 6.3, при этом параметр i рассчитывался
как число поступивших воздействий по і-му каналу в единицу времени, а i
= 0.8 i .
214
После проведения оценки параметра Рi(t) по полному множеству (N)
каналов доступа (факторов риска) выполняется интегральная оценка вероятности Psec(t) защищенного функционирования информационной системы:
N
Psec (t ) 1 Pi (t ) .
i 1
(6.7)
0,5
0,45
1
0,4
2
Pi(t)
0,35
0,3
0,25
4
0,2
0,15
3
0,1
0,05
0
1
5
9 13 17 21 25 29 33 37 41 45 49 53 57 61 65 69 73 77 81
Дни
1 – ценность информации возрастающая;
2 – ценность информации имеет верхний экстремум;
3 – ценность информации убывающая;
4 – ценность информации постоянна.
Рис. 6.3. Динамика вероятности Pi(t) реализации несанкционированного
доступа по i-му каналу в зависимости от ценности информации
Таким образом, в отличие от существующих методик оценок защищенности компьютерных систем, в предлагаемом подходе учитывается изменение ценности информации во времени и, соответственно, динамика вероятности реализации несанкционированного доступа. Преимуществом даного подхода является комплексное определение уровня защищенности компьютерных систем на основе разнородных параметров. Механизмы поддер-
215
жки защиты на основе предложенного подхода к анализу защищенности реализуются в виде отдельной подсистемы в комплексе
средств защиты
компьютерных систем.
6.2.
Теория
рисков
нарушения
защищенности
распределенных
мультикомпьютерных систем в задачах анализа критичных ситуаций
Одним из важнейших компонентов распределенных мультикомпьютерных систем является модуль управления заданиями (МУЗ), который, в частности, выполняет функции распределения решаемых заданий между ресурсами, в том числе заданий, связанных с управлением средствами защиты
МКС. Нарушение функционирования МУЗ, в частности, временные задержки
при выполнении анализа критичных ситуаций и принятии решений по реакции на них, особенно в случае обработки конфиденциальной информации,
потенциально приводит к нарушению или даже к полному прекращению
работы МКС. Таким образом, весьма важным аспектом является анализ параметров и снижение риска нарушения защищенности функционирования
модуля управления заданиями.
Фактически, задача анализа рисков нарушения защищенности связана с
оценкой риска превышения заданного максимально допустимого времени
анализа ситуаций и принятия решений в модуле управления заданиями МКС.
Данный риск зависит от двух факторов: вероятности и последствий осуществления события превышения времени анализа ситуаций и принятия решений.
Вероятность превышения заданного времени функционально связана с
значениями верхней и нижней границ допустимого интервала времени анализа ситуаций и принятия решений.
Введем параметры αi и βj – интенсивности, соответственно, реализации iтой угрозы безопасности и включения j-того комплекса средств защиты.
Естественно, что на риски нарушения защищенности влияет интенсивность
использования средств защиты, т.е. скорость реакции на те или иные опасные
события. В том случае, если число угроз превысило потенциал средств защи-
216
ты, развивается атака на ресурсы. Далее введем нормирующие коэффициенты Кз, Ка и параметр R0 – начальный риск нарушения защищенности, при
этом: Кз – нормирующий коэффициент, определяющий степень эффективности мер (событий) защиты информации, Ка – нормирующий коэффициент,
определяющий степень опасности угроз (событий) реализации НСД к
информации.
Для оценки рисков нарушения защищенности МКС введем специальную
функцию:
Rij (t )
R
1 e
0
( K з* j K a* i )*t
.
(6.8)
Функция Rij(t) представляет собой риск реализации i-той угрозы для jтого комплекса средств защиты ценного ресурса в зависимости от времени t.
Тогда надежность Sij средств защиты информации с точки зрения предотвращения i-той угрозы по j-тому комплексу средств защиты определяется как:
S ij 1 Rij .
(6.9)
Интегральный уровень надежности Sj средств защиты МКС по j-тому
комплексу средств защиты оценивается как:
n
S j (1 R ij ) ,
(6.10)
i 1
где n – число угроз безопасности.
Тогда, в свою очередь, риск нарушения защищенности МКС Rj по всем
угрозам безопасности для j-того комплекса средств защиты:
n
R j 1 S j 1 (1 Rij ) .
(6.11)
i 1
В результате, интегральный риск нарушения защищенности МКС R по
всем угрозам безопасности МКС и всем комплексам средств защиты рассчитывается как:
m
m
n
R 1 S j 1 ( (1 Rij ))
j 1
j 1
i 1
где m – число комплексов средств защиты МКС,
,
(6.12)
217
или в общем виде:
m
n
R(t ) 1 ( (1
j 1
i 1
R
1 e
0
( K з* j K a* i )*t
))
.
(6.13)
Возможны различные варианты развития ситуаций с точки зрения
защищенности МКС, которые зависят от соотношения между параметрами
Ка*αi и Кз*βj. Если Ка*αi > Кз*βj, то возникает ситуация, когда риски
нарушения защищенности растут и угрозы могут преобразоваться в
реальную атаку. Наоборот, если Ка*αi < Кз*βj, то имеет место снижение
рисков нарушения защищенности и возможности реализации атак.
Проведем моделирование динамики процессов развития вторжений в
зависимости от интенсивности событий, связанных с реализацией угроз (αi),
интенсивности включения механизмов предотвращения вторжений (βj), а
также нормирующих коэффициентов Кз и Ка. По статистике, в современных
распределенных мультикомпьютерных системах число попыток вторжений
составляет в среднем 20 в сутки на одну рабочую станцию. Тогда в МКС,
состоящей из 1000 узлов-рабочих станций, выполняется около 20000 попыток вторжений в сутки, и, таким образом, математическое ожидание интенсивности реализации угроз безопасности оценивается как αi = 0.25, т.е. в
среднем 1 попытка вторжения за каждые 4 секунды.
Для оценки рисков нарушения защищенности МКС Rij, т.е. рисков реализации i-той угрозы для j-того комплекса средств защиты проведем моделирование при следующих исходных данных: эффективность средств защиты
Кз = 0.75, степень опасности угроз Ка = 0.8. В первом случае зафиксируем
интенсивность включения средств (механизмов) предотвращения вторжений
на уровне β = 0.4 и построим семейство кривых для различных αi (α1 =0.55, α2
=0.6, α3=0.65) при начальном риске R0 = 0.4. Во втором случае зафиксируем
интенсивность событий, связанных с реализацией угроз безопасности на
уровне α = 0.3, и построим семейство кривых для различных βi (β1 =0.3, β2
=0.35, β3=0.4) при начальном риске R0 = 0.5. Полученные результаты
218
представлены в табл. 6.1.
В соответствии с данными табл. 6.1, на рис. 6.4 и рис. 6.5 представлена
динамика процессов развития вторжений и изменения рисков нарушения
защищенности Rij.
Таблица 6.1.
Значения риска нарушения защищенности МКС в процессе развития
вторжений
α,
t,с
0
1
2
3
4
5
6
7
8
9
10
α=0.3
β=0.4
β
α 1=0.55
0.4 0.428 0.456 0.483 0.509 0.535 0.559 0.582 0.603 0.623 0.642
α 2=0.6
0.4 0.436 0.471 0.505 0.538 0.569 0.597 0.623 0.647 0.668 0.687
α 3=0.65
0.4 0.444 0.487 0.527 0.565 0.600 0.631 0.659 0.683 0.703 0.720
β 3=0.3
0.5 0.490 0.480 0.470 0.460 0.450 0.440 0.430 0.421 0.411 0.401
β 2=0.35
0.5 0.485 0.470 0.455 0.440 0.426 0.411 0.397 0.382 0.368 0.354
β 1=0.4
0.5 0.476 0.451 0.427 0.404 0.380 0.358 0.336 0.314 0.294 0.274
Rij
α3
α2
α1
t,c
Рис. 6.4. Динамика изменения угроз безопасности и рисков нарушения
защищенности
219
Рис. 6.4 показывает рост рисков нарушения защищенности Rij при фиксированной интенсивности реализации событий предотвращения вторжений (β
= const) в условиях динамической интенсивности угроз безопасности при
начальном уровне рисков нарушения защищенности R0 = 0.4.
Далее, в процессе развития вторжений уровень рисков возрастает с
различной скоростью (семейство кривых α1, α2, α3) и достигает критичного
уровня 0.6. Как видно из рис. 6.4, критичное время анализа ситуаций и
принятия решений – время достижения уровня 0.6 – зависит от
интенсивности событий вторжений и при высокой интенсивности (α3 = 0.65)
достигается достаточно быстро (примерно за 5.0 с). Фактически, критичное
время определяет тот интервал времени, когда события, связанные с
угрозами, еще не преобразуются в атаки.
Рассмотрим другую ситуацию, возникающую в случае фиксированного
потока событий угроз безопасности (α = const) при включении различных
механизмов предотвращения вторжений (рис. 6.5).
Rij
β1
β2
β3
t,c
Рис. 6.5. Динамика изменения рисков нарушения защищенности и
восстановления уровня защищенности
220
На рис. 6.5 установлен изначально относительной высокий уровень
рисков реализации угроз защищенности R0 = 0.5, для его снижения требуется
включить дополнительные средства защиты. Интенсивность включения
средств защиты оказывается различной (семейство кривых β1, β2, β3,), при
этом, чем выше параметр βj, тем быстрее уровень рисков нарушения
защищенности снижается до допустимого значения, которое в данном случае
установлено на уровне 0.4 (рис. 6.5). Так, для значения βj = 0.4 уровень риска
снижается до допустимого уже через 4.2 с.
В табл. 6.2 приведены значения критичных времен анализа ситуаций и
принятия решений, полученных на основе зависимостей рис. 6.4 и рис. 6.5.
α, β
t, c
Таблица 6.2.
Критичные времена анализа ситуаций и принятия решений
β=0.4
α=0.3
α1=0.55
α2=0.6
α3=0.65
β 1=0.3
β2=0.35
β 3=0.4
8.0
6.1
5.0
10.0
6.8
4.2
Таким образом, предложенные оценки рисков нарушения защищенности
позволяют получить прогнозные значения критичного времени анализа ситуации и принятия решения в зависимости от интенсивности событий, связанных с угрозами безопасности, интенсивности включения механизмов
предотвращения вторжений, а также от уровня эффективности средств защиты и степень опасности угроз безопасности.
Таким образом, предложенные оценки рисков нарушения защищенности
позволяют получить прогнозные значения критичного времени анализа ситуации и принятия решения в зависимости от интенсивности событий, связанных с угрозами безопасности, интенсивности включения механизмов предотвращения вторжений, а также от уровня эффективности средств защиты и
степень опасности угроз безопасности. Предложенные аналитические оценки
позволяют комплексно проанализировать динамику процессов развития
вторжений, процессов восстановления уровня защищенности и соответствующую динамику изменения уровня рисков нарушения защищенности МКС.
221
Для анализа вероятности превышения критичного времени принятия
решения, т.е. времени реакции средств защиты на угрозы в условиях динамического изменения параметров защищенности МКС, эффективным подходом
представляется формализация описания процессов модуля
управления
заданиями МКС, в частности, на основе специальных сетевых механизмов и
моделей, что позволит динамически оценивать интервальные границы
критичного времени реакции средств защиты на действия агентов вторжения.
6.3. Средства минимизации рисков нарушения защищенности в
распределенных мультикомпьютерных системах
Рассмотрим основные принципы реализации средств минимизации
рисков нарушения защищенности на основе предложенного подхода к оценке
рисков нарушения защищенности МКС, предусматривающего анализ критичных ситуаций в процессе принятия решений. Структурная схема данных
средств состоит из 8 основных блоков: задания целей, анализа угроз безопасности, анализа уязвимостей, анализа рисков нарушения защищен-ности,
выбора вариантов реакции на потенциальные атаки, принятия решений,
реакции, мониторинга состояния МКС (рис. 6.6) [203].
Блок задания
целей
Блок анализа
угроз
защищенности
Блок
анализа
уязвимостей
Блок анализа
рисков
нарушения
защищенности
Блок
принятия
решений
Блок
выбора
вариантов
реакции
Блок
реакции
Блок
мониторинга
состояния
МКС
Рис. 6.6. Структурная схема средств минимизации рисков нарушения
защищенности МКС
222
Блоки задания целей, анализа угроз защишенности и анализа уязвимостей
выполняют предварительный сбор информации о состоянии защищенности
МКС и формируют данные для следующих стадий процесса минимизации
рисков
нарушения
защищенности.
Блок
анализа
рисков
нарушения
защищенности фактически является ключевым, он выполняет оценку
текущего уровня риска, его критичность, а также факторы снижения риска.
Остальные 4 блока выполняют следующие функции: определяют возможные
варианты реакции на потенциальные вторжения, принимают решения и
непосредственно реагируют на атаки, а также осуществляют модификацию
параметров средств защиты МКС и мониторинг их состояния.
Представим детальнее особенности реализации блоков рассматриваемых
средств.
Блок задания целей
В данном блоке задаются параметры, по которым проводится анализ и
минимизация рисков нарушения защищенности МКС. В большинстве
случаев эти параметры задаются администратором безопасности, который
выявляет потенциальные угрозы, уязвимости и оценивает риски.
Параметры
блока
анализа
целей,
в
соответствии
с
правилами
формализации, представляются в определенном формате. В качестве примера
такого формата приведем кортеж данных:
(
s ,..., s , a ,..., a , g ,..., g )
1
n
1
m
1
k
,
(6.14)
где si - субъект - инициатор события, ai - параметры действий субъектов, gi возможные цели.
В свою очередь, параметры действий (событий) субъектов также
представляются в виде кортежа данных:
(
t ,..., t , l ,..., l , r1,..., re , 1,..., f ) ,
1
c
1
d
(6.15)
где ti - время события, li - место события, ri - используемые средства, γi степень опасности события.
223
Блок анализа угроз безопасности
Разделим все угрозы безопасности на следующие группы:
1. угрозы модификации или кражи критичных данных,
2. угрозы
нарушения
корректного
функционирования
системного
программного обеспечения МКС,
3. угрозы, косвенно приводящие к реализации несанкционированного
доступа.
Блок анализа угроз безопасности выполняет общий анализ возможных
угроз МКС, разделенных по приведенным выше группам. Для повышения
корректности реализации данной процедуры часто требуются значительные
затраты [261 - 263].
Анализ угроз безопасности включает 2 составляющие: ситуационный
анализ и выявление угроз.
Ситуационный анализ представляет собой детальный анализ параметров
функционирования аппаратно-программного обеспечения МКС, в том числе
параметров применяемых средств обеспечения защиты. При проведении
данного анализа целесообразно сгруппировать однотипные данные и
оценивать их отдельно по каждой группе.
Выявление угроз предусматривает комплексный и детальный анализ всех
факторов, которые могут оказывать влияние на защищенность МКС. Угрозы
разделяются на 3 категории:
“потенциальные” угрозы – действия, которые теоретически могут
представлять опасность;
“реальные” угрозы – действия агентов вторжений по НСД;
“направленные” угрозы – те, которые направлены
на реализацию
конкретных уязвимостей в аппаратно-программном обеспечении МКС.
Эффективный уровень Ltj
угрозы безопасности от j-того агента
вторжений рассчитывается как (6.16) [264]:
1
Lt j 1 * Lp j 2 *
n
n
Fc
i 1
ij
,
(6.16)
224
где Lpj - потенциальный уровень угроз агентов вторжений, Fcij корректирующие факторы из спецификации модели действий агентов
вторжений, n - количество учитываемых факторов, ω1, ω2 - весовые
коэффициенты, отражающие удельный вес обеих составляющих, причем
ω1 + ω2 = 1.
Под потенциальным уровнем Lpj угроз агентов вторжений понимаются их
общие возможности по реализации НСД, в отличие от конкретных
возможностей Ltj для конкретной МКС. В том случае, если отдельный фактор
для некоторой категории агентов вторжений имеет несколько значений, для
оценки используется среднее значение этого фактора. Для расчета и
корректировки параметров ω1, ω2, Fcij , Lpj используются данные блока
задания целей.
Блок анализа уязвимостей
В данном блоке выявляются уязвимости, т.е. потенциальные возможности
для агентов вторжений получить несанкционированный доступ к системе,
который приведет к определенному ущербу аппаратно-программному
обеспечению МКС и обрабатываемых в ней данных.
Оценка
уязвимостей
уязвимостей,
анализ
включает
ценности
три
ресурсов
составляющие:
и
установление
выявление
факторов,
снижающих риск реализации уязвимостей в МКС.
Выявление уязвимостей. Уязвимость представляет собой потенцииальный канал реализации угрозы, фактически слабые места (т.н. “дыры”) в
аппаратно-программном обеспечении и средствах защиты МКС. В качестве
факторов,
способствующих
появлению
уязвимостей,
в
частности,
выступают: незащищенные ресурсы или ресурсы с низким уровнем
защищенности, неэффективные средства защиты, некорректные действия по
предотвращению
угроз,
низкая
квалификация
администраторов
безопасности, потенциальные и непредвиденные ошибки в системном
программном обеспечении и т.д.
225
Анализ ценности ресурсов
этапа. Вначале оценивается
информации
и
компьютерных систем выполняется в два
критичность
каждому
и ценность обрабатываемой
программному
ресурсу
присваивается
определенный уровень критичности, который связан с требуемой степенью
защищенности
обрабатываемых данных.
На втором этапе оценивается
стоимость аппаратных ресурсов компьютерной системы.
Установление факторов, снижающих риск реализации уязвимостей. К
числу данных факторов относятся те, которые могут уменьшить вероятность
реализации уязвимостей МКС. Например, в качестве таких факторов
выступают: эффективная система защиты МКС, высокая квалификация
администраторов
безопасности,
средства
мониторинга,
упреждающие
опасные действия, система адаптивного управления средствами защиты и т.д.
Анализ
уязвимостей
МКС
предусматривает
необходимость
участия
администратора безопасности, поскольку он способен влиять на многие
факторы, связанные с уязвимостью системы.
Выделим 7 основных факторов, влияющих на уязвимости МКС:
местонахождение
уязвимости;
обрабатываемой
информации;
степень
открытости
особенности
МКС;
ценность
функционирования
МКС;
адекватность применяемых мер и средств защиты; корректность их
использования; квалификация администраторов безопасности.
Блок анализа риска нарушения защищенности
Анализ
вероятности
риска
нарушения
реализации
защищенности
базируется
несанкционированных
на
оценке
действий
путем
использования уязвимостей в МКС. Данный анализ требует комплексного
учета всех факторов, связанных с угрозами безопасности МКС. В том случае,
если вероятность реализации угрозы безопасности является низкой, т.е. ее
влияние на защищенность МКС оценивается как незначительное, то уровень
риска нарушения защищенности также считается низким.
226
Анализ риска нарушения защищенности включает 2 составляющие:
оценку степени опасности факторов угроз безопасности и вероятность
реализации угроз безопасности.
Для оценки степени опасности факторов угроз безопасности факторы
разделяются по группам, отражающим уровень их опасности по отношению
к ресурсам
МКС. При этом факторы с низким уровнем опасности
рассматриваются как неопасные и реакция средств защиты на них является
опциональной, а факторы с высокой степенью опасности обязательно
должны быть нейтрализованы. Формируются следующие группы факторов
угроз безопасности по степени их опасности: критичная, высокая, средняя,
низкая,
незначительная.
Отнесение
факторов
угроз
безопасности
к
определенной группе риска проводится на основе экспертных оценок и
статистической информации по функционированию МКС.
Вероятность реализации угроз безопасности также распределяется по
группам, отражающим степень возможности реализации угроз безопасности
на основании статистической информации по функционированию системы
защиты МКС. Выделяются следующие степени возможности реализации
угроз безопасности: практически невозможно, маловероятно, вероятно,
высоковероятно, практически неизбежно.
Для оценки уровня риска реализации угрозы Rtr агентами вторжений
используется соотношение (6.17), учитывающее возможность реализации
данной угрозы [264]:
1 m n
1 m n
Rtr * K ij Pc j * K ij Ps j Lt j , m n ,
m i 1 j 1
m i 1 j 1
(6.17)
где Kij =0, если на i-м месте в списке факторов угрозы не представлен j-ый
агент вторжений (не опасный фактор), Kij =1, если на i-м месте в списке
факторов угрозы представлен j-ый агент вторжений (опасный фактор), m количество опасных субъектов, n - общее количество всех субъектов, Pcj –
текущая вероятность реализации угрозы, Psj – статистическая вероятность
реализации конкретной угрозы.
227
Представленный подход позволяет оценить влияние различных факторов
на формирование количественных значений эффективного уровня риска
нарушения защищенности и сформулировать формальные требования к
мерам и средствам защиты.
Матрица рисков нарушения защищенности
Завершающая стадия анализа рисков нарушения защищенности состоит в
построении матрицы рисков, которая формируется по двум основным
параметрам, описывающим
риски нарушения защищенности: степени
опасности факторов угроз безопасности и вероятности реализации угроз
безопасности (рис. 6.7) [269].
Степень опасности
угроз безопасности
Критичная
Сверхвысокий
риск
Высокий
риск
Высокая
Нарушение
конфиденциальнос
ти или целостности
информации
Отказ пользователя
от подтверждения
его обязательств
Средняя
Практически
неизбежно
Вероятно
Маловероятно
Практически
отсутствует
Отказ в
доступе к
информации
Низкий
риск
Высоковероятно
Средний
риск
Низкая
Незначительная
Несанкционированный
мониторинг
траффика
Вероятность
реализации
угроз
безопасности
Рис. 6.7. Матрица рисков нарушения защищенности МКС
228
Существующие риски нарушения защищенности размещаются в данной
матрице и им назначаются приоритеты, т.е. определяются степени опасности
как вероятности реализации угроз безопасности, при этом используются
экспертные оценки. Всего выделяются 4 категории рисков нарушения
защищенности: Низкий, Средний, Высокий и Сверхвысокий. Так, те риски,
которые расположены в правом верхнем квадранте матрицы рисков (рис.
6.7), рассматриваются как самые опасные риски. Назначение категории
рискам зависит от условий функционирования конкретной МКС. Конечной
целью процесса минимизации рисков нарушения защищенности является
перемещение всех возможных угроз безопасности МКС в левый нижний угол
матрицы рисков нарушения защищенности. Регулярное обновление матрицы
рисков позволяет выявлять тенденции в среде защиты информации, а также
оценить факт снижения или повышения рисков нарушения защищенности
МКС.
Матрица рисков может использоваться как основа для разработки
стратегий снижения рисков нарушения защищенности и при планировании
возможных вариантов снижения вероятности реализации угроз безопасности.
Блок выбора вариантов реакции на потенциальные атаки
На этом этапе администратор
безопасности определяет комплекс
механизмов для обеспечения эффективного реагирования на возможные
атаки на МКС. Выбор механизмов защиты основывается на анализе
критичных
параметров
защиты
и
на
анализе
рисков
нарушения
защищенности МКС. Возможными вариантами реакции на атаки агентов
вторжений
являются: использование существующих средств защиты в
неизменном виде; перенастройка параметров существующих средств
защиты; добавление и изменение конфигурации существующих средств
защиты; приостановка функционирования или отключение тех средств
защиты, которые не являются необходимыми в данный момент.
Некоторые из представленных вариантов реакции на атаки могут вызвать
существенное увеличение затрат аппаратно-программных ресурсов, что, в
229
свою
очередь,
снижает
производительность
МКС,
что
необходимо
учитывать при выборе того или иного варианта реакции [265 - 268]. Также
следует
учитывать
тот
факт,
что
обеспечение
требуемого
уровня
защищенности обработки критичной информации всегда имеет наивысший
приоритет при выборе вариантов реакции на потенциальные атаки [270, 271].
Рассмотрим алгоритм выбора средств защиты на основе анализа текущих
рисков нарушения защищенности компьютерных систем [203]. В процессе
выбора средств защиты используются следующие параметры:
i: i - тая угроза, i = 1 …I ;
j: j - тое средство защиты, j = 1…J ;
cj : стоимость j-того средства защиты;
vki : стоимостная оценка последствий НСД к k-тому ресурсу вследствие
реализации i-той угрозы;
efji: эффективность j-того средства защиты для предотвращения i-той
угрозы (предполагается независимость средств защиты друг от друга);
li: потенциальные потери, вызванные
i-той
угрозой (в стоимостном
выражении);
Pi: вероятность реализации i -той угрозы;
TL: интегральные потери вследствие не предотвращения вторжений
средствами защиты;
C: интегральная стоимость средств защиты;
TС: интегральные затраты на поддержку системы защиты.
Алгоритм выбора средств защиты компьютерной системы включает в
себя следующие шаги:
1. Оценка потенциальных потерь вследствие реализации i-той угрозы:
l i P i * v ki
.
(6.18)
2. Расчет возможных потерь вследствие не предотвращения вторжения jтым средством защиты при условии взаимной независимости средств защиты
по предотвращению угроз:
230
L j l i *1 ef ji
I
i 1
,
(6.19)
где I – общее число угроз безопасности.
3.
Оценка
интегральных
потерь
вследствие
не
предотвращения
вторжений комплексом средств защиты:
J
TL L j
.
j 1
(6.20)
4. Оценка интегральной стоимости средств защиты:
J
C c j
j 1
,
(6.21)
где J – общее число используемых средств защиты.
5. Оценка интегральных затрат на поддержку системы защиты с учетом
потерь вследствие реализации угроз безопасности:
J
TC C L j
.
(6.22)
j 1
Одной из важнейших задач процесса анализа рисков нарушения
защищенности является минимизация параметра TC (TC -> min) путем
выбора соответствующих средств защиты с использованием приведенного
выше алгоритма.
Главная задачей процесса анализа и минимизации рисков нарушения
защищенности
является минимизация параметра TC (TC -> min) путем
выбора соответствующих средств защиты с использованием приведенного
выше алгоритма.
Блок реакции на угрозы безопасности
Данный блок реализует реакцию средств защиты на угрозы безопасности и предотвращает несанкционированный доступ к МКС. Эффективная
реакция на угрозы безопасности является результатом комплексного
функционирования всех предыдущих и данного блока.
231
Блок мониторинга состояния безопасности МКС
Для эффективного предотвращения угроз безопасности МКС необходимо
проведение постоянного мониторинга существующих угроз, уязвимостей, а
также рисков нарушения защищенности МКС. Блок мониторинга состояния
МКС является завершающим в предложенной структурной схеме средств
минимизации рисков нарушения защищенности, он выполняет координацию
функционирования ряда других блоков.
6.4. Особенности реализации средств защиты на основе механизмов
минимизации рисков нарушения защищенности
Анализ эффективности реализации средств защиты на основе механизмов
минимизации рисков нарушения защищенности осуществляется в три этапа.
На первом этапе устанавливаются требования к средствам защиты с учетом
величины рисков реализации несанкционированных действий, на втором
этапе собственно имплементируются средства защиты, на третьем этапе оцениваются и верифицируются параметры средств защиты. Критичные компьютерные системы, к защищенности которых предъявляются особые требования, проходят оценку и тестирование применяемых в них средств защиты в
процессе разработки и начальной эксплуатации системы. Задача тестирования состоит в подтверждении эффективности применяемых средств защиты.
Представим количественый анализ эффективности средств защиты на
основе механизмов минимизации рисков нарушения защищенности. Выделим 5 возможных угроз: 1) вирусное программное обеспечение, 2) превышение прав доступа легальным субъектом, 3) вход агента вторжений в МКС
через “люк” при отказе в обслуживании легальному субъекту, 4) нарушение
функционирования МКС и 5) несанкционированный доступ в МКС
незарегистрированного субъекта.
Одним из важнейших компонентов рассматриваемых средств защиты
является механизм управления доступом к ресурсам компьютерных систем,
который имеет 3-и варианта реализации:
1. контролируемое управление доступом (DAC),
232
2. мандатное управление доступом (MAC);
3. ролевое управление доступом (RBAC).
В табл. 6.3 представлена статистическая информация, собранная по 1000
событиям нарушения безопасности, по вероятности реализации угроз
безопасности и стоимостным оценкам последствий НСД к ресурсам.
Таблица 6.3.
Статистические данные по вероятности реализации угроз безопасности и
стоимостные оценкам последствий НСД
Вероятность
Стоимостная
Потенциальные
реализации, Pi
оценка пос-
потери (у.е.),
ледствий НСД
lj
Тип угрозы
к k-тому
ресурсу (у.е.), vk
Вирус
0.3
6000
1800
0.1
40000
4000
0.1
30000
3000
0.2
25000
5000
0.5
8000
4000
Превышение прав доступа
легальным
субъектом
Вход при отказе в
обслуживании
Нарушение функциионирования МКС
Несанкционированный
доступ незарегистрированным субъектом
В табл. 6.4 представлены весовые коэффициенты эффективности средств
защиты для различных вариантов их реализации в зависимости от типа угроз
безопасности, полученные на основе статистических и экспертных оценок.
Оценим
величину
возможных
потерь
вследствие
некорректного
функционирования или некорректной реакции средств защиты на основе
механизмов управления доступом к ресурсам DAC, MAC, и RBAC,
233
рассматривая каждое из 3-х средств защиты как единый модуль без
дифференциации на подсистемы защиты.
Таблица 6.4
Эффективность средств защиты на основе управления доступом в
зависимости от типа угроз безопасности
Угроза
Вирус
Средство
защиты
Превыше-
Вход при
Нарушение
Несанк-
ние прав
отказе
функцио-
циони-
доступа
в обслу-
нирования
рованный
легальным
живании
МКС
доступ
субъектом
DAC
0.7
0.75
0.75
0.7
0.75
MAC
0.75
0.75
0.8
0.8
0.8
RBAC
0.8
0.9
0.85
0.9
0.8
В соответствии с данными табл. 6.3 и табл. 6.4 и используя соотношения
(6.18) – (6.22) для 3-х рассматриваемых вариантов реализации средств
защиты получим следующие значения потенциальных потерь Lj вследствие
не предотвращения вторжений: для средств защиты на основе DAC – 14120
у.е., на основе MAC – 12673 у.е., на основе RBAC – 9968 у.е.
Таким образом, подтверждается корреляция между эффективностью применения средств защиты и соответствующими потенциальными потерями
вследствие НСД. Так для средств защиты на основе механизма RBAC характерны наименьшие возможные потери в случае попыток реализации угроз
безопасности, вследствие того, что данные средства обладают наибольшим
коэффициентом эффективности предотвращения угроз по сравнению с
другими рассмотренными средствами.
Следует отметить, что существенное влияние на величину потенциальных потерь вследствие действий агентов вторжений имеют вероятность реализации угроз безопасности МКС и соответствующие риски нарушения
защищенности, а также стоимостной фактор последствий НСД к критичной
информации и ресурсам.
234
Выводы к Разделу 6
6.1. Предложена классификация информации, обрабатываемой компьютерными системами, по критерию ее ценности. Предложен подход к оценке
защищенности компьютерных систем на основе учета рисков нарушения их
защищенности и ценности информации. Показано, что предложенный
подход на основе комплексного определения уровня защищенности
компьютерных
систем
позволяет
обеспечить
оптимальный
уровень
защищенности МКС, исходя из разнородных критериев.
6.2. Предложена теория оценки рисков нарушения защищенности распределенных мультикомпьютерных систем на основе анализа критичных
ситуаций в процессе принятия
решений. Показано, что предложенные
оценки рисков нарушения защищенности позволяют получить прогнозные
значения критичного времени анализа ситуации и принятия решения в
зависимости от интенсивности событий, связанных с угрозами безопасности,
интенсивности включения комплекса средств защиты, а также позволяют
комплексно проанализировать динамику процессов развития вторжений,
процессов восстановления уровня защищенности и соответствующую
динамику изменения уровня рисков нарушения защищенности МКС.
6.3. Разработана структура средств минимизации риска нарушения защищенности
распределенных
формализация
мультикомпьютерных
функционирования
основных
систем,
блоков
выполнена
предложенной
структуры. Предложен подход к анализу риска на основе оценок степени
опасности факторов угроз безопасности и вероятности реализации угроз
безопасности с разделением их на соответствующие группы. Предложен
алгоритм выбора средств защиты компьютерных систем с учетом анализа
рисков нарушения их защищенности. Показано, что предложенные средства
минимизации риска нарушения защищенности учитывают современные
требования и позволяют эффективно выявлять, классифицировать и
анализировать угрозы безопасности распределенных мультикомпьютерных
235
систем, что обеспечивает
повышение эффективности применения средств
защиты информации.
6.4. Проведен анализ эффективности реализации средств защиты на
основе
механизмов
минимизации
рисков
нарушения
защищенности.
Показана корреляция между эффективностью применения средств защиты и
соответствующими потенциальными потерями вследствие несанкционированного доступа. Также показано, что существенное влияние на величину
потенциальных потерь вследствие действий агентов вторжений имеют
вероятность реализации угроз безопасности МКС и соответствующие риски
нарушения защищенности, а также стоимостной фактор последствий
несанкционированного доступа к критичной информации и ресурсам.
236
РАЗДЕЛ 7.
МОДЕЛИРОВАНИЕ ПРОЦЕССОВ УПРАВЛЕНИЯ ЗАДАНИЯМИ В МУЛЬТИКОМЬЮТЕРНЫХ СИСТЕМАХ НА
ОСНОВЕ СПЕЦИАЛИЗИРОВАННЫХ СТОХАСТИЧЕСКИХ
СЕТЕЙ
7.1.
Моделирование процессов в модуле управления заданиями
распределенных мультикомпьютерных систем для анализа рисков
нарушения защищенности
7.1.1.Моделирование процессов анализа ситуаций и принятия решений в
модуле управления заданиями МКС с использованием стохастических
сетей Петри
Рассмотрим процедуру построения структуры стохастических сетей
Петри (ССП) для моделирования процессов анализа ситуаций и принятия
решений в модуле управления заданиями (МУЗ) МКС в задачах анализа
рисков нарушения защищенности. Как отмечалось выше, с точки зрения
рисков нарушения защищенности критичным является время анализа
ситуаций и принятия решений, поскольку его превышение может привести к
задержке реакции на действия агентов вторжений. Таким образом, для
моделирования различных вариантов функционирования средств защиты
МКС формируется ССП, позволяющая оценить критичное время реакции
средств защиты.
Структура ССП отражает последовательность (“цепочку”) событий,
соответствующую процессу анализа ситуаций и принятия решений в МУЗ
(рис. 7.1) [272].
В качестве примера сформирована ССП, описывающая
процесс функционирования трех компонентов МКС: сервера приложений,
сервера аутентификации и сервера баз данных. Эти компоненты работают в
параллельном режиме, поэтому структура ССП на определенных участках
содержит 3 параллельные цепочки событий.
Р0
Р1
T1
Р4
T4
Р7
Р2
T2
Р5
T5
Р8
T0
T7
Р10
T3
Р6
T6
Р9
T11
T14
Р12
T9
T10
Р13
Принятие решения
T15
T12
Р16
T13
Анализ ситуации
Р14
Р15
Р11
Р3
T8
T16
Передача
сообщения Функционирование МКС
решения
Рис. 7.1. Стохастическая сеть Петри, описывающая процессы анализа ситуаций и принятия решений в модуле
управления заданиями МКС
237
238
В табл. 7.1. и 7.2 представлены интерпретации меток в разметке вершин и
событий
запусков
переходов
стохастической
сети
Петри
для
рассматриваемого случая.
Таблица 7.1.
Интерпретация меток в вершинах ССП
N Вершины
Интепретация меток в разметке ССП
ССП
1
Р0
начальная установка параметров средств защиты МКС
2
Р1
модификация параметров сервера приложений
3
Р2
модификация параметров сервера аутентификации
4
Р3
модификация параметров сервера баз данных
5
Р4
анализ числа обращений к серверу приложений
6
Р5
анализ числа обращений к серверу аутентификации
7
Р6
анализ числа обращений к серверу баз данных
8
Р7
накопление данных
для анализа ситуации
в сервере
для анализа ситуации
в
приложений
9
Р8
накопление данных
сервере
аутентификации
10
Р9
накопление данных для анализа ситуации в сервере баз
данных
11
Р10
сравнение полученных данных с шаблонами нормального
функционирования сервера приложений
12
Р11
сравнение полученных данных с шаблонами нормального
функционирования сервера аутентификации
13
Р12
сравнение полученных данных с шаблонами нормального
функционирования сервера баз данных
14
Р13
принятие решения
15
Р14
функционирование сервера приложений
16
Р15
функционирование сервера аутентификации
17
Р16
функционирование сервера баз данных
239
Таблица 7.2.
Интерпретация событий запусков переходов ССП
N Переходы
Интепретация событий запусков переходов
ССП
1
T0
передача начальных параметров для 3-х компонентов МКС
2
T1
передача
модифицированных
параметров
для
сервера
параметров
для
сервера
приложений
3
T2
передача
модифицированных
аутентификации
4
T3
передача модифицированных параметров для сервера баз
данных
5
T4
передача статистических данных по анализу обращений к
серверу приложений
6
T5
передача статистических данных по анализу обращений к
серверу аутентификации
7
T6
передача статистических данных по анализу обращений к
серверу баз данных
8
T7
запуск
процедуры комплексного
статистических
данных
анализа накопленных
(принятия
решения)
по
3-м
компонентам МКС
9
T8
передача результатов анализа ситуации (принятое решение)
серверу приложений
10
T9
передача результатов анализа ситуации (принятое решение)
серверу аутентификации
11
T10
передача результатов анализа ситуации (принятое решение)
серверу баз данных
12
T11
передача
сообщения
по
управлению
функционирования сервера приложений
параметрами
240
13
T12
передача
сообщения
по
управлению
параметрами
функционирования сервера аутентификации
14
T13
передача
сообщения
по
управлению
параметрами
функционирования сервера баз данных
15
T14
запуск
процесса
модификации
параметров
сервера
модификации
параметров
сервера
приложений
16
T15
запуск
процесса
аутентификации
17
T16
запуск процесса модификации параметров сервера баз
данных
Следует отметить, что все переходы рассматриваемой ССП являются
временными, т.е. имеют определенное время срабатывания. Функционирование модуля управления заданиями МКС в ССП моделируется как
снятие/размещение фишек с соответствующих вершин.
В структуру ССП введены дуги, открывающие переходы T11, T12, T13 , т.е.
позволяющие открыть именно те переходы, которые соответствуют
компонентам МКС, накопившим необходимое количество статистических
данных для анализа ситуации и принятия решения. Данный подход
позволяет
дифференцировать
принятие
решений
по
управлению
параметрами различных компонентов МКС, т.е. изменять параметры именно
тех средств, в которых требуется изменение текущих параметров, для чего в
сети введены переходы Т14, Т15, Т16.
7.1.2. Специализированная среда для экспериментального моделирования
на основе аппарата ССП
Для проведения экспериментального моделирования процессов анализа
ситуаций и принятия решений в МУЗ МКС разработана специализированная
среда моделирования на основе аппарата ССП, позволяющая задать
структуру сети для моделирования и ее параметры. В результате среда
формирует полный набор (дерево достижимости) состояний исследуемой
241
модели процессов анализа ситуаций и принятия решений в МУЗ МКС и
позволяет получить статистическую информацию по параметрам данной
модели.
Специализированная среда позволяет с помощью специального графического интерфейса на специальном наборном поле задать структуру
ССП: вершины, переходы и связи между ними. Для заданной структуры ССП
среда поддерживает установление начальной разметки М0 и выполнение
моделирования в двух режимах: построения дерева достижимости и
моделирования процессов с учетом вероятностей срабатывания переходов.
В результате формируется дерево достижимости, представляемое в виде
графа или ссылочной формы с вершинами, помеченными как внутренние,
терминальные или дублирующие, а также марковский граф. Кроме того, в
режиме
построения
дерева
достижимости
среда
определяет
номера
срабатывающих переходов при получении новой разметки, время перехода
из разметки в разметку,
а также тип события: запуск, планирование,
выполнение.
По результатам моделирования разработанная среда позволяет получить
следующие статистические данные: общее и среднее время пребывания в
определенной разметке, общее и среднее время возвращения в определенную
разметку, вероятность пребывания в определенной разметке и частоту
появления определенной разметки, а также время перехода из одной
разметки в другую.
Интерфейс разработанной специализированной среды с заданным
вариантом структуры ССП для анализа ситуаций и принятия решений,
соответствующей ССП на рис. 7.1, представлен на рис. 7.2 – 7.5.
242
Рис. 7.2. Интерфейс среды. Наборное поле с сформированной структурой
сети Петри
Рис. 7.3. Интерфейс среды. Пример вывода дерева достижимости
243
Рис. 7.4. Пример вывода результатов моделирования (срабатывающие
переходы при получении очередной разметки и время их срабатывания)
Рис. 7.5. Пример вывода результатов моделирования (временные и
вероятностные характеристики модели)
244
Практически, специализированная среда реализована в виде jar-проекта
на языке JAVA. Среда состоит из 4-х базовых пакетов классов:
com.modelling, сom.gui.actions, com.gui.editor, com.main. Листинг фрагментов
программного кода разработанной среды, реализующих базовые функции,
приведен
в
Приложении
В.
В
качестве
дополнительных
функций
разработанная среда позволяет сохранять сформированную структуру ССП и
результаты моделирования в файл формата *.csv, который может быть
конвертирован в среду MS Excel.
7.1.3. Результаты экспериментального моделирования процессов в модуле
управления заданиями с использованием ССП
Представим результаты моделирования на основе аппарата ССП (рис. 7.1)
процессов в модуле управления заданиями МКС, полученные с использованием разработанной специализированной среды. Возможные исходные
параметры функционирования МУЗ задаются с помощью начальной
разметки М0 . Для проведения корректного анализа ситуаций и принятия
решений в МКС необходимо объективно и комплексно оценить состояние
(параметры) происходящих в ней процессов. Для этого для рассматриваемой
модели (рис. 7.1) необходимо учитывать параметры функционирования всех
3-х компонентов МКС: сервера приложений, сервера аутентификации и
сервера баз данных. Соответственно, переход T7 запуcкается лишь тогда,
когда во всех 3-х вершинах ССП (Р7, Р8, Р9) содержится как минимум одна
метка, что соответствует наличию накопленных данных для анализа по результатам функционирования соответствующего компонента защиты МКС.
В процессе моделирования для формирования случайных значений
интервалов времени срабатывания временных переходов используется
генератор событий информационного потока с равномерным распределением (коэффициент вариации в потоке g = 1/3).
В первом эксперименте задана следующая начальная разметка: М0 = (0, 1,
1, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0). Данная разметка соответствует ситуации,
когда выполнена модификация параметров средств защиты (вершины Р1, Р2,
245
Р3 содержат по одной метке) и начинается сбор данных для анализа ситуации
и принятия решения. С помощью разработанной среды получен следующий
набор достижимых состояний ССП (табл. 7.3).
Таблица 7.3
Результаты первого эксперимента
N
Время,
Тип
Переход
с
Разметка
P0P1
. . .
P16
1 0.000000
Start
01110000000000000
2 0.000000
Plan
T1
01110000000000000
3 0.000000
Plan
T2
01110000000000000
4 0.000000
Plan
T3
01110000000000000
5 0.613370
Execute
T3
01100010000000000
6 0.613370
Plan
T6
01100010000000000
7 0.980369
Execute
T6
01100000010000000
8 1.653269
Execute
T1
00101000010000000
9 1.653269
Plan
T4
00101000010000000
10 1.808086
Execute
T2
00001100010000000
11 1.808086
Plan
T5
00001100010000000
12 2.392529
Execute
T5
00001000110000000
13 3.103331
Execute
T4
00000001110000000
14 3.103331
Plan
T7
00000001110000000
15 3.397030
Execute
T7
00000000001110000
16 3.397030
Plan
T8
00000000001110000
17 3.397030
Plan
T9
00000000001110000
18 3.397030
Plan
T10
00000000001110000
19 3.428755
Execute
T8
00000000000111000
20 3.479091
Execute
T9
00000000000012000
21 3.916800
Execute
T10
00000000000003000
22 3.916800
End
00000000000003000
246
Как видно из табл. 7.3 данных для анализа в этом случае накоплено
недостаточно - вершины Р7, Р8, Р9 содержат максимум по одной метке, и
моделирование заканчивается достаточно рано (на шаге 22), причем
переходы T11, T12, T13 не срабатывают и изменение параметров компонентов
МКС и средств их защиты не выполняется.
Накопление данных для анализа ситуаций и принятия решений
фактически зависит от интенсивности срабатывания переходов T4, T5, T6,
которые соответствуют передаче накопленных статистических данных по
анализу обращений к компонентам МКС.
Во втором эксперименте задана начальная разметка М0 = (0, 1, 1, 1, 2, 2, 2,
0, 0, 0, 0, 0, 0, 0, 0, 0), соответствующая случаю равной интенсивности накопления данных по критичным параметрам защищенности компонентов МКС
для анализа ситуаций. Результат моделирования представлен в табл. 7.4.
Таблица 7.4.
Результаты второго эксперимента
N
Время,
Тип
Переход
с
Разметка
P0P1
. . .
P16
1 0.000000
Start
01112220000000000
2 0.000000
Plan
T1
01112220000000000
3 0.000000
Plan
T2
01112220000000000
4 0.000000
Plan
T3
01112220000000000
5 0.000000
Plan
T4
01112220000000000
6 0.000000
Plan
T5
01112220000000000
7 0.000000
Plan
T6
01112220000000000
8 0.248452
Execute
T3
01102230000000000
9 0.540773
Execute
T4
01101231000000000
10 0.540773
Plan
T4
01101231000000000
11 0.631278
Execute
T2
01001331000000000
12 0.683184
Execute
T6
01001321010000000
247
13 0.683184
Plan
T6
01001321010000000
14 0.812349
Execute
T5
01001221110000000
15 0.812349
Plan
T5
01001221110000000
16 0.812349
Plan
T7
01001221110000000
17 0.959038
Execute
T1
00002221110000000
18 1.350105
Execute
T4
00001222110000000
19 1.350105
Plan
T4
00001222110000000
20 1.404090
Execute
T6
00001212120000000
21 1.404090
Plan
T6
00001212120000000
22 1.433279
Execute
T6
00001202130000000
23 1.451485
Execute
T7
00001201021110000
24 1.451485
Plan
T8
00001201021110000
25 1.451485
Plan
T9
00001201021110000
26 1.451485
Plan
T10
00001201021110000
27 1.638370
Execute
T9
00001201021011000
28 1.638370
Plan
T11
00001201021011000
29 1.686790
Execute
T11
00001200021010100
30 1.686790
Plan
T14
00001200021010100
31 1.802305
Execute
T5
00001100121010100
32 1.802305
Plan
T5
00001100121010100
33 1.881782
Execute
T10
00001100121001100
34 1.881782
Plan
T12
00001100121001100
35 1.912698
Execute
T4
00000101121001100
36 2.173434
Execute
T8
00000101120002100
37 2.173434
Plan
T11
00000101120002100
38 2.173434
Plan
T13
00000101120002100
39 2.185330
Execute
T13
00000101110001101
40 2.185330
Plan
T16
00000101110001101
41 2.205325
Execute
T14
01000101110001001
248
42 2.205325
Plan
T1
01000101110001001
43 2.700355
Execute
T5
01000001210001001
44 2.735422
Execute
T12
01000001110000011
45 2.927118
Execute
T16
01010001110000010
46 2.927118
Plan
T3
01010001110000010
47 2.927118
Plan
T7
01010001110000010
48 2.927118
Plan
T15
01010001110000010
49 3.048995
Execute
T7
01010000001110010
50 3.048995
Plan
T8
01010000001110010
51 3.048995
Plan
T9
01010000001110010
52 3.048995
Plan
T10
01010000001110010
53 3.170347
Execute
T15
01110000001110000
54 3.170347
Plan
T2
01110000001110000
55 3.183960
Execute
T1
00111000001110000
56 3.183960
Plan
T4
00111000001110000
57 3.235382
Execute
T10
00111000001101000
58 3.412149
Execute
T4
00110001001101000
59 3.412149
Plan
T11
00110001001101000
60 3.531430
Execute
T3
00100011001101000
61 3.531430
Plan
T6
00100011001101000
62 3.782383
Execute
T8
00100011000102000
63 3.783967
Execute
T9
00100011000003000
64 3.945654
Execute
T2
00000111000003000
65 3.945654
Plan
T5
00000111000003000
66 4.092214
Execute
T6
00000101010003000
67 4.092214
Plan
T13
00000101010003000
68 4.320127
Execute
T11
00000100010002100
69 4.320127
Plan
T14
00000100010002100
70 4.548975
Execute
T13
00000100000001101
249
71 4.548975
Plan
T16
00000100000001101
72 4.683245
Execute
T14
01000100000001001
73 4.683245
Plan
T1
01000100000001001
74 4.707728
Execute
T5
01000000100001001
75 4.707728
Plan
T12
01000000100001001
76 4.939940
Execute
T12
01000000000000011
77 4.939940
Plan
T15
01000000000000011
78 5.037540
Execute
T15
01100000000000001
79 5.037540
Plan
T2
01100000000000001
80 5.151995
Execute
T1
00101000000000001
81 5.151995
Plan
T4
00101000000000001
82 5.183141
Execute
T16
00111000000000000
83 5.183141
Plan
T3
00111000000000000
84 5.365129
Execute
T2
00011100000000000
85 5.365129
Plan
T5
00011100000000000
86 5.633419
Execute
T5
00011000100000000
87 5.980295
Execute
T3
00001010100000000
88 5.980295
Plan
T6
00001010100000000
89 5.984604
Execute
T4
00000011100000000
90 6.415596
Execute
T6
00000001110000000
91 6.415596
Plan
T7
00000001110000000
92 6.588451
Execute
T7
00000000001110000
93 6.588451
Plan
T8
00000000001110000
94 6.588451
Plan
T9
00000000001110000
95 6.588451
Plan
T10
00000000001110000
96 6.926506
Execute
T10
00000000001101000
97 7.104648
Execute
T8
00000000000102000
98 7.455712
Execute
T9
00000000000003000
99 7.455712
End
00000000000003000
250
Как видно из табл. 7.4, данных для анализа ситуаций в этом случае
накоплено уже достаточно, переходы T14, T15, T16
срабатывают и
принимается решение по изменению параметров компонентов МКС и
средств их защиты, после чего процесс накопления данных для анализа
продолжается и МУЗ функционирует в штатном режиме.
Далее рассмотрим третий случай, в котором интенсивности срабатывания
переходов T4, T5, T6 являются различными, при этом по одному из
компонентов МКС данные для анализа вообще отсутствуют. В качестве
примера, начальная разметка в данном случае имеет вид:
М0 = (0, 1, 1, 0, 3,
2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0), т.е. данные наиболее активно накапливаются по
серверу приложений (вершина Р4 = 3), а по серверу баз данных отсутствуют
(вершина Р6 = 0), при этом процесс модификации параметров для данного
компонента также не запущен (Р3 = 0) (табл. 7.5).
Таблица 7.5.
Результаты третьего эксперимента
N
Время,
Тип
Переход
с
Разметка
P0P1
. . .
P16
1 0.000000
Start
01103200000000000
2 0.000000
Plan
T1
01103200000000000
3 0.000000
Plan
T2
01103200000000000
4 0.000000
Plan
T4
01103200000000000
5 0.000000
Plan
T5
01103200000000000
6 0.184270
Execute
T5
01103100100000000
7 0.184270
Plan
T5
01103100100000000
8 0.244612
Execute
T2
01003200100000000
9 0.553173
Execute
T5
01003100200000000
10 0.553173
Plan
T5
01003100200000000
11 0.859583
Execute
T1
00004100200000000
12 0.906587
Execute
T4
00003101200000000
251
13 0.906587
Plan
T4
00003101200000000
14 0.915520
Execute
T5
00003001300000000
15 1.707061
Execute
T4
00002002300000000
16 1.707061
Plan
T4
00002002300000000
17 2.502829
Execute
T4
00001003300000000
18 2.502829
Plan
T4
00001003300000000
19 3.326677
Execute
T4
00000004300000000
20 3.326677
End
00000004300000000
Как видно из табл. 7.5 в данном случае фактически наблюдается
недостаток данных для анализа ситуаций и принятия решений по
минимизации рисков нарушения защищенности: переходы T8, T9, Т10 не
сработали ни разу, что отражает факт отсутствия принятия решений по
управлению параметрами компонентов МКС и средств их защиты, несмотря
на то, что по двум компонентам МКС накоплен достаточный объем
информации для анализа.
Таким образом, рассмотренный случай показывает, что моделирование
функционирования компонентов МКС в задачах анализа рисков нарушения
защищенности на основе подхода с использованием ССП имеет определенные недостатки и ограничения. В частности, в том случае, если потоки
данных для анализа ситуаций и принятия решений по минимизации рисков
нарушения
защищенности
между
компонентами
МКС
распределены
неравномерно, то ССП оказывается в тупиковой ситуации и, фактически, не
может корректно отразить происходящие процессы в данном случае.
7.2. Теория стохастических RA-сетей для моделирование процессов в
модуле управления заданиями
7.2.1. Базовые определения и понятия теории стохастических RA-сетей
Результаты моделирования c использованием аппарата классических
стохастических сетей Петри для оценки критичного времени анализа
ситуаций и принятия решения в модуле управления заданиями МКС
252
показали (табл. 7.3 – 7.5), что данные сети позволяют корректно обработать
лишь те случаи, когда интенсивность поступления событий (меток) по всем
компонентам МКС является практически эквивалентной. В том случае, если
указанные интенсивности являются различными, то компонент с наименьшей
интенсивностью событий фактически задерживает время принятия решения
по модификации параметров средств защиты. Так, для срабатывания
синхронизирующего перехода Т7 (рис. 7.1) требуется наличие меток во всех
входных вершинах, что обусловлено необходимостью учета данных по
текущему состоянию всех рассматриваемых компонентов МКС для
получения полной и объективной картины ситуации для ее последующего
эффективного анализа. В результате, переход Т7 реализует синхронизацию
процессов накопления данных для анализа, что и приводит к выше указанной
проблеме.
Однако, в практических приложениях достаточно часто оказывается, что
атака развивается по единственному каналу вторжений и число событий
(действий
субъектов)
по
данному
каналу
существенно
превышает
аналогичную характеристику в сравнении с другими каналов вторжений. При
этом средства защиты МКС должны оперативно реагировать на данные
ситуации, ввиду того, что
атака с высокой вероятностью может быть
реализована по единственному используемому каналу. Таким образом,
требуется применение специальных сетевых механизмов, которые будут
корректно функционировать в условиях дифференциальной интенсивности
поступления событий, связанных с функционированием компонентов МКС.
Для решения указанной проблемы предлагается механизм стохастических
RA-сетей, который позволит корректно обработать потоки событий с
различной интенсивностью, в т.ч. с существенно различной.
Рассмотрим базовые определения и понятия теории стохастических RAсетей.
Утверждение 1. RA-сеть представляется кортежем (S, M, L, W), где:
253
S – структура RA-сети, N= (P, T, I, О), причем: P = {P1, P2 ,..., Pn} –
множество вершин; T = {T1, T2, ..., Tm} – множество переходов; I = {I(T1),
I(T2),…, I(Tm)} – множество входов переходов; О = {O(T1), O(T2),…, O(Tm)} –
множество выходов переходов;
М = {M1, M2 ,..., Mn} – маркировка, Mi – число меток в вершинах RAсети.
L = {λ1(T), λ2(T) ,..., λm(T)} – множество интенсивностей срабатывания
переходов;
W = {ω1(T), ω2(T),...,ωm(T)} – множество весов входов переходов.
Графически
структура
RA-сети
представляет
собой
двудольный
ориентированный граф, вершинами которого являются вершины RA-сети и
переходы между ними, а ребрами - дуги, соединяющие вершины и переходы,
при этом соединяться могут лишь разнотипные элементы – вершины и дуги.
В общем случае, выделяются мгновенные и временные переходы RAсети. Мгновенный переход срабатывает как только его срабатывание
становится разрешенным, а временной – срабатывает всегда с определенной
задержкой – временем срабатывания.
Определение 1. Распределение меток в вершинах RA-сети или разметка
определяет вектор разметки:
M = (M(P1), M(P2), M(P3),…, M(Pn)) ,
(7.1)
где M(Pi) – признак наличия метки в вершине Рi, при этом в качестве метки
может выступать ресурс, задание и т.д.
Определение 2. Инициализированной RA-сетью (N, M, L, W, M0)
называется такая RA-сеть, у которой задана начальная разметка М0 = (M0(P1),
M0(P2), M0(P3),…, M0(Pn)).
Определение 3. Матрица D- является входной разметочной матрицей
размерностью (n х m):
I(T1) ,
D- = I(T2) ,
I(Tm) ,
(7.2)
254
где I(Ti) – вектор, который определяет число дуг, входящих в переход Ti из
вершин Pj (j = 1,…, n).
Определение 4. Матрица D+ является выходной разметочной матрицей
размерностью (n х m):
O(T1) ,
D+ = O(T2) ,
(7.3)
O(Tm) ,
где O(Ti) – вектор, который определяет число дуг, исходящих из перехода Ti
в вершины Pj (j = 1,…, n).
Режим выполнения RA-сети представляет собой перемещение меток
(ресурсов,
заданий)
между
вершинами
в
RA-сети
соответствии
с
следующими правилами.
Правило 1. Любая текущая разметка RA-cети определяется вектором M
= (M(P1), M(P2), …, M(Pn)), элементами которого являются значения функции
принадлежности наличия меток в соответствующих позициях RA-cети;
Правило 2. Срабатывание классического перехода RA-сети: переход Ti
может быть запущен, если в текущей разметке на всех его входах имеется по
крайней мере одна метка:
M ≥ I(Ti)
.
(7.4)
При этом срабатывающий переход снимает только одну метку из каждой
вершины Pi по одной дуге и размещает одну метку по каждой дуге в
соответствующую вершину Pj.
Правило 3. Срабатывание N-перехода RA-сети: правило срабатывания
таких переходов соответствует правилу функционирования искусственного
нейрона:
a
M k (Ti ) * I (Ti ) ,
(7.5)
k 1
a
где ωк(Ti) – вес входной дуги перехода Ti, при этом:
где ωгр(Ti) – пороговое значение N-перехода.
(T )
k
k 1
i
гр(Ti ) ,
255
Рассмотрим детальнее особенности функционирования N-перехода. В общем случае, N-переход может иметь a входов и b выходов, все входы являются взвешенными, т.е. каждой входной дуге присвоен определенный вес ωk.
Кроме того, N-переход содержит пороговый элемент, работающий как отсекающий компаратор: если сумма весов входящих дуг не превышает пороговое значение, то на всех выходах N-перехода устанавливается нулевое значение, а иначе на все выходы N-перехода поступает по 1 метке. После срабатывания N-перехода метки на его входах обнуляются. Значения весов входящих
дуг и пороговое значение N-перехода могут изменяться в соответствии с текущей конфигурацией и параметрами защищенности рассматриваемой МКС.
Схема функционирования N-перехода представлена на рис. 7.6.
ω1
ω2
ωk
ωгр
Σ
ωa
Рис. 7.6. Схема функционирования N-перехода
Представим правило размещения меток в разметке в результате
срабатывания классических переходов δ = { Tq,..,Tw}, исключая N-переходы.
Правило 4. Количество меток в разметке Mi+1 в результате срабатывания
классических переходов определяется как:
Mi(P) + 1, если pi O(Tk ), pi I(Tk)
Mi+1(P) =
Mi(P), иначе
Mi(P) - 1, если pi O(Tk), pi I(Tk)
(7.6)
.
В результате срабатывания классических переходов с текущей разметки
по Правилу 4 снимается определенное число меток, которые размещаются в
получаемых разметках в соответствии с входной и выходной разметочными
матрицами.
256
7.2.2. Особенности моделирования реальных объектов на основе RAсетей
Для эффективного моделирования процессов в МКС необходимо
обеспечить корректность процесса моделирования и корректность анализа
результатов.
Корректность
процесса
моделирования
определяется
корректностью формализации объекта моделирования; корректность анализа
связана с адекватностью оценки свойств моделируемой системы.
Дерево достижимости и граф достижимости
Как уже отмечалось выше, множество всех возможных разметок RA-сети
R(M0) формирует дерево достижимости, при этом начальная разметка M0
является
корневой.
Начиная
с
корневой
разметки
последовательно
определяются переходы, которые могут быть запущены; срабатывание
перехода приводит к новой разметке, которая является новым элементом в
дереве достижимости.
В общем случае, существует проблема неограниченности (бесконечности)
процесса построения дерева достижимости. Для решения данной проблемы
вводится понятие терминальная (конечная) разметка.
Введем три вида терминальных разметок:
Тупиковые: разметки, из которых ни один переход не может быть
запущен, Мi {δ={Tq,...,Tw}} → Mj .
Дублирующие:
разметки,
которые
уже
присутствуют
в
дереве
достижимости: Мi = Mj .
Размножающие: разметка Mj является размножающей, если Мj ≥ Мi, где
Мi – внутренняя разметка дерева достижимости. В данном случае,
последовательность срабатывания переходов δ={Tq,...,Tw}, которая вызвала
преобразование разметки Мi в Мj, может быть запущена повторно и,
результате,
преобразование
Мi
→
Мj
может
быть
в
воспроизведено
бесконечное число раз, следовательно метки в разметке Мj могут
размножаться неограниченно. Обозначим сколь угодно большое число меток,
полученное в размножающих разметках как Ω, при этом: Ω + a = Ω; Ω – a =
257
Ω; a < Ω для любой положительной константы a. Таким образом, в этом
случае процедура построения дерева достижимости всегда является
конечной.
Если
в
процессе
генерации
дерева
достижимости
не
возникло
размножающих разметок, то RA-сеть является ограниченной. В этом случае
множество достигаемых разметок конечно и может быть представлено в виде
взвешенного ориентированного графа, вершинами которого являются
элементы R(М0), при этом для каждого срабатывающего перехода Мi → Tк →
Mj существует дуга (i, j) с переходом Tк.
Выполнение моделирования на основе матричного подхода
Как
уже
отмечалось
выше,
для
описания
структуры
RA-сети
используются, в частности, входная D- и выходная D+ разметочные матрицы.
Определим матрицу инцидентности D как:
D = D+ - D-
.
(7.7)
Далее, введем вектор δj=(δ1, δ2,…, δj, …, δm)
размерностью
m, все
элементы которого равны 0, за исключением элемента δj, равного 1. Тогда
правила выполнения RA-сети описываются следующим образом:
Правило 5. Классический переход Tj из разметки M разрешен тогда и
только тогда, если:
M ≥ δj * D- ,
(7.8)
причем δj * D- - j-тая строка матрицы D-.
Правило 6. N-переход Tj из разметки M разрешен тогда и только тогда,
если:
a
M k (T j ) *
j
*D
.
(7.9)
k 1
Правило 7. Запуск классического перехода Tj из разметки Мi формирует
разметку Мj :
Мj = Мi - δj * D- + δj * D + = Mi + δj * D .
(7.10)
Правило 8. Запуск N-перехода tj из разметки Мi формирует разметку Мj :
a
M j M i k (T j ) *
k 1
j
*D
j
*D
.
(7.11)
Таким
образом,
для
с
RA-сети
начальной
258
М0 и
разметкой
последовательностью срабатывания классических(Tj, Tl, Tm) и N-переходов
(Tn):
Tj → Tl → Tn→ Tm .
Конечная маркировка определяется как:
a
M fin M i j * D l * D k (T n) * n * D n * D m * D .
(7.12)
k 1
7.2.3. Оценка параметров систем, моделируемых с использованием
аппарата RA-сетей
Важным свойством RA-сетей является то, что они позволяют оценить
ряд динамических и статических параметров моделируемой системы.
Динамические
и
статические
параметры
моделируемой
системы
определяются на основе анализа появления разметок М' из множества
достижимости R(M0). Ряд анализируемых параметров имеют интегральный
характер.
Вероятность появления определенного подмножества разметок
Определим некоторое подмножество разметок RA-сети, отличающееся
определенным свойством, например, выделим такие разметки M є М',
которые не содержат меток в определенной вершине Рi. Вероятность
появления PM'(t) подножества М' разметок в дереве достижимости R(M0)
оценивается как:
PM' (t )
PsM (t )
,
(7.13)
M M'
где PsM(t) - вероятность пребывания RA-сети в разметке M в момент времени
t.
Пусть набор разметок М' соответствует нормальному функционированию
узлов (рабочих станций) МКС, тогда интегральный параметр PM'(t)
описывает вероятность безотказной работы МКС.
259
Среднее время пребывания в определенной разметке
Среднее время TM пребывания в разметке M ∈ R(M0) на интервале [0,…,
t] рассчитывается как:
t
T M PsM (t )dt
.
(7.14)
0
Среднее время пребывания в определенном подмножестве разметок
Пусть М' подмножество разметок RA-сети, которые удовлетворяют
определенному условию. Тогда среднее время TM' пребывания RA-сети в
подмножестве разметок М' на интервале [0,…, t] оценивается как:
TM'
t
Ps
M
(t )dt
.
(7.15)
M M' 0
Так, если подмножество разметок М' соответствует режиму нормального
функционирования узлов МКС, то TM' – время нормального функционирования МКС.
Среднее время процесса моделирования на основе RA-сети
Параметр PM(t), по сути, представляет собой вероятность попадания RAсети в множество разметок M є R(M0) до наступления момента времени t.
Тогда среднее время TpassM прохождения меток через RA-сеть, или,
соответственно, время полного цикла моделирования, оценивается как:
t
TpassM [1 P M (t )]dt .
(7.16)
0
Для повышения объективности данной оценки необходимо увеличивать
интервал времени моделирования на основе RA-сети.
Среднее число меток в вершинах RA-сети
Функция распределения числа меток в вершине Pi RA-сети в момент t
является ступенчатой
функцией, в которой амплитуда k-го шага
определяется как сумма вероятностей появления разметок M(Pi) R(M0),
260
содержащих k меток в вершине Pi в момент времени t, при этом амплитуда kго шага определяется функцией плотности вероятности fi (k,t).
Среднее число меток ANPi (t) в вершине Pi в момент времени t равно:
t
ANPi (t ) k * f i (k , t )
.
(7.17)
0
Например,
если
вершина
описывает
Pi
компоненты
МКС,
конкурирующие за общий ресурс, то для анализа ситуации определяется
функция распределения и среднее число компонентов МКС, находящихся в
очереди к общему ресурсу в момент времени t.
Среднее число срабатывания переходов RA- сети
Данный параметр показывает сколько раз в среднем на интервале (0, t)
произошло событие, соответствующее срабатыванию перехода RA-сети.
Пусть Tk – переход RA-сети и М' - подмножество разметок, включающее все
разметки M ∈ М', в которых разрешен запуск перехода Tk. Тогда среднее
число срабатываний ANtk (t) перехода Tk на интервале (0, t) определяется как:
ANt k (t )
t
Ps
M M' 0
M
(t ) k ( M )dt
,
(7.18)
где λk (M) - интенсивность запуска перехода Tk из разметки M.
Для стационарных разметок среднее число ANStk срабатываний перехода
Tk за единицу времени рассчитывается как:
ANSt k
M M'
PsM () k ( M ) ,
(7.19)
где PsM(∞) - стационарная вероятность пребывания RA-сети в разметке M.
Например, если переход Tk соответствует отказу (ремонту) некоторого
компонента МКС, то параметр ANStk(t) отражает среднее число отказов
(ремонтов) данного компонента на интервале (0, t).
261
7.3. Реализация аппарата RA-сетей в задачах анализа ситуаций и
принятия решений в модуле управления заданиями для оценки рисков
нарушения защищенности
Рассмотрим особенности построения модели на основе предложенной
RA-сети для оценки времени анализа ситуаций и принятия решения в модуле
управления заданиями МКС.
Исходные данные, интерпретации меток в маркировках и событий
запусков переходов аналогичны классической ССП (табл. 7.1, 7.2). Отличия
заключаются в следующем: переход Т7 заменен N-переходом Т7 с весами на
входе w1, w2, w3. (рис. 7.7). В RA-cети существует возможность гибкой
настройки необходимого числа анализируемых данных и событий, связанных
с безопасностью компонентов. Данная настройка выполняется путем
установки коэффициентов весов входящих дуг wi и порогового значения wгр
запуска N-перехода.
Рассмотрим процесс оценки времени анализа ситуаций и принятия
решений на основе механизма RA-cети. В случае, если интенсивность
потоков событий, связанных с безопасностью по всем рассматриваемым
компонентам МКС примерно одинакова, данная процесс соответствует
аналогичному на основе ССП. В том случае, если по одной из цепочек RAcети, т.е. по одному из компонентов МКС интенсивность поступления
событий существенно превышает интенсивность поступления событий по
другим цепочкам, возникает ситуация, когда данные (метки) накапливаются
в вершине Р7. Важным условием эффективного обеспечения защищенности
МКС
является
оперативность
принятия
решений
по
управлению
параметрами компонента МКС, по которому собрана определенный объем
статистических данных, что, как отмечено выше, практически невозможно в
классических ССП, ввиду того, что в этих условиях переход Т7 в них закрыт в
соответствии с правилами срабатывания переходов, и, таким образом,
принятие решения будет задержано. В RA-сети эта проблема решается путем
применения N-перехода, который запускается поспециальному условию: при
Р0
Р1
T1
Р4
T4
Р7
Р2
T2
Р5
T5
Р8
T0
T7
Р10
T3
Р6
T6
Р9
T11
T14
Р12
T9
T10
Р13
Принятие решения
T15
T12
Р16
T13
Анализ ситуации
Р14
Р15
Р11
Р3
T8
Передача
сообщения
T16
Функционирование МКС
решения
Рис. 7.7. Структура RA-сети для оценки времени анализа ситуаций и принятия решений МУЗ МКС
262
263
достижении порового значения запуска перехода, вне зависимости от того, с
какого перехода поступили данные (метки). Так,
если число меток в
вершине Р7 равно или превысило пороговый уровень (например, 7), а число
меток в вершинах Р8 и Р9 остается нулевым, то все переходы Т7, Т8, Т9
запускаются. Однако при этом, в соответствии со структурой RA-сети из
переходов Т8, Т9 и Т10 запускается лишь первый, аналогично из переходов Т11,
Т12 и Т13 также запускается лишь первый. Это означает, что решение по
управлению параметрами принимается лишь для того компонента МКС, для
которого накоплен достаточный объем статистических данных. Аналогичная
ситуация имеет место и в том случае, когда интенсивность наколения данных
по 2-м цепочкам RA-сети существенно превышает интенсивность наколения
данных по 3-ей цепочке, а также остальным, в случае их наличия. Решения
по управлению параметрами принимаются для двух соответствующих
компонентов МКС.
Для проведения экспериментальных исследований времени анализа
ситуаций и принятия решений на основе механизма RA-cети разработана
модифицированная специализированная среда с введенным N-переходом
(рис. 7.8).
Рассмотрим результат моделирования процесса анализа ситуаций и
принятия решений на основе механизма RA-cети для случая, когда
классическая ССП оказалась в тупиковой ситуации. Начальная маркировка в
данном случае имеет вид: М0 = (0, 1, 1, 0, 3, 2, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0), т.е.
данные наиболее активно накапливаются по компоненту МКС, соответствующему вершине Р4 = 3, и наименее активно по компоненту Р7 = 0, при
этом процесс модификации параметров данного компонента еще не запущен
(Р4 = 0). При этом установлены следующие значения весов входящих дуг wi и
порогового значения wгр запуска N-перехода: w1 = 1, w2 = 1, w3 = 1, wгр = 3.
264
Рис. 7.8. Интерфейс модифицированной специализированной среды с
введенным N-переходом (RA-сеть)
Результат моделирования представлен в табл. 7.6.
Таблица 7.6
Результаты эксперимента, полученные с помощью RA-сети
N
Время,
Тип
Переход
с
Разметка
P0P1
. . .
P16
1 0.000000
Start
01103200000000000
2 0.000000
Plan
T1
01103200000000000
3 0.000000
Plan
T2
01103200000000000
4 0.000000
Plan
T4
01103200000000000
5 0.000000
Plan
T5
01103200000000000
6 0.173932
Execute
T5
01103100100000000
7 0.173932
Plan
T5
01103100100000000
8 0.309212
Execute
T5
01103000200000000
9 0.496887
Execute
T1
00104000200000000
10 1.119986
Execute
T4
00103001200000000
265
11 1.119986
Plan
T4
00103001200000000
12 1.119986
Plan
T7
00103001200000000
13 1.490558
Execute
T7
00103000001110000
14 1.490558
Plan
T8
00103000001110000
15 1.490558
Plan
T9
00103000001110000
16 1.490558
Plan
T10
00103000001110000
17 1.708114
Execute
T10
00103000001101000
18 1.804431
Execute
T2
00003100001101000
19 1.804431
Plan
T5
00003100001101000
20 2.806564
Execute
T9
00003100001002000
21 3.078381
Execute
T4
00002101001002000
22 3.078381
Plan
T4
00002101001002000
23 3.078381
Plan
T11
00002101001002000
24 3.332501
Execute
T8
00002101000003000
25 3.541649
Execute
T4
00001102000003000
26 3.541649
Plan
T4
00001102000003000
27 3.794295
Execute
T5
00001002100003000
28 3.794295
Plan
T12
00001002100003000
29 3.814362
Execute
T11
00001001100002100
30 3.814362
Plan
T11
00001001100002100
31 3.814362
Plan
T14
00001001100002100
32 4.059814
Execute
T14
01001001100002000
33 4.059814
Plan
T1
01001001100002000
34 4.390215
Execute
T1
00002001100002000
35 4.472881
Execute
T12
00002001000001010
36 4.472881
Plan
T15
00002001000001010
37 4.742748
Execute
T4
00001002000001010
38 4.742748
Plan
T4
00001002000001010
39 5.138297
Execute
T15
00101002000001000
266
40 5.138297
Plan
T2
00101002000001000
41 5.173938
Execute
T11
00101001000000100
42 5.173938
Plan
T14
00101001000000100
43 5.330279
Execute
T2
00001101000000100
44 5.330279
Plan
T5
00001101000000100
45 5.797822
Execute
T4
00000102000000100
46 5.947841
Execute
T14
01000102000000000
47 5.947841
Plan
T1
01000102000000000
48 6.457095
Execute
T5
01000002100000000
49 6.457095
Plan
T7
01000002100000000
50 6.885341
Execute
T1
00001002100000000
51 6.885341
Plan
T4
00001002100000000
52 8.154172
Execute
T7
00001000001110000
53 8.154172
Plan
T8
00001000001110000
54 8.154172
Plan
T9
00001000001110000
55 8.154172
Plan
T10
00001000001110000
56 8.186194
Execute
T4
00000001001110000
57 8.878479
Execute
T9
00000001001011000
58 8.878479
Plan
T11
00000001001011000
59 9.314155
Execute
T11
00000000001010100
60 9.314155
Plan
T14
00000000001010100
61 9.530679
Execute
T8
00000000000011100
62 9.808202
Execute
T10
00000000000002100
63 9.835800
Execute
T14
01000000000002000
64 9.835800
Plan
T1
01000000000002000
65 10.330219 Execute
T1
00001000000002000
66 10.330219 Plan
T4
00001000000002000
67 10.658001 Execute
T4
00000001000002000
68 10.658001 Plan
T11
00000001000002000
267
69 11.721945 Execute
T11
00000000000001100
70 11.721945 Plan
T14
00000000000001100
71 12.519133 Execute
T14
01000000000001000
72 12.519133 Plan
T1
01000000000001000
73 12.689512 Execute
T1
00001000000001000
74 12.689512 Plan
T4
00001000000001000
75 12.938778 Execute
T4
00000001000001000
76 12.938778 Plan
T11
00000001000001000
77 14.110513 Execute
T11
00000000000000100
78 14.110513 Plan
T14
00000000000000100
79 15.359066 Execute
T14
01000000000000000
80 15.359066 Plan
T1
01000000000000000
81 15.860248 Execute
T1
00001000000000000
82 15.860248 Plan
T4
00001000000000000
83 16.200422 Execute
T4
00000001000000000
84 16.200422 End
00000001000000000
Как видно из табл. 7.6 в этом случае данных для анализа ситуации и
принятия решений накоплено в достаточном количестве для компонентов
МКС, соответствующих вершинам Р7 и Р8 (сервер приложений и сервер
аутентификации), при этом вершина Р9 (сервер баз данных) остатется нулевой, т.е. данные по этому компоненту отсутствуют. В классической ССП в
таком случае переход T7 не мог быть запущен и, таким образом, решение по
изменению параметров для всех 3-х компонентов МКС не принималось и,
фактически, моделирование функционирования модуля управления заданиями завершалось.
Результаты моделирования с использованием предложенного аппарата
RA-сетей показывают (табл. 7.6), что в этом случае для анализа ситуации и
принятия решений достаточно наличия статистических данных лишь по 2-м
компонентам МКС, что для обусловлено функциональными характеристи-
268
ками запуска N-перехода. Таблица 7.6 показывает, что в RA-сети переход T7
запускался несколько раз, следовательно, приняты решения по модификации
параметров компонентов МКС, по которым накоплены данные и эти решения
через переходы T14 и T15 переданы на соответствующие компоненты МКС.
Переход T16 не запущен ни разу, так как по соответствующему компоненту
МКС необходимые статистические данные еще не накоплены, и решение по
изменению параметров этого компонента не принимается. В результате, после прохождения первого цикла моделирования процесс накопления статистических данных по всем компонентам МКС продолжается и моделирование
функционирования модуля
управления заданиями продолжается, что
отражается множественными запусками переходов T14 и T15. В соответствии
с результатами моделирования (табл. 7.6) время одного цикла анализа
ситуации и принятия решения в этом случае составило 5.138 с.
Таким образом, предложенный механизм RA-сетей позволяет корректно
выполнить моделирование потоков данных (событий) с различной, в т.ч. существенно различной интенсивностью, что оказывается особенно важным в
процессе анализа ситуаций и принятии решений по динамическому управлению параметрами компонентов МКС в задачах минимизации рисков нарушения их защищенности.
Предложенный механизм моделирования на основе стохастических RAсетей поддерживает выявление критичных компонентов МКС, в результате
функционирования которых может произойти превышение допустимого времени анализа ситуаций и принятия решений, что является весьма важным в
задачах минимизации рисков нарушения защищенности МКС.
7.4. Оценка параметров функционирования модуля управления заданиями с использованием аппарата RA-сетей
7.4.1. Оценка временных параметров процесса анализа ситуации и
принятия решения в модуле управления заданиями МКС
Для проведения оценки временных параметров процесса анализа
ситуации и принятия решения в модуле управления заданиями МКС введем
269
параметр TFti - время срабатывания перехода Ti вследствие выполнения
события Ai. Параметр TFti определяется значениями длины сообщения
(msizei) и скорости его передачи (speedi). Тогда переход Ti характеризуется
следующими минимальным/ максимальным временами срабатывания:
где TFtimin и TFtimax -
TFtimin = msizeimin / speedimax
,
(7.20)
TFtimax = msizeimax / speedimin
,
(7.21)
минимальное/максимальное значения времени
срабатывания (TFti) перехода Ti, а speedi - скорость обработки данных в
модуле управления заданиями.
Так, переход T11 в соответствии с структурой RA-сети (рис. 7.7) при
длине сообщения m11 msize11min = 20 байт, msize11max = 200 байт и граничных
значениях скорости обработки сообщения speed11min = 100 байт/с, speed11max =
200
байт/с
характеризуется
следующим
минимальным/максимальным
временем срабатывания (в секундах):
TFt11min = msize11min / speed11max = 0.1
,
(7.22)
TFt11max = msize11max / speed11min = 2.0
.
(7.23)
Рассмотрим особенности оценки времени анализа ситуации и принятия
решения в модуле управления заданиями МКС. Процесс принятия решения
на основе RA-сети считается завершенным в том случае, если все меткизадания, стартовав из вершины P0 прошли через группу переходов T11, T12, T13
(рис. 7.7), соответствующий интервал времени обозначим как TM [T0 ÷ T13].
Нижняя граница параметра TM [T0 ÷T13] определяется с помощью методов
векторного анализа. В том случае, если все переходы T0 ÷T13 имеют
эквивалентную вероятность срабатывания, то:
TMmin [T0 ÷T13] = δ * D- * TFtmin ,
(7.24)
где: δ – вектор запуска переходов, D- – матрица входов переходов RA-сети,
TFtmin
–
вектор,
описывающий
срабатывания переходов.
минимально
возможные
времена
270
Верхняя граница TMmax[T0 ÷ T13] вычисляется как сумма
времен
срабатывания всех временных переходов в самой длинной цепочке T'':
TM
[T0 T13 ]
max
TFt
T T ''
max
(T ) ,
(7.25)
где TFtmax – вектор, описывающий максимально возможные времена
срабатывания переходов.
В общем случае, параметр TMmin [T0 ÷ T13] представляет собой интервал
между срабатываниями переходов [T0 ÷ T13] тогда, когда реализуется
штатный сценарий анализа ситуации и принятия решений. Однако, в случае
повышенной активности агентов вторжений данная оценка может оказаться
некорректной, поскольку в этой ситуации возникают дополнительные
задержки в срабатывании переходов. Следует отметить, что оценка нижней
границы TMmin[T] зависит от начальной разметки M0.
Верхняя
граница
TMmax[T]
оценивается
как
интервал
между
срабатываниями переходов [T0 ÷ T13] в любом случае, даже если реализуется
нештатный сценарий анализа ситуаций и принятия решений, и не зависит от
начальной разметки.
Таким образом, в соответствии с законом Литтла для потока заданий,
нижняя Tasmin(N) и верхняя границы Tasmax (N) времени анализа ситуаций и
принятия решений в модуле управления заданиями МКС рассчитываются
как:
Tasmin (N) = N * TMmin[T]
Tasmax (N) = N * TMmax[T]
,
(7.26)
,
(7.27)
где N - число меток (событий) в цепочке вершин RA-сети.
Расчеты показали, что для заданной структуры RA-сети (рис. 7.7) в
проце-ссе анализа ситуаций и принятия решения в МУЗ значения параметров
явля-ются следующими: Tasmin (N) = 2.755 с, Tasmax (N) = 22.256 с.
В результате проведенных экспериментальных исследований с использованием специализированной среды для моделирования процессов анализа
ситуаций и принятия решений в модуле управления заданиями МКС на
271
основе аппарата RA-сети (табл. 7.6) получено значение времени одного
цикла анализа ситуации и принятия решения, которое составило 5.138 с и
находится в рассчитанном выше диапазоне значений (2.755... 22.256 с).
7.4.2. Вероятностная оценка риска нарушения защищенности МКС
Как показано выше, риск нарушения защищенности МКС функционально
зависит от времени анализа ситуаций и принятия решений в модуле
управления заданиями МКС, и, следовательно, величина риска нарушения
защищенности может быть оценена по нижней и верхней границе времени
анализа
ситуаций
и
принятия
решений,
полученных
в
результате
моделирования процессов в МУЗ МКС.
Пусть tcurr – текущее значение времени анализа ситуаций и принятия
решений
в
модуле
управления
заданиями.
Тогда
риск
нарушения
защищенности МКС R(tcurr) оценивается как:
0,
если tcurr < Tasmin
tcurr Tas min
min
R(tcurr )
≤ tcurr ≤ Tasmax
max
min , если Tas
Tas Tas
1,
иначе
(7.28)
.
В том случае, если значение параметра tcurr не превышает нижнюю
допустимую границу времени анализа и принятия решения Tasmin, то риск
нарушения защищенности МКС оценивается как нулевой. С другой стороны,
если параметр tcurr больше, чем верхняя допустимая граница времени анализа
и принятия решения Tasmах, то риск нарушения защищенности МКС
оценивается как максимальный (например, устанавливается в 1).
Далее, если текущее значение параметра tcurr находится в интервале
tcurr є [Tasmin, Tasmax], то риск нарушения защищенности МКС оценивается как
отношение между интервалом от верхней границы времени анализа и принятия решения до текущего значения tcurr (этот интервал определяет т.н. диапазон отказа) и интервалом между временными границами оценок Tasmin и
Tasmax.
272
Следовательно, текущий риск нарушения защищенности R(tcurr) при
значениях параметров tcurr = 5.138 с, Tasmin = 2.755 с, Tasmax = 22.256 с. в
соответствии с соотношением (7.28) равен 0.122.
Соотношение (7.28) может использоваться для оценки риска нарушения
защищенности даже при отсутствии информации о характере закона
распределения времени анализа ситуации и принятия решения на интервале
[Tasmin, Tasmax] в модуле управления заданиями МКС. В общем случае
предполагается, что
время
анализа ситуаций
и
принятия решений
равномерно распределено между нижней и верхней границами. В отличие от
детерминированных методов анализа, требующих установления точного
характера распределения времени анализа и принятия решения по каждой
ситуации [242], предлагаемый подход может быть использован, в том числе,
на начальных стадиях функционирования компонентов МКС и средств их
защиты, которые часто характеризуются неопределенностью в связи с
отсутствием статистических данных о
параметрах функционирования
системы.
Выводы к Разделу 7
7.1. Представлена формальная процедура построения структуры модели
на основе аппарата сетей Петри
для моделирования процессов анализа
ситуаций и принятия решений в модуле управления заданиями МКС в
задачах анализа рисков нарушения защищенности.
разработанной
специализированной
среды
С использованием
моделирования
на
основе
аппарата сетей Петри проведено моделирование процессов анализа ситуаций
и принятия решений в модуле управления заданиями распределенных
мультикомпьютерных
систем для
анализа рисков нарушения защи-
щенности. Полученные результаты экспериментальных исследований показали, что моделирование функционирования компонентов МКС в задачах
анализа рисков нарушения защищенности на основе подхода с использованием классического аппарата сетей Петри имеет определенные недостатки и ограничения. В частности, в том случае, если
потоки данных для
273
анализа ситуаций и принятия решений по минимизации рисков нарушения
защищенности между компонентами МКС распределены неравномерно, то
сеть Петри оказывается в тупиковой ситуации и, фактически, не может
корректно отразить происходящие процессы в данном случае.
7.2. Разработана теория аппарата стохастических RA-сетей, в которых
введен
специальный
N-перехода,
правило
срабатывания
которого
соответствует правилу функционирования искусственного нейрона, в задачах
моделирования
и
анализа
рисков
нарушения
защищенности
в
распределенных мультикомпьютерных системах. Представлены основные
структурные элементы RA-сетей в задачах моделирования реальных
объектов, а также детально исследованы свойства RA-сетей и особенности
моделирования реальных объектов на основе RA-сетей.
Предложен
математический аппарат для оценок параметров систем, моделируемых с
использованием аппарата RA-сетей.
7.3. Проведено моделирование и экспериментальный анализ параметров
процесса анализа ситуаций и принятия решений в модуле управления
заданиями МКС в задачах
оценки рисков нарушения защищенности его
функционирования с использованием предложенного аппарата стохастических RA-сетей и специальной модифицированной среды для проведения
экспериментальных исследований. Показано, что предложенный механизм
RA-сетей позволяет корректно выполнить моделирование потоков данных
(событий) с различной, в т.ч. существенно различной интенсивностью, что
оказывается особенно важным в процессе анализа ситуаций и принятии
решений по динамическому управлению параметрами компонентов МКС в
задачах минимизации рисков нарушения их защищенности. Также показано,
что предложенный механизм моделирования на основе стохастических RAсетей поддерживает выявление критичных компонентов МКС, в результате
функционирования которых может произойти превышение допустимого
времени анализа ситуаций и принятия решений, что является весьма важным
при анализе ситуаций и принятии решений.
274
7.4. Предложена оценка временных параметров процесса анализа
ситуации и принятия решения в модуле управления заданиями МКС при
моделировании с использованием аппарата
RA-сетей. Показано, что
параметры, полученные в результате моделирования процессов в модуле
управления заданиями МКС, позволяют сформировать корректные и
эффективные оценки риска нарушения зашищенности МКС.
275
РАЗДЕЛ 8.
ЭКСПЕРИМЕНТАЛЬНЫЕ
ИССЛЕДОВАНИЯ
ПОКАЗАТЕ-
ЛЕЙ, ХАРАКТЕРИЗУЮЩИХ РАСПРЕДЕЛЕННЫЕ МУЛЬТИКОМПЬЮТЕРНЫЕ СИСТЕМЫ
8.1. Структура распределенной компьютерной системы для проведения
экспериментальных исследований
Рассмотрим корпоративную компьютерную сеть с выделенным защищенным сервером, к которому осуществляется доступ с рабочих станций,
находящихся в различных доменах локальных сетей, формирующих единую
корпоративную сеть. Данный сервер поддерживает функции сервера
безопасности.
На рис. 8.1 представлена структура данной сети. В данной структуре все
рабочие станции Домена 1 объединены в сеть N1, причем эта сеть разбита на
два суб-домена (подсети) N1.1 и N1.2, каждый из которых объединяет
рабочие станции одной из двух локальных сетей, в пределах которых
формируется Домен 1. Суб-домены N1.1 и N1.2 объединены между собой
каналом передачи данных C1, соединяющим шлюзы G1.1 и G1.2. Шлюз G1.1
подсоединен к внешнему каналу передачи данных С2, по которому
осуществляется доступ в сеть Internet. В дополнение, на шлюзах запущены
сервисы сетевых экранов, прокси-сервера, трансляции сетевых адресов и
маршрутизации.
Отдельно выделен суб-домен сервера безопасности, включающий
собственно сервер безопасности и его шлюз для связи с остальными субдоменами. Домены могут иметь сложную внутреннюю структуру, при этом
необходимо обеспечить защиту информации обрабатываемую в пределах
каждого Домена и сети в целом, а также передаваемую по каналам C1 и C2.
Подобная топология реализуется, в больших организациях, в частности, в
системе автоматизированного сбора и учета информации ПАО “Киевэнерго”,
в банковских сетях, в системах продажи билетов, в on-line системах.
276
Сеть Домена 1 (N1)
Сеть Домена 2
(N2)
Сеть суб-домена 1 (N1.1)
Канал 2
(С2)
Рабочая станция (узел) 1.1.1
(W 1.1.1)
Шлюз1.1
(G1.1)
...
Рабочая станция (узел) 1.1.X1
(W 1.1.X1)
Канал 1(С1)
Сеть суб-домена 2 (N1.2)
Рабочая станция 1.2.1
(W1.2.1)
Шлюз1.2
(G1.2)
Рабочая станция 1.2.X2
(W1.2.X2)
Cуб-домен сервера безопасности
Сервер
безопасности
Шлюз
сервера SG
Рис. 8.1. Структура корпоративной компьютерной сети для проведения
экспериментальных исследований
277
В МКС, в соответствии с рекомендациями OGSA, домены представляются в виде виртуальных организаций, в каждой из которых используются
определенные механизмы защиты. Сервер безопасности выполняет координацию их функционирования и содержит сведения о доступных ресурсах
МКС. Как правило, в большинстве современных МКС каждый узел перед
подключением к системе должен пройти обязательную внешнюю сертификацию, что позволит защитить передаваемую информацию, обеспечить
устойчивость к внешним атакам, предотвратить несанкционированные
утечки информации. По результатам сертификации каждый подключаемый
узел получает сертификат, подписанный сертификационным агентством,
который позволяет в дальнейшем идентифицировать себя в системе и
выполнять процедуру аутентификации. В общем случае, процесс сертификации является достаточно длительным – он может занять от нескольких
дней до недель и возможно даже месяцев.
Особенностью МКС, на базе которой выполняются экспериментальные
исследования параметров средств защиты является отсутствие централизованного агентства сертификации и классического механизма сертификации. Вместо этого используется механизм формирования уровня доверия к
узлам на основе рейтингового подхода.
Исходными условиями при проведении экспериментальных исследований
являются следующие: сформирован базовый домен (ядро), в пределах
которого все узлы имеют максимально возможный уровень доверия между
собой, и кроме того, со стороны сервера безопасности.
Далее, в процессе функционирования ядра МКС происходит его
масштабирование, и к нему подключаются новые узлы из других доменов и
суб-доменов. Изначально, вновь подключенные узлы имеют минимальный
уровень доверия к ним со стороны ядра и сервера безопасности. Далее, в
процессе функционирования сформированной структуры МКС реализуются
механизмы формирования уровня доверия на основе рейтингового подхода,
что приводит к изменению, в том числе, к увеличению уровня доверия к
278
подключенным узлам. Экспериментальные исследования проводятся с целью
анализа
уровня
защищенности,
обеспечиваемого
реализованными
средствами защиты в МКС.
8.2. Особенности проведения экспериментальных исследований уровня
защищенности МКС
Для выполнения комплексного анализа защищенности МКС, в которых
реализуются средства защиты с адаптивным управлением средствами
защиты на основе предложенного рейтингового метода формирования доверия к узлам предлагается проводить оценку следующих параметров: уровня
доверия к узлам в МКС и уровня риска нарушения защищенности МКС.
В процессе функционирования МКС часто возникает следующая
ситуация: с ростом числа подключенных узлов растет риск нарушения
защищенности
обрабатываемой
информации
вследствие
того,
что
существует вероятность такого события, когда вновь подключенный узел
выступает инициатором несанкционированных действий (агентом вторжений) по отношению как к передаваемой ему информации, так и в целом к
программно-аппаратному
обеспечению
МКС.
При
применении
традиционных средств защиты МКС устанавливается единый уровень
доверия ко всем узлам МКС, либо уровень доверия к узлам фиксируется на
длительных интервалах времени функционирования МКС. Фактически, в
обоих этих случаях уровень доверия к узлам является статическим. В
результате, в процессе функционирования МКС при подключении новых
узлов
риск
нарушения
ее
защищенности
повышается
и
уровень
защищенности, наоборот, снижается.
В МКС, в которых реализуются адаптивные средства защиты на основе
рейтинговой модели формирования доверия к узлам, ситуация оказывается
следующей. Подключаемые узлы изначально имеют минимальный уровень
доверия Tn0 и обрабатывают лишь открытую информацию. В случае
передачи конфиденциальной информации данным узлам риск нарушения
защищенности МКС
повышается. Далее, в процессе функционирования
279
узлов в составе МКС уровень доверия Tni(t)
к таким узлам может
повышаться, что позволит передавать им для обработки более критичную
(секретную) информацию. В результате, конфиденциальная информация
будет обрабатываться исключительно на доверенных узлах, причем число
таких узлов растет. Следовательно, риск нарушения защищенности МКС в
этом случае повышаться не будет (или будет увеличиваться
минимально),
кроме того, при определенных условиях риск нарушения защищенности
МКС может снижаться, например, в том случае, если все узлы, используемые
в МКС, являются высокодоверенными.
Введем интегральную оценку уровня защищенности МКС SL(t), которая
комплексно учитывает динамику изменения уровня доверия к узлам МКС и
риск нарушения ее защищенности.
В общем виде уровень защищенности МКС рассчитывается как:
SL(t ) SL 0 *
Tnс(t )
R(t ) 1
,
(8.1)
где SL(t) – уровень защищенности МКС, изменяющийся во времени, SL0 –
нормирующий коэффициент уровня защищенности, Tnс(t) – усредненный
уровень доверия по всем узлам МКС на интервале наблюдения (0,t), R(t) –
интегральный уровень риска нарушения защищенности МКС.
Выделим МКС 1-го типа с традиционными средствами защиты, в
которых для обработки информации используются все доступные узлы, и
МКС 2-го типа, использующими средства защиты на основе рейтинговой
модели формирования уровня доверия, в них для обработки информации
используются только доверенные узлы, число которых
в общем случае
меньше, чем общее число узлов МКС.
Тогда для МКС 1-го типа уровень защищенности оценивается как:
Tnс
SL(t ) SL 0 *
SL 0 *
R(t ) 1
Tnс
m
n
R0
2 ( (1 ( K з* j K a* i)*t ))
j 1 i 1
1 e
,
(8.2)
280
т.к в этом случае уровень доверия к узлам не зависит от интервала
наблюдения и является постоянным (Tnс = const).
В МКС 2-го типа значение уровня доверия динамически изменяется во
времени как по каждому из узлов, так и интегрально по всей системе.
Изменение уровня доверия к узлам оценивается в соответствии с
соотношениями (5.13) и (5.15).
Тогда для МКС с адаптивными средствами защиты уровень защищенности оценивается как:
SL(t ) SL 0 *
N
Tn0 * lim
N (t )1
i
m
*С (t )
.
(8.3)
n
R0
))
2 ( (1
( K з* j K a* i )*t
j 1 i 1
1 e
В рассматриваемом случае, оцениваемыми параметрами средств защиты
являются: число случаев нарушения безопасности со стороны узла МКС,
уровень рисков нарушения защищенности в МКС.
После получения экспериментальных значений параметров с использованием аналитических оценок рассчитываются: усредненный уровень
доверия к узлам МКС, уровень защищенности МКС.
Аналитическая оценка уровня защищенности МКС
Построим аналитический график зависимости уровня защищенности от
времени функционирования динамически масштабируемых МКС с учетом
изменения рисков нарушения их защищенности при подключении новых
узлов МКС при условии, что на протяжении всего рассматриваемого
промежутка времени число узлов в МКС постоянно растет, а также при
фиксированном уровне доверия к узлам МКС (Tnс = const) в соответствии с
(8.2) (рис. 8.2).
Высокий уровень защищенности МКС поддерживается только в том случае, если она состоит из единственного домена (сегмента) или не выходит за
его пределы, а узлы, входящие в домен Ni (1,.., Nd) являются высокодове-
281
SL
1
0,8
0,6
0,4
0,2
0
1
3
5
Nd 7
9
11
13
15
17
19
21
23
25N
Рис. 8.2. Динамика уровня защищенности МКС в зависимости от числа
подключенных узлов
ренными между собой и для администратора (сервера) безопасности МКС.
Масштабирование ресурсов МКС за пределы данного доверенного домена (Ni
(1,.., Nd)) приводит к увеличению уровня рисков нарушения защищенности
системы, и, как следствие, к снижению уровня защищенности.
8.3. Экспериментальные исследования уровня защищенности распределенных мультикомпьютерных систем
Для оценки уровня защищенности, обеспечиваемого предложенными
адаптивными средствами защиты МКС на основе рейтинговой модели
формирования уровня доверия между узлами и традиционными средствами
защиты МКС проведены экспериментальные исследования.
Экспериментальные
исследования
проведены
в
корпоративной
компьютерной сети. Данная сеть имеет доменную структуру (см. рис. 8.1), и
фактически, состоит из объединения локальных сегментов сети в единую
структуру.
В
каждом
из
локальных
сегментов
выделен
сервер,
поддерживающий функции администрирования и управления средствами
защиты соответствующего сегмента, а также отдельно выделен сервер
282
безопасности всей корпоративной сети. Все сегменты входят в единый домен
и объединены между собой с помощью технологии Ethernet 100 Мбит/с. Все
рабочие
станции-узлы
имеют
практически
аналогичные
аппаратные
характеристики (частота процессора 1-2 GHz, объем памяти 512-2048 Mb) и
работают под управлением ОС Windows XP и Windows 7. На каждом узле
установлены клиенты MS System Management Server (MS SMS), которые
собирают необходимую информацию о состоянии параметров узла.
В корпоративной сети установлено программное обеспечение анализа
защищенности
Microsoft
Baseline
Security
Analyzer,
настроенное
на
выявление уязвимостей и имитацию вторжений агентов (сканирование
портов, подбор паролей, удаленный доступ к ресурсам, нарушение
целостности данных и др.) на информационные ресурсы, в частности: Active
Directory Windows Server 2008, MS SQL Server 2008 и др.
При проведении исследований использовалась специализированная
программная
среда,
детально
представленная
выше.
Данная
среда
поддерживает мониторинг взаимодействия узлов в МКС и процесс
формирования уровня доверия между ними на основе предложенного
рейтингового метода установления доверия. При проведении экспериментов
узлы
МКС
разделялись
на
2
типа:
штатные
узлы
(легально
функционирующие) и узлы-агенты вторжений, которые нацелены на
реализацию несанкционированных действий
МКС.
по отношению к ресурсам
При этом принято, что узлы-агенты вторжений не могут быть
выявлены до включения их в структуру МКС.
Задачей экспериментальных исследований является анализ динамики
изменения уровня защищенности МКС в процессе ее функционирования при
подключении к ней новых узлов. Непосредственно измеряемой величиной с
помощью специализированной среды является число случаев нарушения
безопасности со стороны узла МКС, при этом уровень рисков нарушения
защищенности МКС оценивается с учетом числа случаев нарушения
безопасности по соотношению (5.13).
283
Среда позволяет моделировать процесс подключения новых узлов к МКС
и анализировать их действия по отношению к другим узлам МКС. Число
случаев нарушения безопасности со стороны узла МКС определяется как
количество
несанкционированных
действий, инициированных
узлами-
агентами вторжений. На основании полученных экспериментальных данных
и соотношений (5.13), (5.14) и (5.15) рассчитывается уровень доверия к узлу
МКС, а также усредненный уровень доверия к узлам в системе. Далее, на
основе соотношения (8.3) с учетом текущего уровня рисков нарушения
защищенности определяется интегральный уровень защищенности МКС.
Значения уровня защищенности нормированы в интервале от 0 (защита
отсутствует) до 1 (полная защищенность).
Для получения статистических данных проведены эксперименты на
протяжении 10 часов, при этом интенсивность вторжений определялась
настройками специализированной среды и механизма Microsoft Baseline
Security Analyzer на рассматриваемом временном интервале в корпоративной
сети.
Действия агента-нарушителя нарушителя формировались следующим
образом: после подключения нового узла МКС выполнялась имитация
вторжений (атак) с его стороны. Принято, что вновь подключаемые узлы
генерируют число атак в интервале от 1 до 5, причем конкретное число
является случайным.
Генерировались атаки двух типов:
Непосредственные атаки на данные, передаваемые вновь подключенному
узлу: нарушение целостности, уничтожение, нарушение доступности
(фиксируются совершенные атаки);
Попытки атак на другие узлы МКС: вход с чужим именем/паролем,
превышение полномочий по доступу к данным (фиксируются попытки
реализации атак).
После выявления атаки уровень доверия к узлу снижается адекватно
числу атак и текущей ценности обрабатываемой информации. Далее
284
снижается уровень полномочий узла, ему передается информация лишь с
низкой ценностью, вплоть до отключения узла от МКС.
Эксперименты проводились для различного числа узлов в корпоративной
сети. В первом эксперименте использовался домен, состоящий из 20 рабочих
станций-узлов, во втором сегмент сети, включающий 100 узлов, и в третьем –
сегмент, включающий 1000 узлов.
Во
всех
экспериментах
заданы
следующие
начальные
условия:
начальный риск R0 = 0.4, интенсивность включения средств (механизмов)
предотвращения вторжений на уровне β = 0.4, интенсивность реализации
угроз αi = 0.4, эффективность средств защиты Кз = 0.8, степень опасности
угроз Ка = 0.75.
Начальный уровень защищенности SL0 = 1.
Начальный рейтинг узла (уровень доверия к узлу): Тn0 = 0.35;
Критичное число случаев нарушения безопасности Nlim = 3;
Показатель ценности информации в начальный момент времени: С(t0) =
0.5; выделено три уровня ценности информации: 0; 0.5; 1.0
Первый эксперимент: сегмент МКС из 20 узлов.
При проведении экспериментальных исследований в МКС изначально
выделено N1 = 5 доверенных узлов, формирующих базовый доверенный
домен. В процессе подключения новых узлов к базовому домену действия
агентов-нарушителей представлялись в виде линии атак, отражающей число
атак, инициированных вновь подключенным узлом (табл. 8.1):
Таблица 8.1.
Линия атак агентов-нарушителей
Номер
узла
Число
атак
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
4
1
5
3
4
3
3
4
4
4
4
4
5
5
4
285
В табл. 8.2 приведены результаты экспериментальных исследований
числа случаев нарушения безопасности в зависимости от количества
подключенных узлов МКС в первом эксперименте.
Таблица 8.2.
Результаты экспериментальных исследований параметров средств
защиты
Число узлов
Число случаев
Число случаев
Уровень
Уровень защищенности
в МКС, N
нарушения
нарушения
защищенности
МКС (предложенные
безопасности
безопасности,
МКС (традици-
адаптивные средства
(традиционные
(предложенные
онные средства
защиты), SL
средства защиты),
адаптивные
защиты), SL
Nс
средства
защиты), Nс
5
0
0
1
1
6
3
2
0.67
0.72
7
5
4
0.497
0.57
8
10
9
0.3587
0.402
9
13
12
0.3208
0.343
10
17
16
0.2857
0.291
11
20
18
0.271
0.2804
12
23
16
0.2557
0.291
13
27
13
0.2353
0.3127
14
31
12
0.2223
0.343
15
35
11
0.2087
0.3502
16
39
9
0.201
0.402
17
44
8
0.1867
0.421
18
49
7
0.1781
0.4467
19
54
6
0.1701
0.4603
20
58
5
0.1624
0.497
Результаты исследований показали, что применение предложенных адаптивных механизмов управления средствами защиты МКС для сегмента из 20
узлов позволяет повысить уровень защищенности МКС при динамическом
изменении количества узлов по сравнению с уровнем защищенности, предо-
286
ставляемым существующими средствами защиты в среднем на 35% (рис.
8.3).
SL
2
1
N
1- традиционные средства защиты МКС,
2 - предложенные средства защиты МКС на основе рейтингового метода
формирования доверия к узлам
Рис. 8.3. Динамика изменения уровня защищенности SL МКС в процессе
ее функционирования для традиционных средств защиты и средств защиты
на основе рейтингового метода формирования доверия между узлами
Второй эксперимент: сегмент МКС из 100 узлов.
При проведении экспериментальных исследований в МКС изначально
выделено N1 = 20 доверенных узлов, формирующих базовый доверенный домен. В процессе подключения новых узлов к базовому домену действия агентов-нарушителей представлялись в виде линии атак, отражающей число атак,
инициированных
вновь
подключенным
представлен ниже (табл. 8.3):
узлом,
фрагмент
которой
287
Таблица 8.3
Линия атак агентов-нарушителей
Номер
узла
Число
атак
21 22 23 24 25
26
27
28
29
30
31
32
33
34
35
3
4
3
3
4
3
5
4
4
5
4
2
5
4
3
…………………………………………………………….
Номер
узла
Число
атак
86 87 88 89 90
91
92
93
94
95
96
97
98
99 100
2
3
4
4
3
4
5
4
3
5
3
3
3
4
5
В табл. 8.4. приведены результаты экспериментальных исследований
числа случаев нарушения безопасности в зависимости от количества подключенных узлов МКС во втором эксперименте.
Таблица 8.4.
Результаты экспериментальных исследований параметров средств
защиты
Число узлов
в МКС, N
Число случаев
нарушения
безопасности
(традиционные
средства защиты),
Nс
Число случаев
нарушения
безопасности,
(предложенные
адаптивные
средства
защиты), Nс
Уровень
защищенности
МКС (традиционные средства
защиты), SL
20
0
0
1
Уровень
защищенност
и МКС
(предложенн
ые
адаптивные
средства
защиты), SL
1
21
3
2
0.67
0.72
22
5
4
0.497
0.57
23
10
8
0.3587
0.421
24
14
9
0.3077
0.402
25
17
12
0.2857
0.343
26
21
13
0.2667
0.3127
27
24
14
0.251
0.3077
28
27
17
0.2353
0.2857
29
31
21
0.2223
0.2667
288
30
34
24
0.2105
0.251
31
39
25
0.201
0.2417
32
43
30
0.1905
0.2286
33
47
32
0.1818
0.2181
34
52
34
0.1739
0.2105
35
56
34
0.1667
0.2105
….
….
….
….
….
86
226
38
0.0924
0.2062
87
229
37
0.0918
0.2073
88
232
37
0.0913
0.2073
89
235
36
0.0907
0.2081
90
239
35
0.0901
0.2092
91
242
34
0.0896
0.2105
92
246
33
0.0890
0.2144
93
250
32
0.0885
0.2181
94
253
31
0.0881
0.2667
95
257
29
0.0874
0.2602
96
262
29
0.0869
0.2602
97
266
28
0.0864
0.2259
98
269
26
0.0859
0.2315
99
274
27
0.0854
0.2353
100
279
25
0.0849
0.2417
В данном случае применение предложенного адаптивного механизма
управления средствами защиты повышает уровень защищенности МКС в
среднем на 65%, что подтверждает эффективность предложенных средств
защиты (рис. 8.4).
Третий эксперимент: сегмент МКС из 1000 узлов.
При проведении экспериментальных исследований в МКС изначально
выделено N1 = 100 доверенных узлов, формирующих базовый доверенный
домен. В процессе подключения новых узлов к базовому домену действия
агентов-нарушителей представлялись в виде линии атак, отражающей число
289
SL
1
0,8
0,6
0,4
2
0,2
1
0
1
6
11 16 21 26 31 36 41 46 51 56 61 66 71 76 81 86 91 96 101
N
1- традиционные средства защиты МКС,
2 - предложенные средства защиты МКС на основе рейтингового
метода формирования доверия к узлам
Рис. 8.4. Динамика изменения уровня защищенности SL МКС в процессе
ее функционирования для традиционных средств защиты и средств защиты
на основе рейтингового метода формирования доверия между узлами
атак, инициированных вновь подключенным узлом, фрагмент которой
представлен ниже (табл. 8.5):
Таблица 8.5
Линия атак агентов-нарушителей
Номер
узла
101 102 103 104 105 106 107 108 109 110 111 112 113 114 115
Число
атак
4
3
2
4
2
4
3
4
5
4
3
3
4
3
5
…………………………………………………………….
Номер
узла
986 987 988 989 990 991 992 993 994 995 996 997 998 999 1000
Число
атак
3
3
4
5
4
3
3
4
5
4
3
5
3
3
4
290
В табл. 8.6 приведены результаты экспериментальных исследований
числа случаев нарушения безопасности в зависимости от количества
подключенных узлов МКС в третьем эксперименте.
Таблица 8.6.
Результаты экспериментальных исследований параметров средств
защиты
Число узлов
Число случаев
Число случаев
Уровень
Уровень
в МКС, N
нарушения
нарушения
защищенности
защищенности МКС
безопасности
безопасности,
МКС (традици-
(предложенные
(традиционные
(предложенные
онные средства
адаптивные средства
средства защиты),
адаптивные
защиты), SL
защиты), SL
Nс
средства
защиты), Nс
100
0
0
1
1
101
4
3
0.57
0.67
102
7
6
0.4667
0.5203
103
9
7
0.402
0.4667
104
13
11
0.3127
0.3302
105
15
13
0.2991
0.3127
106
19
17
0.2754
0.2857
107
22
20
0.2613
0.271
108
26
22
0.2381
0.2613
109
31
26
0.2223
0.2381
110
35
30
0.209
0.2286
111
38
32
0.2042
0.2181
112
41
36
0.1967
0.2079
113
45
40
0.1887
0.1989
114
48
42
0.1802
0.1945
115
53
46
0.1727
0.1856
….
….
….
….
….
986
2856
275
0.01887
0.0851
987
2859
272
0.01884
0.0854
988
2862
269
0.01882
0.0859
989
2867
267
0.01879
0.0862
990
2871
264
0.01878
0.0868
991
2874
261
0.01877
0.0872
291
992
2877
259
0.01876
0.0874
993
2881
257
0.01875
0.0878
994
2886
254
0.01874
0.0879
995
2890
251
0.01873
0.0883
996
2893
249
0.01872
0.0885
997
2898
247
0.01871
0.0887
998
2901
245
0.01870
0.0891
999
2904
242
0.01869
0.0896
1000
2908
240
0.01868
0.0902
В данном случае применение предложенного адаптивного механизма
управления средствами защиты повышает уровень защищенности МКС в
среднем на 120%, что подтверждает эффективность предложенных средств
защиты (рис. 8.5).
SL
1
0,8
0,6
0,4
0,2
2
1
0
1
51 101 151 201 251 301 351 401 451 501 551 601 651 701 751 801 851 901 951
N
1- традиционные средства защиты МКС,
2 - предложенные средства защиты МКС на основе рейтингового
метода формирования доверия к узлам
Рис. 8.5. Динамика изменения уровня защищенности SL МКС в процессе
ее функционирования для традиционных средств защиты и средств защиты
на основе рейтингового метода формирования доверия между узлами
292
Проведенные
эффективность
экспериментальные
предложенного
исследования
адаптивного
подтвердили
механизма
управления
средствами защиты. Следует отметить, что с ростом числа узлов в сегменте
МКС показатель уровня защищенности МКС снижается, что характерно как
для предложенных, так и для традиционных средств защиты, однако
предложенные средства постоянно поддерживают более высокий уровень
защиты МКС по сравнению с традиционными для МКС любой размерности.
8.4. Модель прогнозирования показателя уровня защищенности МКС на
основе экспериментальных данных
Рассмотрим практическое формирование модели оценки уровня защищенности МКС. Представим в табл. 8.7 следующие исходные параметры,
влияющие на уровень защищенности МКС.
Таблица 8.7
Исходные параметры, влияющие на уровень защищенности МКС в контексте
модели
x1
x2
x6
x7
Mi
10
10
7
2
0.2857
20
30
14
3
0.1624
25
35
17
4
0.1257
35
40
25
9
0.0912
Фактически, требуется найти решение системы уравнений:
10rc21 + 10rc22 + 7rc26 + 2rc27 = 0.2857
20rc21 + 30rc22 + 14rc26 + 3rc27 = 0.1624
25rc21 + 35rc22 + 17rc26 + 4rc27 = 0.1257
35rc21 + 40rc22 + 25rc26 + 9rc27 = 0.0912
(8.4)
.
Данная система уравнений имеет единственное решение в виде
регрессионных коэффициентов для линейной функции:
rc21 = – 0.076; rc22 = – 0.076; rc26 = 0.359; rc27 = – 0.353 .
Тогда выражение для оценки уровня защищенности МКС в данном
случае имеет вид:
293
регрес
M безоп
0.076 x1 0.076 x3 0.359 x6 0.353x7 .
Далее,
выражение
для
оценки
уровня
защищенности
(8.5)
МКС
с
использованием функции принадлежности МКС в данном случае имеет
следующий вид:
M безоп 1
1
1 e ( 0.076x1 0.076x2 0.359x6 0.353x7 )
. (8.6)
8.5. Экспериментальные исследования свойств фрактальности МКС
8.5.1. Исследование свойств фрактальности МКС с точки зрения показателя интенсивности передачи данных.
Проведем экспериментальные исследования свойства фрактальности
распределенных мультикомпьютерных систем с точки зрения показателя
интенсивности передачи данных. Для выполнения этих исследований
осуществляются следующие действия:
на основе проведения экспериментов выполняется сбор параметров
передачи пакетов данных в МКС, модель которой представлена сегментом
сети Интернет;
проводится статистический анализ полученных экспериментальных
данных.
Экспериментальные данные собираются с применением утилит PING и
PATHPING. На период времени 24 часа на узлах (локальных компьютерах)
запускаются 2 bat-файла:
I. ping –t –l 500 IP-address: ***.**.***.*** >> file1.txt
II. :start
pathping –n –q IP-address: ***.***.***.*** >> file2.txt
goto start
В первом случае сбор статистики выполняется путем отправки пакетов
данных размером 500 байт с узла, например, на компьютер с IP-адресом
95.100.248.74, который находится в Германии и который является узлом-
294
назначения маршрута. Утилита PING поддерживает измерение значения
времени прохождения пакетом данных в двух направлениях (Round Trip
Time, RTT) до узла-назначения и обратно.
Во втором случае утилита PATHPING обеспечивает измерение параметра
RTT не только до узла-назначения, но и до всех промежуточных
маршрутизаторов на пути следования пакета данных к узлу-назначения. В
результате, проводится измерение параметра RTT до разно удаленных узлов.
Параметр удаленности определяется числом транзитных участков или
переходов (hops).
Экспериментальные исследования параметра RTT при отправке пакетов
данных проведены для узлов-назначения в ряде стран Европы, Азии,
Северной и Южной Америки. Всего отправлялось порядка 1 миллиона pingпакетов.
В табл. 8.8 приведены статистические и данные, полученные с помощью
соответствующей модели, по средним временам прохождения пакетов
данных (RTT), полученные в ходе экспериментальных исследований при
длине пакета 500 байт, которые соответствуют данным из [273].
Таблица 8.8
Статистические и данные, полученные с использованием модели
по среднему значению параметра RTT при длине пакета 500 байт, мс
Кол-во
маршру-
1
2
3
5
10
20
30
40
тизаторов
Экспериментальные
15, 73 25,17 64,79 127,11 143,65 342,12 647,48
--
данные
Данные,
полученные
с помощью
модели
15, 73 31,71 49,13
85,31
180,34 381,24 590, 72 805,97
295
Заданы следующие исходные данные для модели в соответствии с
соотношением (2.12) Раздела 2: фрактальная размерность DN = 1.08; значение
времени задержки передачи данных при одном промежуточном маршрутизаторе Md (DT,d) = 15.73 мс, число промежуточных маршрутизаторов изменяется от 1 до 40.
На рис. 8.6 полученные экспериментальные данные и данные, полученные с помощью соответствующей модели представлены в виде графических
зависимостей. Как показывает рис. 8.6, данные, полученные с использованием фрактальной модели для оценки времени задержки передачи данных,
которое функционально связано с показателем интенсивности передачи
данных в МКС, оказываются достаточно близкими к экспериментальным
данным, при этом графическая форма зависимостей экспериментальных и
данных, полученные с помощью соответствующей модели имеет практически одинаковый характер, что в определенной степени подтверждает
корректность и адекватность предложенной в Разделе 2 фрактальной модели
прогнозирования интенсивности передачи данных в МКС.
T, мс
1
2
NR
1- экспериментальные данные; 2 - данные, полученные с использованием
модели
Рис. 8.6. Зависимость времени задержки пакета от количества
маршрутизаторов NR при длине пакета 500 байт
296
8.5.2. Исследование свойств фрактальности МКС с точки зрения
показателя уровня защищенности.
По экспериментальным данным (п. 8.4) проверим адекватность предложенной фрактальной модели для оценки уровня защищенности на основе
многофакторной функции принадлежности.
Заданы следующие исходные данные для модели в соответствии с
соотношением (2.12) Раздела 2: фрактальная размерность DN = 1.08; значение
показателя уровня защищенности при 5 узлах Md (DT,d) = 1.00, число узлов
изменяется 5 до 20.
Как показывает рис. 8.7, данные, полученные с использованием
фрактальной модели для оценки уровня защищенности МКС оказываются
достаточно близкими к экспериментальным данным, при этом графическая
форма зависимостей экспериментальных данных и данных, полученных с
использованием модели, имеет практически одинаковый характер, что в
определенной степени подтверждает корректность и адекватность предложенной в Разделе 2 фрактальной модели оценки и прогнозирования уровня
защищенности МКС.
SL
2
1
N
1 - экспериментальные данные; 2 - данные, полученные с использованием
модели
Рис. 8.7. Зависимость показателей уровня защищенности по
экспериментальным данным и данным на основе фрактальной модели
297
Выводы к Разделу 8
8.1.
Разработана
структура
программной
среды
для
поддержки
разработанных средств защиты обработки информации ресурсами МКС на
основании дифференцирования уровня доверия к узлам системы и
ранжирования информации по ее ценности. Показано, что применение
рейтингового механизма для установления доверия обеспечивает повышение
защищенности обработки данных в МКС.
8.2. Предложены критерии оценки проектируемых адаптивных средств
защиты
МКС.
Разработана
типовая
методика
анализа
параметров
защищенности компьютерных систем. Показано, что для систем защиты
МКС расширение ресурсов системы за пределы доверенного сегмента
приводит к увеличению количества рисков нарушения защищенности и, как
следствие, к уменьшению уровня защищенности.
8.3. Выполнены экспериментальные исследования уровня защищенности
ресурсов МКС. Полученные в результате проведения экспериментов данные
доказали, что применение рейтингового метода установления доверия к
ресурсам МКС позволяет повысить уровень защищенности системы при
динамическом наращивании количества узлов по сравнению с уровнем
защищенности, предоставляемым существующими средствами защиты.
Экспериментальные исследования подтвердили повышенную эффективность
использования
предложенных
средств
адаптивного
управления
безопасностью распределенных мультикомпьютерных систем на основе
рейтингового
подхода
и
с
учетом
динамики
рисков
нарушения
защищенности ресурсов МКС. Эксперименты показали, что применение
предложенного адаптивного механизма управления средствами защиты
повышает уровень защищенности МКС на 35% - 120% в зависимости от
числа узлов МКС, что подтверждает эффективность предложенных средств
защиты. Представлено практическое формирование модели оценки уровня
защищенности МКС на основе экспериментальных данных.
298
8.4. Проведены экспериментальные исследования свойства фрактальности распределенных мультикомпьютерных систем с точки зрения показателя интенсивности передачи данных и уровня защищенности. Данные,
полученные с использованием фрактальной модели для оценки интенсивности передачи данных и уровня защищенности в МКС оказались достаточно
близкими к экспериментальным данным, при этом форма зависимостей
экспериментальных и данных, полученных с использованием модели,
практически имеет одинаковый характер. Данный факт подтверждает
корректность и адекватность предложенных фрактальных моделей для
оценки интенсивности передачи данных и уровня защищенности МКС.
299
ЗАКЛЮЧЕНИЕ
Проведенные
теоретические
и
экспериментальные
исследования
позволили получить новое комплексное решение проблемы организации
распределенных мультикомпьютерных систем на основе многоканальных
сред
с
использованием:
комплексных
моделей
прогнозирования
и
оптимизации показателей, характеризующих МКС; интеграции методов и
способов реализации передачи данных в многоканальных средах для
повышения
интенсивности
передачи
данных;
анализа
комплексного
состояния узлов-компьютеров для выделения защищенных маршрутов с
учетом уровня доверия к узлам, а также использования риск-ориентированного подхода для повышения защищенности обрабатываемой информации.
1.
На
основе
анализа
особенностей
реализации
современных
распределенных мультикомпьютерных систем выделены основные проблемы
в данной области, в частности, задачи улучшения технических параметров
сетевых инфраструктур, таких как повышение интенсивности передачи
данных, надежности их функционирования и защищенности. Показано, что
при реализации распределенных МКС актуальной является проблема
поддержки качества обслуживания (QoS) субъектов для обеспечения
требуемого времени выполнения заданий. Требования QoS включают, в
частности:
защищенность
ресурсов;
защищенность
выполняющихся
заданий; надежность и постоянную доступность ресурсов.
Показано, для поддержки оперативной реакции на несанкционированные
действия в МКС необходимо обеспечить оперативное выполнение критичных заданий и их приоритетную обработку. Для решения данной проблемы
требуется разработка и применение специализированного аппарата моделирования процессов в модуле управления заданиями.
2. Рассмотрены варианты реализации методов коммутации для МКС с
одно- и многоканальными связями. Показано, что существующие
маршру-
тизаторы/коммутаторы поддерживают лишь один тип коммутации: коммутацию каналов или коммутацию пакетов, что не позволяет совместить раз-
300
личные типы коммутации в пределах одного канала связи. Кроме того, ни
один из данных маршрутизаторов/коммутаторов не поддерживает возможность управления размером буфера, что также снижает их адаптивность к
различным типами коммутации, поскольку, например, для одновременной
поддержки пакетной коммутации и червячного механизма коммутации
требуется возможность гибкого изменения размера буфера.
Показано, что эффективность применения МКС во многом определяется
ее способностью решить проблему эффективной обработки комплексного
трафика данных и обслуживания различных приложений и коммутационных
ресурсов с учетом требований к качеству обслуживания, что требует
использования эффективных алгоритмов, методов и средств передачи
данных.
При реализации протоколов передачи данных в МКС с
многоканальными связями также возникает проблема взаимных конфликтов
потоков данных, проблема сбоев и взаимных помех для других подканалов
передачи данных.
3. Рассмотрены и классифицированы методы обеспечения защиты МКС.
Показано, что существует необходимость в разработке и применении
специального механизма управления средствами защиты МКС, который
позволит динамически определять требуемый в данный момент времени
уровень защищенности, что обеспечит повышение защищенности МКС.
Рассмотрены
сравнительный
основные
модели
анализ
современных
безопасности
МКС.
программно-аппаратных
Выполнен
средств
обеспечения защиты МКС, определены их преимущества и недостатки.
Показано, что к недостаткам рассмотренных средств относится, в частности
то, что в ряде средств не поддерживаются механизмы управления политикой
безопасности, и практически ни в одном, кроме JGRid, не поддерживается
широко распространенный протокол Kerberos.
4. Рассмотрены основные принципы управления рисками нарушения
защищенности информационных систем. Выделены основные меры по
отношению
к
выявленным
рискам:
предотвращение,
минимизация,
301
разделение, сохранение. Показано,
нарушения
защищенности,
что решение по управлению рисками
принимается,
как
правило,
на
основе
оптимизационной оценки между уровнем риска и затратами на его
предотвращение. Также показано, что любые модификации в структуре
информационной системы потенциально приводят к появлению новых
уязвимостей, что повышает уровень рисков нарушения защищенности в
системе.
Выполнен сравнительный анализ основных современных методов
и
средств управления рисками нарушения защищенности распределенных
мультикомпьютерных
систем,
выделены
их
основные
особенности
реализации в контексте типа анализируемых рисков, типа оценки рисков,
поддержки моделей безопасности, использования баз знаний, наличия
сетевых решений, а также рассмотрены их преимущества и недостатки.
5. Предложена дескриптивная модель оценки интенсивности передачи
данных в мультикомпьютерных системах на основе фрактально-регрессионного механизма. Определены условия применения предложенной модели с
учетом особенностей организации распределенных МКС, для которых
данная модель позволяет адекватно оценить искомый показатель. Показано,
что предложенная модель позволяет учесть произвольное число исходных
переменных (факторов), а также определить влияние каждого фактора в
отдельности и их совокупного воздействие на оцениваемый базовый
показатель, в данном случае на интенсивность передачи данных в сети.
6.
Предложена дескриптивная модель и метод оценки показателей
надежности и уровня защищенности МКС на основе фрактального подхода.
Показано, что для описания нормированных показателей надежности и
защищенности целесообразно использовать специальную многофакторную
функцию принадлежности на основе сигмоидальной функции, которая
позволяет
качественно
или
количественно
установить
значение
соответствующего показателя на определенном интервале наблюдения.
После получения значения показателей надежности и уровня защищенности
302
для фрактоида, с использованием фрактального подхода проводится расчет
данных показателей для полной топологии МКС. Важным преимуществом
данной модели является то, что она позволяет адекватно оценить показатели,
характеризующие распределенную мультикомпьютерную систему.
7. Показано, что топология распределенной МКС состоит из фрактоидов:
узлов или локальные кластеров, что позволяет определить показатели,
характеризующие МКС на основе фрактального подхода. Предложено для
фрактоида рассчитывать базовые показатели мультикомпьютерной системы:
интенсивность
передачи
данных
в
каналах
связи,
надежность
функционирования, уровень защищенности, а далее эти показатели рассчитывать для полной топологии МКС, для чего оценивается фрактальная
размерность сети и осуществляется переход от показателей фрактоида к
показателям всей распределенной мультикомпьютерной системы.
8. Предложена интегральная модель получения оптимальных значений
показателей интенсивности передачи данных, надежности и уровня
защищенности МКС, которая позволяет выбрать наиболее эффективный
режим функционирования МКС. Показано, что данная модель позволяет
получить либо оптимальное решение, при котором целевая функция
принимает свое максимальное значение, либо оптимальное по Парето
решение как набор значений удовлетворяющих ограничениям задачи.
Полученные оптимальные или оптимальные по Парето значения
показателей фактически соответствуют определенному
фрактоиду МКС.
Показано, что с учетом свойств фрактальности МКС возможно получение
прогнозных
значений
показателей
интенсивности
передачи
данных,
надежности и защищенности при выбранных оптимальных значениях
показателей для полной топологии МКС.
9. Показано, что классические механизмы передачи данных и управления
трафиком на различных уровнях модели OSI/ISO (канальном, сетевом,
транспортном) оказываются неэффективными, поскольку их применение
вызывает проблему взаимного блокировки потоков данных в МКС на основе
303
многоканальных сред передачи данных, в результате чего значительно
снижается интенсивность передачи данных. Таким образом, возникает задача
адаптации и модификации классических механизмов передачи данных для
МКС на основе многоканальных сред которая решается, в частности, на
основе интеграции механизмов конвейеризации и параллелизма при передаче данных в единой среде.
Рассмотрены вопросы адаптации базовых методов коммутации для
мультикомпьютерных систем в многоканальных средах передачи данных.
Показано, что применение технологии многоканальных связей, в частности,
на основе волоконно-оптических линий связи с многожильным кабелем позволяет в несколько раз снизить время передачи эквивалентных объемов
данных. Исследования показали, что наиболее эффективным оказывается
червячный механизм коммутации, в частности, при реализации его для МКС
с топологическими многоканальными связями на основе многожильного
кабеля. Также проведенные исследования показали, что наиболее эффективным оказывается червячный механизм коммутации, при этом при передаче
данных размера 100 Кбайт метод пакетной передачи является более эффектиным, чем метод коммутации каналов, а при передаче данных большей длины
1 Мбайт – метод коммутации каналов является более эффективен, чем метод
пакетной передачи.
10. Выделены различные типы трафика в МКС и их главные особенности.
Показано, что для каждого типа трафика целесообразно применять
соответствующий метод коммутации. Предложен механизм формирования
канала передачи для поддержки разных типов передаваемых данных в МКС
на основе совмещения различных методов коммутации (каналов, пакетов,
червячного механизма) и использования технологии многоканальных связей
с выделением подканалов, поддерживающих различные методы коммутации
в зависимости от типа трафика данных, что позволяет повысить пропускную
способность канала передачи данных.
304
Разработана новая иерархическая архитектура многоканальной среды
передачи данных, которая интегрирует в себе многоканальную структуру на
основе непосредственно-связанных подсетей, многоканальную систему
мультиплексирования, поддерживает конвейеризацию и параллелизм на всех
уровнях,
что
создает
предпосылки
для
существенного
повышения
интенсивности передачи данных и позволяет предотвратить блокирование
каналов.
Предложена структурная организация канала передачи данных, которая
интегрирует в себе различные виды коммутации и отличается возможностью
гибкого варьирования организацией и размерами буферных областей
маршрутизаторов, что позволяет настраивать канал передачи данных на
такой вид коммутации, который является наиболее эффективным для типа
передаваемых данных.
11.
Предложен
алгоритм
адаптивной
маршрутизации,
который
предусматривает передачу данных по определенному каналу связи,
сформированному по принципу комплексного повышения эффективности
передачи данных. Критерий защищенности определен как вероятность
реализации угроз безопасности передачи данных по конкретному подканалу.
Введен дополнительный параметр: вес канала передачи данных или канала
связи с точки зрения его защищенности как величина, обратная вероятности
реализации угроз безопасности по данному каналу, при этом в каждом узле
(маршрутизаторе) поддерживается вектор весов каналов связи, который
периодически обновляется по данным узлов, после чего происходит
обновление таблиц маршрутизации. Разработан метод выделения маршрутов
передачи данных на основе формирования комплексного состояния узлов,
значение которого определяет возможность их включения в области
передачи
данных,
которые
отличаются
требуемыми
показателями
надежности, уровня доверия, степени связности и интенсивности передачи
данных.
305
12. Предложен механизм адаптивного управления средствами защиты
распределенных мультикомпьютерных систем на основе нечеткой логики на
основе профилей безопасности, а также алгоритм адаптивного управления
средствами защиты на основе нечеткой логики.
Выполнен анализ
параметров функционирования средств защиты информации, реализованных
на основе предложенного алгоритма. Показано, что применение аппарата
нечеткой логики обеспечивает повышение эффективности функционирования средств защиты информации с адаптивным механизмом управления
за счет формализации функциональных критериев уровня защищенности
распределенных мультикомпьютерных систем.
13. Предложен метод формирования уровня доверия к узлам на основе
динамического ранжирования информации по ее ценности и оперативного
учета числа случаев нарушения безопасности со стороны соответствующего
узла. Показано, что предложенный метод формирования рейтинга узлов
МКС позволяет адаптивно, в процессе функционирования системы, определить защищенную конфигурацию ресурсов (узлов) МКС для обработки
информации с учетом динамики изменения ее ценности, что позволяет
повысить эффективность систем защиты МКС. Реализация средств защиты
МКС на основе предложенного метода обеспечивает поддержку достаточно
высокого уровня защищенности системы при добавлении новых узлов.
14. Разработана теория оценки рисков нарушения защищенности
распределенных мультикомпьютерных систем на основе анализа критичных
ситуаций в процессе принятия
решений. Показано, что предложенные
оценки рисков нарушения защищенности позволяют получить прогнозные
значения критичного времени анализа ситуации и принятия решения в
зависимости от интенсивности событий, связанных с угрозами безопасности,
интенсивности включения комплекса средств защиты, а также позволяют
комплексно проанализировать динамику процессов развития вторжений,
процессов восстановления уровня защищенности и соответствующую
динамику изменения уровня рисков нарушения защищенности МКС.
306
15. Разработана теория стохастических RA-сетей, в которых введен
специальный N-перехода, правило срабатывания которого соответствует
правилу
функционирования
моделирования
и
анализа
искусственного
рисков
нейрона,
нарушения
в
задачах
защищенности
в
распределенных мультикомпьютерных системах. Представлены основные
структурные элементы RA-сетей в задачах моделирования реальных
объектов, а также детально исследованы свойства RA-сетей и особенности
моделирования реальных объектов на основе RA-сетей.
Предложен
математический аппарат для оценок параметров систем, моделируемых с
использованием аппарата RA-сетей.
16. Проведено моделирование и экспериментальный анализ параметров
процесса анализа ситуаций и принятия решений в модуле управления
заданиями МКС в задачах
оценки рисков нарушения защищенности его
функционирования с использованием предложенного аппарата стохастических RA-сетей и специальной модифицированной среды для проведения
экспериментальных исследований. Показано, что предложенный механизм
RA-сетей позволяет корректно выполнить моделирование потоков данных
(событий) с различной, в т.ч. существенно различной интенсивностью, что
оказывается особенно важным в процессе анализа ситуаций и принятии
решений по динамическому управлению параметрами компонентов МКС в
задачах минимизации рисков нарушения их защищенности. Также показано,
что предложенный механизм моделирования на основе стохастических RAсетей поддерживает выявление критичных компонентов МКС, в результате
функционирования которых может произойти превышение допустимого
времени анализа ситуаций, что является весьма важным при принятии
решений по управлению параметрами МКС.
17. Выполнены экспериментальные исследования уровня защищенности
ресурсов распределенных мультикомпьютерных систем. Полученные в
результате проведения экспериментов данные доказали, что применение
предложенного рейтингового метода установления доверия к ресурсам МКС
307
позволяет повысить уровень защищенности системы при динамическом
наращивании количества узлов по сравнению с уровнем защищенности,
предоставляемым существующими средствами защиты. Таким образом,
экспериментальные исследования подтвердили эффективность использования предложенных средств адаптивного управления средствами защиты
распределенных мультикомпьютерных систем на основе рейтингового
подхода к установлению доверия и ранжирования информации по ее
ценности. Представлено практическое формирование модели оценки уровня
защищенности МКС на основе экспериментальных данных.
18. Проведены экспериментальные исследования свойства фрактальности распределенных мультикомпьютерных систем с точки зрения показателя интенсивности передачи данных и уровня защищенности. Данные,
полученные с использованием фрактальной модели для оценки интенсивности передачи данных и уровня защищенности в МКС оказались достаточно
близкими к экспериментальным данным, при этом форма зависимостей
экспериментальных и данных, полученных с использованием модели,
практически имеет одинаковый характер. Данный факт подтверждает
корректность и адекватность предложенных фрактальных моделей для
оценки интенсивности передачи данных и уровня защищенности МКС.
308
СПИСОК ЛИТЕРАТУРЫ
1. Костюкевич Ю.В. Внедрение в инфраструктуру академсети BASNET НАН
Беларуси сервисов и услуг интеграции удаленных сетей на базе
мультипротокольных технологий./ Костюкевич Ю.В., Носиловский О.А //
[Электронный ресурс]. //www.gpntb.ru/win/inter-events/crimea2014/disk/
008.pdf
2. D. Galagan. National Research and Education Networks: Analysis of Management Issues./ D. Galagan, M. Loolijen. [Electronic resource]. // www.isoc.org/
inet99/proceedings/3h/3h_1.htm
3. Dyer J. The Case for National Research and Education Networks (NRENs).
/Dyer J. [Electronic resource]. //www.terena.org/publications/files/20090127case-for-nrens.pdf
4. TERENA COMPENDIUM of National Research and Education Networks in
Europe. [Electronic resource]. //www.terena.org/activities/compendium/2012/
pdf/TER-C12-final-web.pdf
5. Григянец Р. Б. Автоматизация информационного обеспечения научной и
инновационной деятельности на базе ресурсов научно-технической
информации./Григянец Р.Б., Венгеров В. Н., Мисякова Г. Т., Лаужель Г. О.
[Электронный ресурс]. //elib.bsu.by/bitstream/123456789/52160/1/1-5.pdf
6. Модернизация сетевой архитектуры академсети BASNET для внедрения и
развития сервисов и технологий нового поколения и обеспечения
высокоскоростного доступа к международным научно-инновационным и
образовательным сетям (академсеть BASNET). Технический проект.
[Электронный ресурс]. //www.gknt.org.by/opencms/export/sites/default/ru/
GSNTI-2011-2013/1-3-Pz-TP-2012.doc
7. MPLS Basics Introduction. [Electronic resource]. //www.h3c.com/portal/
download.do?id=107755
8.
MPLS
Concepts.
[Electronic
resource].
//
www.racf.bnl.gov/Facility/
TechnologyMeeting/Archive/06-30-04-CISCO/CISCO-MPLS-Concept.pdf
309
9. Multiprotocol Label Switching Architecture & LDP. [Electronic resource].
//www.cse.buffalo.edu/~qiao/cse620/MPLS-I.pdf
10.Multi-Protocol Label Switching (MPLS) Conformance and Performance Testing. [Electronic resource]. //www.ixiacom.com/pdfs/library/white_papers/
mpls.pdf
11. Understanding MPLS-TP and Its Benefits. [Electronic resource]. //
http://opti500.cian-erc.org/opti500/pdf/sm/mpls-tp%20cisco.pdf
12. RFC 3031 - Multiprotocol Label Switching Architecture. [Electronic resource].
// tools.ietf.org/html/rfc3031
13. MPLS Basics and Testing Needs. [Electronic resource]. // http://www.3edge.de/export/sites/default/.content/3Edge_Datasheets-pdf/MPLS-Basics-andTesting-Needs.pdf
14. Гроднев И.И. Волоконно-оптические линии связи. / Гроднев И.И.// М.:
Радио и связь. – 1990. - 224 c.
15. Листвин А.В. Оптические волокна для линий связи. / Листвин А.В.,
Листвин В.Н., Швырков Д.В. // М.: ЛЕСАРарт. - 2003. - 288 c.
16. Shafarenko A. Weakly-constrained codes for suppression of patterning effects
in digital communications / Shafarenko A., Skidin A., Turitsyn S. // IEEE
Transactions on Communications. – 2010. - Vol.58(10). - Р. 2845-2854.
17. Skidin A. The analysis of the error statistics in a 5x40 Gbit/s fibre link with
hybrid amplification / Skidin A., Redyuk A., Shtyrina O., Fedoruk M.,
Shafarenko A.// Optics Communications. – 2011. - Vol. 284(19). - P. 46954698.
18. Нu H. Gbit/s and 1.28 Tbit/s polarisation insensitive all optical wavelength
conversion / Нu H., Palushani E., Galili M., Mulvad H., Clausen A., Oxenlowe
L., Jeppesen P.// Optics Express. – 2010. - Vol. 18. - P. 9961-9966.
19. Al-Khateeb K. Impact of Fiber Optic Dispersion on the Performance of
OFDM-QAM System / Al-Khateeb K., Akhter F., Islam Md. R. // International
Conference on Computer and Communication Engineering (ICCCE), Kuala
Lumpur. – 2010. - 5 P.
310
20. Selmi M. Block-wise Digital Signal Processing for PolMux QAM/PSK Optical
Coherent Systems / Selmi M., Gosset C., Noelle M., Ciblat R, Jaouen Y. // IEEE
Journal of Lightwave Technology. - 2011.
21. Tian X. Ghost-pulse suppression in phase-modulated RZ formats using datapattern-assisted phase modulator / Tian X., Wang Y., Su Y. // The 18th Annual
Meeting of the IEEE Lasers and Electro-Optics Society. – 2005. - P. 61-62.
22. Коваленко В.Н. Разработка диспетчера заданий Грид, основанного на
опережающем планировании./ Коваленко В.Н., Коваленко Е.И., Шорин
О.Н. [Электронный ресурс].//www.keldysh.ru/papers/2005/prep133/
prep2005_133.html
23. Foster I. End-to-End Quality of Service for High-End Applications. Technical
Report./ Foster I., Roy A., Sander V., Winkler L. - 1999. [Electronic resource].
//www.globus.org/alliance/publications/papers/end_to_end.pdf
24. Foster I., C. Kesselman, S. Tuecke. The Anatomy of the Grid: Enabling
Scalable Virtual Organizations./ Foster I., Kesselman C., Tuecke S.// International J. Supercomputer Applications. – 2001. - N15(3). [Electronic resource].
//www.globus.org/alliance/publications/papers/anatomy.pdf
25. Листопад Н.И. Обеспечение качества обслуживания в сетях с коммутацией пакетов. / Листопад Н.И. // [Электронный ресурс].// www.mpt.gov.by/
File/2009_02/Listopad.pdf
26. Копачев А.Г. Методы управления трафиком в мультисервисных сетях/
Копачев А.Г. // Информатизация образования. - 2004. -№ 4. - С. 69-74.
27. Алексеев Е.Б. Оптические сети доступа. / Алексеев Е.Б. // Учебное пособие. - М: ИПК при МТУ СИ. - 2005. - 140 с.
28. ATM. [Электронный ресурс]. //ru.wikipedia.org/wiki/ATM
29. Bernet Y. RFC 2998 - Integrated Services Over Diffserv Networks / Y. Bernet //Rfc Editor
[Electronic resource]. - 2000. //www.rfc-editor.org/rfc/rfc2998.txt.
30. Олифер В.Г. Компьютерные сети. Принципы технологии протоколы (4-е
изд.)/ Олифер В.Г., Олифер Н.А.// СПб.: - Питер. – 2010. - 916 с.
311
31. S. Chan. Multiple access protocols for multichannel communication systems./
S. Chan. [Electronic resource]. //dspace.mit.edu/handle/1721.1/38439
32. Кирпичников А.П. Системы обслуживания с неоднородным входным
потоком требований, отказами и очередью./ Кирпичников А.П., Титовцев
A.C. // Вестник Казанского технологического университета. - 2011. - №5.
- С. 154-161.
33. Афанасьева Л.Г. Многоканальные системы обслуживания с регенерирующим входящим потоком./ Афанасьева, Л. Г., Ткаченко А. В. // Теория
вероятностей и ее применения. - 2013. - N 58 (2). - C. 210–234.
34. Ткаченко А. В. Одноканальная система с ненадежным прибором и различными временами обслуживания/ Ткаченко А. В.// Вестн. Моск. ун-та,
Сер. 1. Матем. Механ. – 2013. N 2, - C. 10–17.
35. Ткаченко А. В. Многоканальные системы обслуживания с возможностью
неприсоединения к очереди и регенерирующим входящим потоком. /
Ткаченко А. В. // Деп. в ВИНИТИ. - 03.07.2013, 195-В2013. - 19 c.
36. Afanasyeva L. G. Queueing Systems with Regenerative Input Flow and
Heterogeneous Servers./ Afanasyeva L. G., Tkachenko A. V. // XXX International Seminar on Stability Problems for Stochastic Models and VI International
Workshop “Applied Problems in Theory of Probabilities and Mathematical
Statistics Related to Modeling of Information Systems”, Book of Abstracts. 2012. – P. 9–10.
37. Трещановский П.А. Метод управления ресурсами мультисервисной сети
на основе стохастического подхода / Трещановский П.А. // Труды 66-ой
Всероссийской конференции, посвященной Дню радио. - М.: РНТОРЭС
имени А.С. Попова. - 2011. - C. 23-25.
38. Трещановский П.А. Методика расчета коэффициента использования
мультисервисных сетей / Трещановский П.А. // Инфокоммуникационные
технологии. - 2011. - Т. 9, № 3. - C. 47-52.
39. Трещановский П.А. Оптимизация прямого доступа к памяти в сетевых
процессорах / Трещановский П.А. // Микроэлектроника и информатика.
312
16-я
Всероссийская
межвузовская
научно-техническая
конференция
студентов и аспирантов: Тезисы докладов. - М.: МИЭТ. - 2009. - C. 254.
40. Трещановский П.А. Особенности управления трафиком в мультисервисных сетях / Трещановский П.А. // Микроэлектроника и информатика 2008.
15-я
Всероссийская
межвузовская
научно-техническая
конференция
студентов и аспирантов: Тезисы докладов. - М.: МИЭТ. - 2008. - С. 214.
41. Александровская Л.Н. Современные методы обеспечения безотказности
сложных технических систем. / Александровская Л.Н., Афанасьев А.П.,
Лисов А.А. // М.: Логос. - 2003. - 208 с.
42. Байхельт Ф. Надежность и техническое обслуживание. Математический
подход. / Байхельт Ф., Франкен П.// М.: Радио и связь. - 1988. - 385 с.
43.Теслер Г.С. Концепция создания вычислительных средств с высоким
уровнем отказоустойчивости / Теслер Г.С. // Математические машины и
системы. – 2002. - Вып. 2 . - С. 176-183.
44.Черкесов Г.Н. Надежность аппаратно-программных комплексов / Черкесов Г.Н. // СПб.: Питер. - 2005. - 479 с.
45.Половко A.M. Основы теории надежности/ Половко A.M., Гуров С.В. //
СПб.: БХВ Санкт-Петербург.- 2006. - 704 с.
46. Piedad F. High Availability: Design, Techniques and Processes / Piedad F.,
Hawkins M. //Prentice Hall. - 2000. - 288 p.
47. Bernett H. Internet Protocol/Public Switched Telephone Network Blended Call
Center Performance Analysis/ Bernett H., Fischer M., Masi D. // The Telecommunications Review. - 2001. - P. 51-60.
48. Gans N. Telephone Call Centers: Tutorial, Review, and Research Prospects/
Gans N., Koole G., Mandelbaum A. // Manufacturing & Service Operations
Management. - 2003. - P. 79-141.
49. Hammonds К. H. How Google Grows.and Grows.and Grows/ Hammonds К.
H. // Fast Company. - 2003. [Electronic resource]. //www.fastcompany.com/
magazine/69/google.html.
50. Pfister G. In Search of Clusters./ Pfister G. // Prentice Hall. - 1995. - 444 p.
313
51. Мухин В.Е. Риск-ориентированная информационная безопасность. /
Мухин В.Е. // Киев, “Политехника”. - 2011. – 292 c.
52. Wahl M. Lightweight directory access protocol (v3). /Wahl M., Howes T.,
Kille S. //Internet Engineering Task Force, RFC 2251/ - 1997. [Electronic
resource]. //ietf.org/ rfc/rfc2251.txt
53. Nagaratnam N. The Security Architecture for Open Grid Services. / Nagaratnam N., Janson P., Dayka J., Nadalin A., Siebenlist F., Welch V., Foster I.,
Tuecke
S.
//Publisher:
Global
Grid
Forum.
[Electronic
resource].
//www.scribd.com/doc/45082834/
54. Foster I. A security architecture for computational Grids. / Foster I., Kesselman C., Tsudik G., Tuecke S. // Proc. of 5th ACM Conference on Computer
and Communications Security, Assoc. Comput. Mach. Press, New York. 1998. - P. 83-91.
55. Newman B.C. Kerberos: An authentication service for computer networks./
Newman B.C., Ts'o T. // IEEE Communications Magazine. – 1994. - N 32(9).
- P. 33-88.
56. Hapner M. Java Message Service (version 1.1). / Hapner M., Burridge R.,
Sharma R., Fialli, J., Stout K.// Sun Microsystems. - 2002.
57. XML Signature Syntax and Processing. //OASIS. - 2002. [Electronic resource].
//www.w3.org/TR/xmidsig-core
58. Grandison T. A survey of trust in Internet applications./ Grandison T., Sloman
M. // IEEE Communications Surveys. – 2000. N3(4). – P. 4 – 7.
59. Imamura T. XML encryption syntax and processing. / Imamura T., Dillaway
B.,
Simon
E.
//W3C
Recommendation.
-2002.[Electronic
resource].//www.w3.org/TR/xmlenc-core
60. Романец Ю.В. Защита информации в компьютерных системах и сетях./
Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф.// Учебник. - М: Радио и
связь. - 1999. – 328 с.
61. Gasser M. An architecture for practical delegation in a distributed system. /
Gasser M., McDemott E. //
Proc. of
IEEE Symposium on Research in
314
Security and Privacy, IEEE Computer Society Press, Los Alamitos, CA. 1990. - P. 20-30.
62. Howell J. End-to-end authorization./ Howell J., Kotz D. // Proc. of 2000
Symposium on Operating Systems Design and Implementation. USENIX
Association. - 2000.
63. Neuman B.C. Proxy-based authorization and accounting for distributed
systems. / Neuman B.C. //Proc. of
13th International Conference on
Distributed Computing Systems.- 1993. - P. 283-291.
64. On Grid Security [Electronic resource].//www.gridforum.org/documents/
GFD.30.pdf
65. Cheswick W.R. Firewalls and Internet Security: Repelling the Wily Hacker./
Cheswick W.R., Bellovin S. M. // Addison-Wesley, Reading, MA.- 1994.
66. Salzer J. H. The protection of information in computer systems. / Salzer J. H. //
Proc. of the IEEE. – 1975. - N 63(9). - P. 1278-1303.
67. Foster I. Globus Toolkil Version 4: Software for Service-Oriented Systems/
Foster I. // Journal of Computer Science and Technology.- 2006. - N 21(4).
2006. – P. 513-520.
68. Щербаков А.Ю. Компьютерная безопасность: теория и практика. /
Щербаков А.Ю. //М: Молгачева. - 2001. – 352 с.
69. Pearlman L. A community authorization service for group collaboration. /
Pearlman L., Welch V., Foster I., Kesselman C., Tuecke S. //Proc. of IEEE
3rd International Workshop on Policies for Distributed Systems and Networks,
IEEE Computer Society Press, Los Alamitos, CA. - 2002.
70. Турский А. Защита информации при взаимодействии корпоративных
сетей в Internet/ Турский А., Панов С. // Конфидент. Защита информации.
– 1998. - № 5. - C. 38-43.
71. Петренко С.А. Защита корпоративных сетей Internet/Intranet от несанкционированного доступа / Петренко С.А. // Read.me. -2001. - № 3, 2001. C. 34-37.
315
72. Петренко С.А. Безопасный доступ корпоративных сетей к Internet /
Петренко С.А. // Мир связи. Connect. – 2000. - № 11/2. - C. 80-82.
73. Azzedin F. Integrating Trust into Grid Resource Management Systems /
Azzedin F., Maheswaran M. // Proc. of First IEEE International Workshop on
Security and Grid Computing. - 2002.
74. Kerschbaum F. A trust-based reputation service for virtual organization
formation / Kerschbaum F. [et al] // Proc. of the 4th Int. Conf. on Trust Management. Lecture Notes in Computer Science Springer. – 2006. - Vol. 39(86). P. 193-205.
75. Adams C. Understanding PKI. Concepts, Standards and Deployment Consideration. Second Edition. / Adams C., Lloyd S. //Addison-Wesley. - 2003.
76. Abdul-Rahman A. Supporting trust in virtual communities/ Abdul-Rahman A.,
Hailes S. // Proc. of the IEEE 33rd Hawaii Int. Conf. on System Sciences
(HICSS '00). – 2000. - Vol.6 - P. 607.
77. Arenas A. Reputation management in Grid-based virtual organizations. /
Arenas A., Aziz B., Silaghi G.C. // Proc. of Intern. Conf. on Security and
Cryptography (SECRYPT 2008), Porto, Portugal. - 2008. - P. 538-545.
78. Kamvar S. D. The eigentrust algo-rithm for reputation management in P2P
networks / Kamvar S. D., Schlosser M. T., Garcia-Molina H. //Proc. of the 12th
international conference on World Wide Web, New York. NY:ACM Press. 2003.
79. McKnight D.H. The Meaning of Trust. Technical Report MISRC Working
Paper Series 96-04. / McKnight D.H., Chervany N.L. // University of
Minnesota. Management Information Systems Research Center. - 1996.
80. Luke T.W.T. A Hierarchical Bayesian Trusl Model based on Repulalion and
Group Behaviour / Luke T.W.T., Jennings N.R., Rogers A., Luck M. // Proc. of
6th European Workshop on Multi-Agenl Systems, Bath., UK. - 2008.
81. Butler R. A National-Scale Authentication Infrastructure. / Butler R., Engert
D., Foster I., Kesselman C., Tuecke S., Volmer J., Welch V. //IEEE Computer.
– 2000. – N 33(12).
316
82. Foster I. A Security Architecture for Computational Grids./ Foster I., Kesselman C., Tsudik G., Tuecke S. // Proc. of ACM Conference on Computers and
Security. - 1998.
83. Guonqing T. Research on Security Resource Management Architecture for
Grid
Computing
System,
/Guonqing
T.//
[Electronic
resource].
//nguyendangbinh.org/Proceedings/ IPCV08/Papers/GCA4661.pdf
84. CCITT Recommendation. X.509: The Directory - Authentication Framework. 1988.
85. Kornievskaia O. Kerberized Credential Translation: A Solution to Web Access
Control. / Kornievskaia O., Honeyman P., Doster B., Coffman K. //Proc. of
10th Usenix Security Symposium. - 2001.
86. Pfleeger C.P. Security in Computing./ Pfleeger C.P. // Prentice-Hall, Englewood Cliffs (Second edition). New Jersey. - 1996.
87. Housley R. Internet X.509 Public Key Infrastructure Certificate and Certificate
Revocation List (CRL) Profile. Internet Engineering Task Force. / Housley R.,
Polk W., Ford W., Solo D. //RFC 3280. - 2002. [Electronic resource].
//ietf.org/rfc/rfc3280.txt.
88. Josang A. A Survey of Trust and Reputation Systems for Online Service
Provision / Josang A., Ismail R., Boyd C // Decision Support Systems. – 2007.
- N 43(2). - P. 618-644.
89. Широчин В.П. Средства и методы анализа пропускной способности
защищенных компьютерных сетей/ Широчин В.П., Мухин В.Е., Дарвиш
Л. // Электронное моделирование. – 2004. - N 5, Том 26. – C. 21-32.
90. Широчин В.П. Способы и средства повышения эффективности защищенных протоколов передачи данных. / Широчин В.П., Мухин В.Е., Замков
В.Б. // Захист інформації. – 2003. - N 4. – C. 8 – 18.
91. Мухин В.Е. Средства для анализа и повышения эффективности протоколов аутентификации в компьютерных сетях./ Мухин В.Е., Дарвиш Л.
//Вісник НТУУ “КПІ”. Серія “Інформатика, управління та обчислювальна
техніка”. – 2004. - N 42. – C. 71 - 83.
317
92. Мухин В.Е. Методы и средства эффективного управления передачей
данных в защищенных компьютерных сетях. / Мухин В.Е., Дарвиш Л. //
Системні дослідження та інформаційні технології. – 2005. - N 2. – C. 61
– 75.
93. Мухин В.Е. Повышение
эффективности
средств подтверждения
подлинности сообщений в компьютерных сетях. / Мухин В.Е., Пурнынь
В.С.//Вісник
НТУУ
“КПІ”.
Серія
“Інформатика,
управління
та
обчислювальна техніка”. – 2002. - N 37. – C. 66 - 75.
94. Мухин В.Е. Повышение скорости шифрования при реализации алгоритма
RSA для механизмов защиты информации. /Мухин В.Е., Волков Е.Г. //
Вісник НТУУ “КПІ”. Серія “Інформатика, управління та обчислювальна
техніка”. – 2002. - N 39. – C. 50 - 56.
95. Широчин В.П. Исследование
динамических
моделей организации
передач данных в компьютерных сетях. / Широчин В.П., Мухин В.Е. //
Сб. докладов международной конференции по мягким вычислениям и
измерениям SCM'2000. - Санкт-Петербург, Россия. - 27 - 30 июня 2000 г.
- C. 241- 244.
96. Широчин В.П. Анализ пропускной способности серверов безопасности
защищенных компьютерных сетей. / Широчин В.П., Мухин В.Е., Дарвиш
Л. //Сб. трудов Пятой международной научно-практической конференции
“Современные информационные и электронные технологии СИЭТ-2004”,
Одесса. - 17 –21 мая 2004. – C. 80.
97. Мухин В.Е. Мониторинг состояний информационных ресурсов для реализации адаптивного управления защищенностью компьютерных систем.
/ Мухин В.Е., Волокита А.Н., Павленко Е.Н. //Искусственный интеллект.
– 2006 . - N 3. – C. 773 - 782.
98. Мухин В.Е. Комплексная система мониторинга безопасности на основе
анализа целей действий субъектов компьютерных систем и сетей./ Мухин
В.Е., Волокита А.Н. // Управляющие системы и машины. – 2006. - N 5. –
C.85 – 92.
318
99. Мухин В.Е. Алгоритмы оценки вероятности вторжений для средств
мониторинга безопасности компьютерных систем. / Мухин В.Е.,
Волокита А.Н. // Системні дослідження та інформаційні технології. –
2007. - N 2. – C. 47 – 58.
100. Mukhin V.Ye. Network scanners as security monitoring means in the
computer
systems / Mukhin V.Ye., Shyrotchin V.P.
// Proceedings of
International Symposium on Signal, Circuits and Systems (SCS'2001). Iasi,
Romania. - July 10-11, 2001. - P. 249 – 252.
101. Широчин В.П. Механизмы и средства мониторинга безопасности
информационных систем./ Широчин В.П., Мухин В.Е., Крамар Д.И. //
Сб. тезисов докладов III международной научно-практической конференции "Проблемы внедрения информационных технологий в экономике и
бизнесе", Ирпень. - 16- 17 мая 2002. – C. 519 – 522.
102. Mukhin V.Ye. Network safety monitoring system with suspicious hosts early
localization/ Mukhin V.Ye., Volokita A.N. // Proceedings of International Conference “Modern Problems of Radio Engineering, Telecommunications and
Computer Science TCSET’2006”, Lvov – Slavsko. - 28 February - 4 March
2006. – P. 191 -194.
103. Мухин В.Е. Адаптивное управление безопасностью компьютерных
систем на основе мониторинга состояний информационных ресурсов. /
Мухин В.Е., Волокита А.Н., Павленко Е.Н. //Сб. трудов международной
научно-технической
конференции
“Искусственный
интеллект.
Интеллектуальные и многопроцессорные системы”, Кацивели, Украина.
- 25 –30 сентября 2006. – Том 1. - C. 252- 257.
104. Широчин В.П. Средства мониторинга безопасности компьютерных
систем с адаптивным механизмом на основе дифференцированной
реакции на информационные воздействия / Широчин В.П., Мухин В.Е.,
Волокита А.Н., Антоненко В.М. // Сб. тез доповідей VII міжнародної
науково-практичної конференції "Проблеми впровадження інформаційних технологій в економіці", Ірпінь. - 23 – 24 квітня 2009. – C. 308 - 311.
319
105. Мухин В.Е. Средства и методы адаптивного управления безопасностью
компьютерных сетей. / Мухин В.Е.//Вісник НТУУ “КПІ”. Серія “Інформатика, управління та обчислювальна техніка”. – 2001. - N 35. – C. 32 –
44.
106. Мухин В.Е. Модель и средства безопасности вычислительных GRIDсистем / Мухин В.Е. // Захист інформації. – 2007 . - N 35. – C. 51 - 56.
107. Mukhin V.Ye. The Security Mechanisms for Grid Computers./ Mukhin V.Ye.
// Proceedings of the 4-th IEEE Workshop on Intelligent Data Acquisition and
Advanced
Computing
Systems:
Technology
and
Applications
(IDAACS’2007), Dortmund, Germany. - 6-8 September 2007. – P. 584-589.
108. Мухин В.Е. Средства защиты данных, передаваемых маршрутизаторами
GRID-систем. / Мухин В.Е. //Сб. трудов IX международной научнотехнической конференции “Искусственный интеллект. Интеллектуальные
и многопроцессорные системы”, Кацивели, Украина. - 22–27 сентября
2008. – Том 1. - C. 237- 240.
109. IBM, Microsoft and VeriSign Web Services Security Language (WS-Security). - 2002. [Electronic resource]. // www-106ibm.com/developerworks/
library/ws-secure/.
110. Security in a Web Services World: A Proposed Architecture and Road-map.
[Electronic resource]. //www-106.ibm.com/developerworks/library/ws-secmap
111. Столингс В. Криптография и защита сетей./ Столингс В. // М: Издательский дом Вильямс. - 2001. – 672 с.
112. The Platform for Privacy Preferences 1.0 (Р3Р1.0) Specification, W3C Recommendation. - 16 April 2002. [Electronic resource]. http://www.w3.org/TR/
P3P.
113. Широчин В.П. Вопросы проектирования средств защиты информации
в компьютерных системах и сетях. / Широчин В.П., Мухин В.Е., Кулик
А.В. // Киев, "ВЕК+". - 2000. - 112 с.
114. Chakrabarti A. Grid Computing Security./ Chakrabarti A.// Springer. - 2007.
320
115. Adams C. Internet X.509 Public Key Infrastructure: Certificate Management
Protocols/ Adams C., Farrell S. // RFC 2510. - March 1999.
116. Foster I. A Security Architecture for Computational Grids. / Foster I., Kesselman C., Tsudik G., Tuecke S. // Proc. of 5th ACM Conference on Computer
and Communications Security Conference. - 1998.
117. Tuecke S. Internet X.509 Public Key Infrastructure Proxy Certificate Profile./
Tuecke S., Engert D., Foster I., Thompson M., Pearlman L., Kesselman C. //
IETF. - 2001.
118. Pearlman L. A Community Authorization Service for Group Collaboration./
Pearlman L., Welch V., Foster I., Kesselman C., Tuecke S. // Proc. of IEEE 3rd
International Workshop on Policies for Distributed Systems and Networks. 2002.
119. Alex B. Spring Security. Reference Documentation. 3.0.7. Release. / Alex B.,
Taylor L. // [Electronic resource]. //static.springsource.org/spring-security/site/
docs/3.0.x/reference/springsecurity.html
120. Simple Object Access Protocol (SOAP) 1.1. W3C. - 2000. [Electronic resource]. //www.w3.org/TR/2000/NOTE-SOAP-20000508/
121. Christensen E. Web Services Description Language (WSDL) v1.1. /
Christensen E., Curbera F., Meredith G., Weerawarana S. [Electronic resource]. // www.w3.org/ TR/wsdl.
122. Siebenlist F. Security for Virtual Organizations: Federating Trust and Policy
Domains/ Siebenlist F., Nagaratnam N., Welch V., Neumann C. // [Electronic
resource] // books.google.com.ua/books?isbn=1558609334
123 Welch V. Security for Grid Services./ Welch V., Siebenlist F., Foster I.,
Bresnahan J., Czajkowski K., Gawor J., Kesselman C., Meder S., Pearlman L.,
Tuecke S. // [Electronic resource]. //arxiv.org/ftp/cs/papers/0306/0306129.pdf
124. GridLab: A Grid Application Toolkit and Testbed. [Electronic resource].
//www.gridlab.org
321
125. Globus Toolkit Version 4 Grid Security Infrastructure: A Standards Perspective The Globus Security Team. - September 12, 2005. [Electronic resource].
//www.globus.org/toolkit/docs/4.0/security/GT4-GSI-Overview.pdf
126. Вишняков Я.Д. Общая теория рисков. / Вишняков Я.Д., Радаев Н.Н.
//М.: Издательский центр “Академия”. - 2008. – 368 c.
127. Акимов В.А. Основы анализа и управления риском в природной и техногенной сферах. / Акимов В.А., Лесных В.В., Радаев Н.Н. // М.: ФИД “Деловой экспресс”. - 2004.
128. Акимов В. А. Природные и техногенные чрезвычайные ситуации: опасности, угрозы, риски. / Акимов В. А., Новиков В.Д., Радаев Н.Н. // М.:
ФИД “Деловой экспресс”. - 2001.
129. Пригожий И., Стенгерс И. Порядок из хаоса: Новый диалог человека с
природой. / Пригожий И., Стенгерс И. // М.: Прогресс, пер. с англ. - 1986.
130. Шапкин А. С. Экономические и финансовые риски. Оценка, управление,
портфель инвестиций. / Шапкин А. С.// М.: “Дашков и К°”. - 2006.
131. Махутов Н.А. Система оценки рисков при техническом регулировании.
/ Махутов Н.А. // М.: Изд-во ОВЛ. - 2006.
132. Акимов В.А. Риски в природе, техносфере, обществе и экономике. / Акимов В.А., Лесных В. В., Радаев Н. Н.// М.: ФИД “Деловой экспресс”. 2004.
133. Чернова Г. В. Управление рисками. / Чернова Г. В., Кудрявцев. А.А. //
М.: Проспект. - 2003.
134. Рагозин А.Л. Природные опасности. Оценка и управление природными
рисками. / Рагозин А.Л.// М.: КРУК. - 2001.
135. Ренн О. Три десятилетия исследования риска: достижения и новые
горизонты. / Ренн О. // Вопросы анализа риска. – 1999. - N1, T1.
136. Шоломицкий А. Г. Теория риска. Выбор при неопределенности и моделирование риска. / Шоломицкий А. Г.// М.: Изд. дом ГУ ВШЭ. - 2005.
137. Risk management - Vocabulary - Guidelines for use in standards. ISO/IEC
Guide 73. International Organization for Standardization, Geneva. - 2002.
322
138. AS/NZS 4360. Risk management.// SAI Global. - 2004.
139. Bundesamt für Sicherheit in der Informationstechnik. //The IT-Grundschutz
Сatalogues. - 2005.
140. EBIOS - Expression of Needs and Identification of Security Objectives,
France. - 2004. [Electronic resource]. //www.ssi.gouv.fr/en/confidence/
ebiospresentation.html.
141. MEHARI 2007 (MEthode Harmonisée d'Analyse du Risque Informatique),
France.-
2007.
[Electronic
resource].
//www.clusif.asso.fr/fr/production/mehari.
142. Alberts C.J. OCTAVE Method Implementation Guide Version 2.0. / Alberts
C.J.,
Dorofee A.J.// Carnegie Mellon University - Software Engineering
Institute, Pittsburgh, Pennsylvania. - 2001.
143. ISO/IEC 15408-1:2009. Information technology -- Security techniques -Evaluation criteria for IT security -- Part 1: Introduction and general model.
[Electronic
resource].
//
standards.iso.org/ittf/PubliclyAvailableStandards
/c050341_ISO_IEC_15408-1_2009.zip
144. Куканова Н. Современные методы и средства анализа и управления
рисками информационных систем компаний./ Куканова Н. // [Электронный ресурс]. //dsec.ru/ipm-research-center/article/modern_methods_and_
means_for_analysis_and_risk_management_of_information_systems_of_comp
anies/
145. Смелянский Р.Л. Компьютерные сети в 2 т. Т. 2. Сети ЭВМ / Смелянский Р.Л.//. М. : Издательский центр “Академия”. - 2011. - 240 с.
146. Костромин А. В. Конспект лекций по курсу “эконометрика”./ Костромин
А. В. // Казанский государственный финансово – экономический институт, Казань. - 2004. – 47 с.
147. Ллойд Э. Справочник по прикладной статистике. / Ллойд Э, Ледерман У.
//М. Финансы и статистика. - 1989. – 510 с.
148. Скляров Ю.С. Эконометрика. Краткий курс: 2-е изд., испр. Учебное пособие. / Скляров Ю.С.// СПб. - 2007.
323
149. Айвазян С. А. Прикладная статистика и основы эконометрики. / Айвазян С. А., Мхитарян В. С.// М.: ЮНИТИ. - 1998.
150. Кремер Н. Ш. Эконометрика. / Кремер Н. Ш., Путко Б. А.//
М.:
ЮНИТИ. - 2003.
151. Федер Е. Фракталы./ Федер Е.// М.:Мир. – 1991. - 249 с.
152. Евдокимов Ю.К. Фрактальный характер топологии сложных сетей.
/Евдокимов Ю.К., Шахтурин Д.В.// Материалы IV международной
конференции
“Методы
и
средства
управления
технологическими
процессами”, Саранск: Изд-во Мордов ун-т. - C. 244-251.
153. Жалейко Е.В. Исследование характеристик фрлкт процессов потоков
данных мультисервисных сетей./ Жалейко Е.В. Воропаева В.А. [Электронный ресурс]. //masters/donntu:edu.ua/2011fkita/zhaleyko/diss/index.htm
154. Шахтурин Д.В. Моделирование информационных потоков данных в
больших сетях. /Шахтурин Д.В. // Казанский государственный технический университет им. Туполева. - 2009. [Электронный ресурс]. //
fetmag.mrsu.ru/2009-3/pdf/information_data_flow.pdf
155. Евдокимов Ю.К. Фрактальный характер топологии сложных сетей /
Евдокимов Ю.К., Шахтурин Д. В. // Материалы IV Междунар. конф.
“Методы и средства управления технологическими процессами”. –
Саранск, Изд-во: Мордов ун-та. - 2007. – C. 244-251.
156. Евдокимов Ю. К. Фрактальное моделирование топологии сложных сетей./ Евдокимов Ю. К., Шахтурин Д. В. //Труды Казанского научного семинара “Методы моделирования”, Казань, Изд-во КГТУ. – 2007. - вып.
3. - C. 218-233.
157. Евдокимов Ю. К. Количественная мера топологии множества датчиков
методами фрактальной геометрии./ Евдокимов Ю. К., Базлов Е. Ф. //Материалы Всероссийской научно-технической конференции “Датчики и
преобразователи информации систем измерения, контроля и управления
Датчик -95)”, Москва-Гурзуф. - 1995, T.3. - C. 538 - 539.
324
158. Branke J. Multiobjective Optimization: Interactive and Evolutionary Approaches (Lecture Notes in Computer Science). / Branke J., Deb K., Miettinen K.,
Slowinski R.// Springer. - 2008. – 470 p. [Electronic resource].
//www.springer.com/computer/swe/book/978-3-540-88907-6
159. Osyzka A. Multicriteria optimization for engineering design./ Osyzka A. //
Design Optimization (Academic Press). - P. 193 – 227.
160. Зайченко Ю. П. Дослідження операцій: підручник / Ю. П. Зайченко//. К.:
ВІПОЛ. - 2001. – 688 c.
161. Соболь И.М. Выбор оптимальных параметров в задачах со многими
критериями./ Соболь И.М.// М.: Дрофа. - 2006. - 175 с.
162. Генетические алгоритмы для многокритериальной оптимизации. [Электронный ресурс]. //www.docme.ru/doc/221402/23.geneticheskie-algoritmydlya-mnogokriterial._noj-optimizacii
163. Гольдштейн. А.Л. Теория принятия решений. Задачи и методы исследования операций и принятия решений./ Гольдштейн А. Л.// Учебное
пособие. Пермь: ПГТУ. - 2002. - 357с.
164. Прохоров Ю.К. Управленческие решения. 2-е изд., испр. и доп. /Прохоров Ю.К., Фролов В.В.// СПб.: СПбГУ ИТМО. - 2011. - 138 с.
165. Peh L.-S. A delay model for router microarchitectures/ Peh L.-S., Dally W.
J.// IEEE Micro. - January-February 2001. - P. 26 - 34.
166. Грайнер В. Пополнение среди магистральных маршрутизаторов/ Грайнер В. // Журнал сетевых решений - LAN. - 2003. - № 8. - C. 51-54.
167. Симонов А.С. Направления развития суперкомпьютерных технологий в
ОАО “НИЦЭВТ”/Симонов А.С., Слуцкин А.И., Леонова А.Е. // “Информационные технологии и вычислительные системы”. – 2012. - №2. - C. 11-18
168. Yalamanchili S. SwitchingTechniques. / Yalamanchili S. [Electronic resource].
//users.ece.gatech.edu/~sudha/academic/class/Networks/Lectures/3%20-
%20Switching%20Techniques/papers/paper.switching.pdf
169. Луцкий Г.М. Методы маршрутизации в компьютерных системах
с
многоканальными связями/ Луцкий Г.М., Мухин В.Е.// Вісник НТУУ
325
"КПІ". Серія "Інформатика, управління та обчислювальна техніка". –
2013. – N58. – C. 148 – 157.
170. Borkar S. iWarp: An integrated solution to high-speed parallel computing/
Borkar S. [et al] // Proceedings of Supercomputing'88. - 1988. - P. 330-339.
171. Dally W. J. Principles and Practices of Interconnection Networks./ Dally W.
J., Towles B.// Morgan Kaufman (pubs.). – 2004.
172. Duato J. Interconnection Networks: An Engineering Approach / Duato J.,
Yalamanchili S., Ni L. //Morgan Kaufmann (pubs). - 2003.
173. Hoskote Y. A 5-GHz Mesh Interconnect for a Teraflops Processor. / Hoskote
Y., Vangal S., Singh A., Borkar N., Borkar S. // IEEE Micro. – 2007. –
Vol.27, N 5.
174. Peh L.-S. Flit reservation flow control/ Peh L.-S., Dally W.J.//Proceedings of
the 6th International Symposium on High-Performance Computer Architecture. - January 2000. - P. 73 - 84.
175. Choi Y. Evaluation of queue designs for true fully adaptive routers / Choi Y.,
Pinkston T. M.// Journal of Parallel and Distributed Computing. – May 2004.vol. 4, N.5.
176. Дегтярев Д. Разные подходы к выполнению коммутации. Коммутация
пакетов/ Дегтярев Д. // [Электронный ресурс]. // wiki.auditory.ru
177. Мухин В.Е. Структурная организация маршрутизатора для многоканальных компьютерных систем / Мухин В.Е. // Вісник Чернігівського
державного технологічного університету. Cерія “Технічні науки”. – 2013.
– N4. – C. 122 – 127.
178. Mukhin V.Ye. Structural Organization of the Router for the Multichannel
Computer Systems/ Mukhin V.Ye., Kornaga Ya.I.// Proc. of International
Conference “Parallel and Distributed Computing Systems (PDCS 2014)”.
Kharkov, Ukraine. - March 4–6, 2014. – P. 92 – 95.
179. Столингс В. Компьютерные сети. Протоколы и технологии Интернета. /
Столингс В. // С.-Пб., Бхв-Петербург. - 2005. – 820 с.
326
180.Луцкий Г.М. Алгоритм адаптивной маршрутизации данных с учетом
степени доверия к удаленным узлам/ Луцкий Г.М., Мухин В.Е.//
Информационные технологии моделирования и управления. Воронеж. 2014. – N 1. – C. 91 – 99.
181. Loutsky G.M. The Adaptive Routing Algorithm Taking Into Account the
Trust Level to the Remote Nodes / Loutsky G.M., Mukhin V.Ye. // Proc. of
International Conference “Parallel and Distributed Computing Systems (PDCS
2014)”. Kharkov, Ukraine. - March 4–6, 2014. – P. 67 – 70.
182.Новиков А. Б. Маршрутизация трафика в IP-сетях с применением генетических алгоритмов / Новиков А. Б. // Системы управления и информационные технологии. - 2003. - №1-2. - C. 78 - 81.
183. Кравец О.Я. Повышение эффективности маршрутизации в переходных
режимах функционирования вычислительных сетей / Кравец О.Я., Пономарев A.B., Подерский И.С. // Системы управления и информационные
технологии. - 2003. - № 1-2. - C.73 - 77.
184. Поповский В.В. Обзор и сравнительный анализ основных моделей и
алгоритмов многопутевой маршрутизации в мультисервисных телекоммуникационных сетях / Поповский В.В., Лемешко A.B., Мельникова Л.И.,
Андрушко Д.В. // Прикладная радиоэлектроника. - 2005. - № 4, Т.4. - С.
372 - 382.
185. Перепелкин Д.А. Разработка алгоритмов адаптивной маршрутизации в
корпоративных вычислительных сетях / Перепелкин Д.А., Перепелкин
А.И. // Вестник Рязанской государственной радиотехнической академии. 2006. - № 19. - С. 114 - 116.
186. Перепелкин Д.А. Разработка алгоритмов адаптивной маршрутизации в
корпоративных вычислительных сетях/ Перепелкин Д.А., Перепелкин А.И.
// Информатика и прикладная математика: межвуз. сб. науч. тр. РГУ имени
С.А. Есенина. - 2008. - С. 100- 105.
187. Перепелкин Д.А. Алгоритмы маршрутизации в корпоративных вычислительных сетях / Перепелкин Д.А., Перепелкин А.И. // Информатика и при-
327
кладная математика: межвуз. сб. науч. тр. РГУ имени С.А. Есенина. - 2008.
- С. 106-108.
188. Перепелкин Д.А. Применение алгоритмов адаптивной маршрутизации в
протоколе IGRP/ Перепелкин Д.А., Кравчук H.B.//13-я Международная телекоммуникационная конференция студентов и молодых ученых “Молодежь и наука”. Москва. МИФИ. - 2009. [Электронный ресурс].
//www.mephi.ru/molod
189. Уваров Д.В. Динамический алгоритм маршрутизации в вычислительной
сети / Уваров Д.В., Перепелкин А.И. // Вестник Рязанской государственной
радиотехнической академии. Рязань. - 2003. – Вып. 12. - C. 77-80.
190. Голиков В.Ф. Безопасность информации и надежность компьютерных
систем. В 2 ч. / Голиков В.Ф. //Минск:БНТУ. - 2010. -Ч.1. - 86 с.
191. Громов Ю.Ю. Синтез и анализ живучести сетевых систем./ Громов
Ю.Ю. Драчев В. О., Набатов К.А., Иванова О.Г. // М: “Издательство
Машиностроение”. - 2007. – 122 с.
192. Додонов А.Г. Живучесть информационных систем. /Додонов А.Г., Ландэ
Д.В.// К.: Наук, думка. - 2011. - 256 с.
193. Додонов А.Г. Введение в теорию живучести вычислительных систем /
Додонов А.Г., Кузнецова М.Г., Горбачик Е.С.// К.: Наук, думка.- 1990. 184 с.
194. Додонов А.Г. Живучесть информационных сюжетов как динамических
документальных систем / Додонов А.Г., Ландэ Д.В.// Реєстрація, зберігання i обробка даних. - 2010. - Т. 13, № 2. - С. 88-102.
195. Додонов О.Г. Живучість складних систем: аналіз та моделювання: навч.
пociб. у 2-х ч. / Додонов О.Г., Кузнецова М.Г., Горбачик О.С.// К.: НТУУ
“КПI”. - 2009. - 264 с.
196. Рябинин И.А. Надежность и безопасность структурно-сложных систем.
Издание второе, дополненное и переработанное./ Рябинин И.А. // СПб,
изд. СПбГУ. - 2007.
328
197. Харыбин А.В. Метод оценки живучести распределенных информационно-управляющих систем. / Харыбин А.В.//Радіоелектронні і комп’ютерні
системи. – 2007. – N. 8 – C. 104 – 109.
198. Завгородний В. И. Комплексная защита информации в компьютерных
системах. / Завгородний В. И. //М.: Издательско-книготорговый дом “Логос. - 2001. - 396 с.
199. ГОСТ Р ИСО/МЭК 15408-1-2002.
Информационная технология.
Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. // ИПК “Издательство
стандартов”. - 2002. – 34 с.
200. Гайдамакин Н.А. Теоретические основы компьютерной безопасности. /
Гайдамакин Н.А. // Екатеринбург. - 2008. – 212 с. [Электронный ресурс].
//elar.urfu.ru/bitstream/10995/1778/5/1335332_schoolbook.pdf
201. ISO/IEC 15408-2009:1. Information technology - Security techniques Evaluation
criteria
for
IT
security.
Part1.
[Electronic
resource].
//ebookbrowse.com/i/iso-15408-1-pdf
202. Maiwald E. Fundamentals of network security. / Maiwald E.// New York:
McGraw-Hill. Technology Education. - 2004.
203. Мухин В.Е. Инструментарий минимизации риска защищенности в распределенных компьютерных системах. / Мухин В.Е. //Системні дослідження та інформаційні технології. – 2010. - N 4. – C. 58 - 68.
204. Мухин В.Е. Оценка рисков защищенности распределенных компьютерных систем в процессе анализа ситуаций и принятия решений. / Мухин
В.Е. // Управляющие системы и машины. – 2011. - N 6. – C. 83 – 88.
205. Луцкий Г.М. Адаптивный подход к обеспечению безопасности
распределенных компьютерных систем./ Луцкий Г.М., Мухин В.Е. //
Вісник Кременчуцького державного політехнічного університету. – 2007.
N5, ч.1 – C. 30 – 34.
206. Loutsky G. Adaptive Approach to Distributed Computer Systems Safety
Providing./ Loutsky G., Mukhin V.// Proceedings of International Conference
329
of Science and Technology “Scalable Systems and Computer Networks Design
and Applications SCALNET’04”, Kremenchug, 28 –30 September 2004. – P.
70 –74.
207. Mukhin V.Ye. Adaptive Approach to Safety Control and Security System
Modification in Computer Systems and Networks./ Mukhin V.Ye.//
Proceedings of the 5-th IEEE Workshop on Intelligent Data Acquisition and
Advanced
Computing
Systems:
Technology
and
Applications
(IDAACS’2009), Rende (Cosenza), Italy. - 21 - 23 September 2009. – P. 212 217.
208. Мухин В.Е. Средства и методы адаптивного управления безопасностью
компьютерных сетей. / Мухин В.Е. //Вісник НТУУ “КПІ”. Серія “Інформатика, управління та обчислювальна техніка”.– 2001. - N 35. – C.32 – 44.
209. Мухин В.Е. Адаптивные средства защиты компьютерных систем на
основе модифицированных нейронных сетей Кохонена/ Мухин В.Е.,
Корнага Я.И., Стешин В.В. // Научно-технические ведомости СанктПетербургского государственного политехнического университета. –
2014. – №2 (193). – C. 54–58.
210. Mukhin V. Ye., Shyrotchin V.P., Ishutin A.V. Means and Protocols of the
Secured Data Transfer in Computer Networks /Mukhin V. Ye., Shyrotchin
V.P.,
Ishutin A.V. // Proceedings of 5-th
International
Conference on
Development and Application Systems, Suceava, Romania. - May 18 –20,
2000. – P. 252 – 255.
211. Широчин В.П. Машина состояний в задачах аутентификации пользователей компьютерных сетей / Широчин В.П., Мухин В.Е., Ху Чжен Бин.
// Управляющие системы и машины. – 2003. - N 5. – C.75 – 80.
212. Мухин В.Е. Многофакторная аутентификация как механизм защиты в
вычислительных сетях / Мухин В.Е.// Кибернетика и системный анализ. –
1999. - N 5. - C. 170-175.
213. Мухин В. Е. Инструментальная среда для проектирования и исследования протоколов аутентификации в вычислительных сетях. / Мухин В. Е.
330
// Проблемы управления и информатики. – 1999. - N 5. – C. 122-126.
214. Широчин В.П. Моделирование
и исследование процедур аутенти-
фикации субъектов в компьютерных сетях. / Широчин В.П., Мухин В.Е. //
Сб. трудов Второй международной научно-практической конференции
“СИЭТ-2001”, Одесса. - 28 –31 мая 2001. - C.63 - 64.
215. Loutsky G.М. Integrated systems of information security in computer
networks./ Loutsky G.М., Shyrotchin V.P., Mukhin V. Ye. // Міжнародний
науковий журнал “Computing”. – 2005. - Том 4 – C. 61 – 68.
216. Loutsky G. Integrated Systems of Information Security in Computer
Networks./ Loutsky G., Shyrochin V., Mukhin V.// Proceedings of NATO
Advanced Research Workshop, Gdansk, Poland. - 6-9 September, 2004. – P.
89 –95.
217. Shyrochin V.P. Integrated Safety Mechanisms for the Distributed Computer
Systems./ Shyrochin V.P., Mukhin V.Ye., Volokyta A.N. // Proceedings of 3rd
International Conference on Network Security, Wireless Communication and
Trusted Computing NSWCTC’2011, Wuhan, China. - 23-24 April 2011. – P.7
218.
Широчин
В.П.
Формализация
и
целевая
адаптация
средств
аутентификации в компьютерных сетях. / Широчин В.П., Мухин В.Е. //
Управляющие системы и машины. – 2000. - N 5/6. - C.59 -65.
219. Орлов А.И. Основы теории принятия решений. / Орлов А.И. //
Издательство университета им. Н.Э.Баумана. - 2002.
220. Шапот М. Интеллектуальный анализ данных в системах поддержки
принятия решений. / Шапот М. // Открытые системы. – 1998. - N1. – C. 30
- 35.
221. Добрецов С.В. Планирование действий в искусственном интеллекте /
Добрецов С.В., Шестаков С.М. // Вестник Академии Технического Творчества "ДЕМИУРГ", СПб. – 1998. - N1. – C.32 - 46.
222. Гаврилова Т.А. Базы знаний интеллектуальных систем. / Гаврилова Т.А.,
Хорошевский В.Ф.// С.-Пб.:"Питер". - 2000. – 273 c.
331
223. Осипов Г.С. Приобретение знаний интеллектуальными системами. /
Осипов Г.С. //М.: "Наука. Физматлит". - 1997. – 142 c.
224. Хорошевский В.Ф. Методы и средства проектирования и реализации
мультиагентных систем / Хорошевский В.Ф. // Материалы семинара
“Проблемы искусственного интеллекта”, Россия, ИПУ РАН.- 1999. – 15 c.
225. Muller J.P. A Cooperation Model for Autonomous Agents / Muller J.P. //
Proc. of the Third International Workshop on Agent Theories, Architectures,
and Languages (ATAL96), Budapest, Hungary. - 1996. – P. 135-147.
226. Мухин В.Е. Семиотические СППР с интеллектуальным агентом для
адаптивного управления безопасностью компьютерных систем/ Мухин
В.Е., Павленко Е.Н. // Вестник компьютерных и информационных
технологий. Москва, - 2005. – N 10. – C. 28 – 33.
227. Широчин В.П. Средства сопровождения адаптивных комплексных
систем защиты информации./ Широчин В.П., Мухин В.Е., Ху Чжен Бин. //
Сб. тезисов докладов IV международной научно-практической конференции "Проблемы внедрения информационных технологий в экономике
и бизнесе", Ирпень. - 15- 17 мая 2003. – C. 661 – 664.
228. Mukhin V.Ye. Neural Networks for Intrusions Detection in Computer
Networks/ Mukhin V.Ye.// Proceedings of 7-th International Conference on
Development and Application Systems, Suceava, Romania. - May 27-29,
2004. – P. 372 - 377.
229. Мухин В.Е. Семиотические СППР в задачах управления безопасностью
компьютерных систем./ Мухин В.Е., Павленко Е.Н. // Сб. трудов международной научно-технической конференции “Искусственный интеллект.
Интеллектуальные и многопроцессорные системы”, Кацивели, Украина.
- 20 –25 сентября 2004. – Том 1. - C. 297- 301.
230. Швецов И.Е. ТАО-технология активных объектов для разработки
многоагентных систем/ Швецов И.Е., Нестеренко Т.В., Старовит С.А. //
Информационные технологии и вычислительные системы. РАН, Москва.
– 1998. - N1. – C. 35-44.
332
231. Shvetsov I. TAO: A Multi-Agent Technology Based on Constraint Programming. / Shvetsov I., Nesterenko T., Starovit S. // Proc. of Sixth Scandinavian
Conference on Artificial Intelligence (SCAI’97), Helsinki, Finland.- August
1997. – P. 151-161.
232. Guide for Production of Protection Profiles and Security Targets: N2449
Draft v0.9. // ISO/JTC1/ SC27. - 2000.
233. Lee A. Certificate Issuing and Management Components Family of Protection Profiles. Version 1.0. / Lee A. // U.S. National Security Agency. - October
31, 2001.
234. Standard ISO 15408: “The common criteria for information technology security evaluation”. // ISO Standards Bookshop.
235. Stoneburner G. CSPP-OS: COTS Security Protection Profile – Operating
Systems: Draft Version 0.4. / Stoneburner G. //U.S. Department of Commerce,
NIST. - February 5, 2001.
236. Sheridan M. A Goal VPN Protection Profile For Protecting Sensitive Information. Release 2.0. / Sheridan M., Sohmer E., Varnum R. // U.S. Natio-nal
Security Agency. - 10 July, 2000.
237. Ротштейн А., Катефников Д. Идентификация нелинейных объектов на
основе нечетких знаний./ Ротштейн А., Катефников Д.// Кибернетика и
системный анализ. – 1998. - N 5(34). – C. 67 -78.
238. Нестерук Г.Ф. Нейронные системы с нечеткими связями/ Нестерук Г.Ф.,
Куприянов М.С.// Cб. трудов VI-ой междунар. конференции SCM’2003. –
С.Пб. – 2003. - Т.1. – C. 341 - 344.
239. Спесивцев А.В. Управление рисками чрезвычайных ситуаций на основе
формализации экспертной информации./ Спесивцев А.В.// СПб., Изд-во
Политехнического университета. - 2004. – 238 с.
240. Mukhin V.Ye. Adaptive Networks Safety Control on Fuzzy Logic / Mukhin
V.Ye., Pavlenko E.N. // Advances in Electrical and Computer Engineering. –
2007. - N 1, Vol.7. – P. 54 – 58.
333
241. Мухин В.Е. Модель системы адаптивного управления безопасностью
компьютерных сетей/ Мухин В.Е., Павленко Е.Н. // Сб. трудов Шестой
международной научно-практической конференции “Современные информационные и электронные технологии СИЭТ-2005”, Одесса. - 23 –27
мая 2005. – C. 125.
242. Mukhin V.Ye. Adaptive Networks Safety Control on Fuzzy Logic. / Mukhin
V.Ye., Pavlenko E.N.//Proceedings of 8-th
International
Conference on
Development and Application Systems DAS’2006, Suceava, Romania. - May
25-27, 2006. – P. 413 - 418.
243. Мухин В.Е. Нечеткая логика для средств управления безопасностью
компьютерных сетей./ Мухин В.Е., Стретович Е.Н.// Сб. докладов международной
конференции по мягким вычислениям и измерениям
SCM'2007. Санкт-Петербург, Россия. - 25 - 27 июня 2007. - C. 250 –253.
244. Мухин В.Е. Система адаптивного управления безопасностью при неопределенных информационных воздействиях/ Мухин В.Е., Стретович Е.Н.
// Сб. тезисов XI Международной научно-технической конференции
“Системный анализ и информационные технологии” (САИТ -2009), Киев.
- 26 -30 мая 2009. – C. 533.
245 Мухин В.Е. Разработка и реализация политики безопасности в распределенных компьютерных системах/ Мухин В.Е., Волокита А.Н. // Управляющие системы и машины. – 2010. – N3. – C. 78 – 85.
246. Mukhin V.Ye. Information Security Policy in the Distributed Computer
Systems / Mukhin V.Ye., Volokita A.N. // Proc. of 10-International Conference
on Development and Application Systems DAS'2010. – Suceava, Romania. May 27–29, 2010. – P. 327 – 332.
247. Мухин В.Е. Средства защиты GRID-систем на основе дифференцирования уровня доверия к узлам системы/ Мухин В.Е. //Искусственный интеллект. – 2008. - N 3. – C. 187 - 196.
248. Мухин В.Е., Корнага Я.И. Многоуровневая модель с дифференциальным уровнем доверия к субъектам для повышения защищенности
334
распределенных баз данных. . Мухин В.Е., Корнага Я.И. // Научно-технические ведомости Санкт-Петербургского государственного политехнического университета. – 2012. – N 6 (162). – C. 54– 58.
249. Мухин В.Е. Многоуровневная
модель
безопасности баз данных. /
Мухин В.Е., Широчин В.П.// Сб. докладов международной конференции
по мягким вычислениям и измерениям SCM'2001. – Санкт-Петербург. 25 – 27 июня 2001. – C. 197 –201.
250. Mukhin V.Ye. The rating mechanism for the trusted relation-ship
establishment for the security of the distributed computer systems / Mukhin
V.Ye. // Zeszyty Naukowe Politechniki Śląskiej (Poland). Seria Orga-nizacja i
Zarządzanie. – 2013. – N 67. – P. 99 –109.
251. Мухин В.Е. Средства анализа и сертификации механизмов защиты
информации в компьютерных системах и сетях /Мухин В.Е., Дарвиш Л. //
Сб. докладов международной конференции по мягким вычислениям и
измерениям SCM'2005. Санкт-Петербург, Россия. - 27 - 29 июня 2005. –
C. 231 –234.
252. Оценка стоимости информации. [Электронный ресурс].
www.myinterest.ru/services/?SID=573
253. Широчин В.П. Основи безпеки комп’ютерних систем (лекції)./ Широчин
В.П., Широчин С.В., Мухін В.Є.// Київ, “Корнійчук”. - 2009. - 286 с.
254. Широчин В.П. Анализ рисков в задачах мониторинга безопасности
компьютерных систем и сетей./ Широчин В.П., Мухин В.Е., Крамар Д.И.
//Захист інформації. – 2003. - N 1. – C. 28 – 34.
255. Mukhin V.Ye. Integrated Safety Mechanisms Based on Security Risks
Minimization for the Distributed Computer Systems / Mukhin V.Ye., Volokyta
A.N. // International Journal of Computer Network and Information Security
(IJCNIS). – 2013. – N2, Vol. 5. – P. 21 – 28.
256. Mukhin V.Ye. Adaptive security mechanisms for the computer networks
based on risk analysis./ Mukhin V.Ye., Shyrochin V.P. // Journal of Qafqaz
335
University, Issue: Mathematics and Computer Science. – 2013. – N1, vol 1. –
P. 11 – 16.
257. Широчин В.П. Обобщенная модель работоспособности корпоративных
сетей в условиях воздействия факторов риска. / Широчин В.П., Мухин
В.Е., Крамар Д.И. // Сб. трудов Третьей международной научнопрактической конференции “СИЭТ-2002”, Одесса. - 21 –24 мая 2002. – C.
53.
258. Мухин В.Е. Программные и аппаратные методы выявления нарушений
безопасности информации./ Мухин В.Е., Крамар Д.И. // Сб. трудов
Четвертой международной научно-практической конференции “СИЭТ2003”, Одесса. - 19 –23 мая 2003. – C. 128.
259. Широчин В.П. Методика анализа и управления рисками безопасности
компьютерных систем./ Широчин В.П., Мухин В.Е., Дарвиш Л. // Сб.
тезисов докладов V международной научно-практической конференции
"Проблемы внедрения информационных технологий в экономике и
бизнесе", Ирпень. - 13- 15 мая 2004. – C. 552 – 555.
260. Мухин В. Е. Анализ рисков в задачах информационной безопасности. /
Мухин В. Е.// Матеріали VIII Mіжнародної науково-практичної iнтернетконференції "Проблеми впровадження інформаційних технологій в економіці", Ірпінь. - 23.01.2012 – 30.03.2012. – C. 345 – 347.
261. Мухин В.Е. Мониторинг состояний информационных ресурсов для
реализации адаптивного управления защищенностью компьютерных
систем./ Мухин В.Е., Волокита А.Н., Павленко Е.Н. //Искусственный
интеллект. – 2006. - N3. – C. 773 - 782.
262. Мухин В.Е. Комплексная система управления и поддержки безопасности
взаимодействия Web-портала с гетерогенной средой хранения данных./
Мухин В.Е., Корнага Я.И.//Системы управления и информационные
технологии. Москва-Воронеж. - 2013. – N4 (54). – C. 60 – 65.
263. Мухин В.Е. Анализ событий информационной безо-пасности для
проведения коректирующих действий по управлению безопасностью/
336
Мухин В.Е., Волокита А.Н. // Вісник НТУУ “КПІ”. Серія “Інформатика,
управління та обчислювальна техніка”. – 2009. - N 50. - C. 146 - 151.
264. Антонюк А.О. До оцінки ризику при побудові моделі порушника/
Антонюк А.О., Жора В.В.// Сб. тез доповідей VII міжнародної науковопрактичної конференції “Проблеми впровадження
інформаційних
технологій в економіці”, Ірпінь. - 23 – 24 квітня 2009. – C. 223 - 225.
265. Норкарт С., Новак Д. Обнаружение нарушений безопасности в сетях. /
Норкарт С., Новак Д. //М: Вильямс. - 2003. – 447 с.
266. Мухин В.Е. Средства управления рисками безопасности компьютерных
систем. / Мухин В.Е.// Вісник НТУУ “КПІ”. Серія “Інформатика, управління та обчислювальна техніка”. – 2007. - N 47. – C. 189 - 196.
267. Шаньгин В. Ф. Информационная безопасность компьютерных систем и
сетей/ Шаньгин В. Ф.// М.: ИД “ФОРУМ”: ИНФРА-М. - 2008. - 416 с.
268. Barman S. Writing Information Security Policies./ Barman S. // Boston,
“New Riders”. - 2002. – 342 p.
269. Девянин П.Н. Модели безопасности компьютерных систем. / Девянин
П.Н. //Издательский центр “Академия”. - 2005. - 143 с.
270. Галатенко В.А. Основы информационной безопасности. /Галатенко
В.А.// М. ИД “УИТ”. - 2003. - 277 c.
271.ISO/IEC 27001:2005. “Information technology. Security techniques. Information security management systems. Requirements”. - 18 October 2005. - 44 p.
272. Мухин В.Е. Моделирование критичных процессов в модуле управления
заданиями распределенных компьютерных систем с использованием специализированной среды. / Мухин В.Е., Волокита А.Н., Коханевич И.В.,
Бидков А.Е. // Вісник Кременчуцького національного університету. –
2011. – N6, ч.1. – C. 69 – 73.
273. Соснин В.В., Нгуен Дык. Анализ характеристик передачи пакетов через Интернет./ Соснин В.В., Нгуен Дык.// [Электронный ресурс].
//simulation.su/uploads/files/default/immod-2009-2-246-250.pdf
337
274. Широчин В.П. Деклараційний патент України N 99063332, МКИ G06F
3/02. Спосіб введення символьної інформації в ЕОМ. / Широчин В.П.,
Мухін В.Є., Кулик А.В. // Бюл. Держкомітету інтелектуальної властності.
– 2001. - N 1. Заявлено 15.06.1999, опубліковано 15.02.2001.
275. Широчин В.П. Деклараційний патент України N 99063546, МКИ G06F
3/02. Пристрій для введення символьної інформації в ЕОМ. / Широчин
В.П.,
Мухін В.Є., Кулик А.В. //Бюл. Держкомітету інтелектуальної
властності. – 2001. - N 1. Заявлено 23.06.1999, опубліковано 15.02.2001.