В рубрику "Решения корпоративного класса" | К списку рубрик | К списку авторов | К списку публикаций
Рассматривается проблема анализа информативности отдельных признаков и их совокупностей, принадлежащих множеству протоколов информационно-телекоммуникационной сети. Анализируется влияние информативности признака на вероятность идентификации объекта. Приводятся результаты расчетов на примере некоторых признаков протоколов, позволяющие утверждать о влиянии информативности на защищенность информационно-телекоммуникационной сети. Акцентируется задача классификации наиболее и наименее важных с точки зрения распознавания признаков. Для этих целей предлагается использовать подход на основе количественной оценки методом весовых коэффициентов. Приводятся расчетные выражения по данному методу с использованием различных примеров. Приводится совокупность признаков технологий, протоколов и служб информационно-телекоммуникационной сети в виде статистических данных, которые в дальнейшем используются в качестве исходных данных для проведения расчетов по предлагаемой методике.
Analysis of informativeness of individual features and their aggregates, belong to set protocols of information and telecommunication network. Analyzes the impact of informativeness of the trait on the likelihood of object identification. The results of calculations on the example of certain characteristics of the protocols, allowing to state on the influence of informativeness on the security of information and telecommunications network. Emphasizes the problem of classifying the most and least important from the point of view of recognition, of signs. For these purposes we propose to use an approach based on quantitative assessment method of weighting coefficients. The calculated expression according to this method using various examples. Given a set of attributes of technologies, protocols and services information and telecommunications network in the form of statistical data that are further used as input data for calculations by the proposed method.
Современные информационно-телекоммуникационные сети (ИТКС) представляют собой результат конвергенции локальных сетей (сетей доступа), магистральных сетей, телефонных сетей, сетей электросвязи и других сетей передачи данных и являются объектом постоянного воздействия. Объемы данных, которые обрабатываются в ИТКС, огромны и продолжают увеличиваться. Особо остро эти проблемы связаны с эксплуатацией сотовых сетей [12]. Количество инцидентов, связанных с безопасностью информации, данных и самих ИТКС также велико и с каждым годом неуклонно возрастает. Ущерб от несанкционированного воздействия на сети связи может быть значительным [13]. Вопросы информационной безопасности сетей связи широко обсуждаются и анализируются в научно-технических публикациях [10, 11]. В данных условиях большое значение имеет возможность противодействия подобным воздействиям.
Особую актуальность в данном случае принимает то, что для определения факта воздействия необходимо его каким-то образом идентифицировать. Для этого необходимо первоначально определить множество признаков подобных воздействий, а уже затем, используя эти признаки, идентифицировать само проводимое воздействие. Задача выделения множества признаков воздействий остается за пределами данной статьи. Представленная работа описывает этап определения информационной ценности признаков, который является одним из этапов классификации и кластеризации всего множества.
Решение поставленной задачи было бы затруднено без знания характерных особенностей, алгоритмов проведения, результатов информационных воздействий на ИТКС [1, 2]. В этом отношении в работе рассматривается некоторая совокупность признаков, выбранная эмпирическим путем и характеризующая протоколы ИТКС, оценивается их информативность и ее влияние на вероятность выявления воздействия. Подобные признаки у каждого протокола могут быть как индивидуальными, так и типовыми, что в итоге говорит о необходимости проведения их определенной классификации для удобства дальнейшего распознавания. Но в конечном итоге поставщик услуг имеет преимущество перед теми, кто пытается осуществить атаку [14].
Кроме того, подобные количественные оценки могут быть использованы не только для определения информативности признаков, но также и для оценки защищенности отдельных технологических элементов ИТКС (технологий, протоколов, служб и т.п.), а также всей ИТКС в целом. Данное утверждение справедливо в том случае, если опираться на получаемые значения коэффициентов информативности признаков протоколов, служб или технологий ИТКС и делать вывод об их подверженности информационному воздействию.
Определение информационной ценности вызвано необходимостью выделения наиболее важных признаков, используемых при анализе трафика для последующего определения технологии, протоколов либо служб ИТКС.
Для определения наиболее информативного признака необходима количественная оценка. Для практических расчетов и сравнений удовлетворительные результаты дает оценка информативности методом весовых коэффициентов [1–7]:
где K(A) – коэффициент информативности признака А; (A) – число протоколов, обладающих признаками A; S – общее число протоколов ИТКС.
Как видно из выражения (1), признак обладает максимальной информативностью при одиночном его проявлении (индивидуальный признак). В этом случае:
Если признак является типовым, он становится малоинформативным, и:
В соответствии с этим, оценим информативность признака "МАС-адрес получателя" для технологий ИТКС и признака "Порт отправителя" для протоколов ИТКС. В случае с признаком "МАС-адрес" S = 12 (двенадцать объектов разведки – технологий); (А) = 4 (в явном виде этот признак присутствует у четырех технологий), тогда:
В случае с признаком "Порт отправителя" S = 20 (двадцать объектов разведки – протоколов); (А) = 2 (в явном виде этот признак присутствует у двух протоколов), тогда:
Зная информативность признаков, можно определить вероятность идентификации объектов разведки по типовым (ω > 1) и индивидуальным (ω = 1) признакам.
Вероятность опознавания по одному признаку можно определить так:
Расчетное выражение для определения вероятности идентификации по совокупности признаков имеет вид:
где ω – общее количество признаков; ν – количество признаков, по которым ведется идентификация.
Вероятность идентификации протоколов ИТКС по совокупности используемых признаков можно определить так:
Вероятность идентификации одного протокола по одному признаку.
Вероятность идентификации протокола IP по нескольким признакам:
Вероятность идентификации нескольких протоколов по нескольким признакам:
Как видно из приведенного примера, использование большого количества идентификационных признаков не приводит к значительному повышению вероятности распознавания. Это связано с тем, что значение коэффициента информативности признака зависит от объема пространства признаков и будет увеличиваться по мере детализации этого пространства [8].
Прежде всего, необходимо отметить, что целью разрабатываемой методики является оценка информационной ценности каждого признака протокола, участвующего в функционировании ИТКС. Основными ограничениями, которые являются существенными с точки зрения конечного результата, являются общее количество рассматриваемых протоколов, служб или технологий ИТКС, а также сопоставимое с ними пространство признаков этих протоколов.
В качестве примера для оценки информативности использовался признак "MAC-адрес". Представленные расчеты будут аналогичны и для других признаков.
В общем виде методика оценки информативности признаков имеет вид, представленный в рис. 1.
В результате применения данной методики была сформирована совокупность признаков, некоторых технологий, протоколов и служб, участвующих в информационном обмене, которые представлены на рис. 2–5.
В соответствии с методикой оценка информативности начинается с получения количественных значений индивидуальных признаков в соответствии с технологиями, протоколами и службами, реализуемыми в ИТКС.
Полученные результаты оценки некоторых признаков представлены на рис. 6.
В дальнейшем методика предусматривает выявление наиболее информативных признаков ИТКС и распределение полученных значений в соответствии с их важностью для оценки защищенности ИТКС. На рис. 7 представлены полученные значения вероятности идентификации некоторых протоколов ИТКС в зависимости от изменения коэффициента информативности признаков из всего множества.
Таким образом, на примере оценки информативности некоторых признаков рассмотрена методика оценки информативности признаков ИТКС. Полученные значения позволяют утверждать, что ИТКС обладает информационными признаками, позволяющими охарактеризовать ее параметры, оценить возможности и выбрать необходимые инструменты для воздействия с определенной целью.
Количество и качество информационных признаков зависят от используемых технологий, протоколов и служб. Кроме того, пространство признаков может как увеличиваться, так и уменьшаться в зависимости от целей анализа и технической подготовленности третьей стороны.
Показательны значения индивидуальной информативности признаков. Они позволяют утверждать, что каждый протокол ИТКС обладает признаком, по которому однозначно возможно его идентифицировать. В дальнейшем этот факт позволит оценить протокольную защищенность ИТКС путем анализа на предмет наличия уязвимостей [9].
Кроме того, полученные результаты могут быть использованы не только техническими специалистами, непосредственно эксплуатирующими ИТКС, но и злоумышленниками, имеющими цель деструктивного воздействия на технологический процесс ИТКС.
Литература
Опубликовано: Журнал "Технологии и средства связи" #3, 2016
Посещений: 3786
Статьи по теме
Автор
| |||
В рубрику "Решения корпоративного класса" | К списку рубрик | К списку авторов | К списку публикаций