Литература
1. http://kapital.kz/tehnology/10299/rynok-informacionnoj-bezopasnosti-v-rk-
vyrastet-na- 35.html
Стюгин М.А., Паротькин Н.Ю., Золотарев В.В.
ТЕХНОЛОГИЯ ЗАЩИТЫ ИНФОРМАЦИИ С ПРИМЕНЕНИЕМ
ДВИЖУЩЕЙСЯ ЦЕЛИ В ЗАДАЧАХ БЕЗОПАСНОЙ АДРЕСАЦИИ
УЗЛОВ КОМПЬЮТЕРНОЙ СЕТИ
Сибирский государственный аэрокосмический университет, Красноярск,
Россия
Сложность современных информационных систем не дает возможности
быть уверенным в отсутствии возможности их компрометации. Ситуацию
усугубляет то, что защитник имеет всегда крайне ограниченный ресурс времени
при проектировании системы. Злоумышленник же, наоборот, имеет большой
ресурс времени на исследование уязвимостей, а также информацию
относительно вновь найденных уязвимостях программного обеспечения не
известных на этапе проектирования системы. Данный факт создает
321
информационную асимметрию между злоумышленником и защитником. Для
решения проблемы такой асимметрии в задачах информационной безопасности
была разработана технология MTD. Наиболее подробный обзор данной
технологии приведен в статье [1]. Для затруднения этапа рекогносцировки
перед реализацией сетевой атаки технология MTD применяется для
перемешивания адресов узлов компьютерной сети. Существует несколько
практических реализаций такого перемешивания [2, 3]. Разделяется физический
и виртуальный (используемый для текущей маршрутизации) адрес хоста, а
также модель проверки нарушения политики безопасности, в результате
которой пакеты могут проходить через узлы, не имеющие доступа к данной
информации [4].
Модель перемешивания адресов
В результате изменения адресации в сети не должна нарушаться работа
легальных сервисов. Для этого каждый из узлов сети должен знать, куда
направлять пакеты в определенный момент времени. Таким образом, каждый из
узлов сети должен обладать достаточной информации для работы сервисов и
функционирования в качестве одного из хостов компании. Для распределения
динамики в системе и оповещения хостов относительно таблиц маршрутизации
мы можем выделить централизованную схему, частично централизованную
схему и децентрализованную схему управления динамикой маршрутизации в
локальной сети. Рассмотрим далее последовательно каждую из них.
Централизованная и децентрализованная схемы перемешивания адресов
В централизованной схеме все управление динамикой маршрутизации
управляется одним приложением. При этом данное приложение может быть
размещено как на одном хосте, так и распределено на нескольких хостах. Но
при этом расположенное на каждом из хостов приложение не является
самостоятельным в определении адресов и таблиц маршрутизации, а
322
руководствуется информацией из единого центра или заранее заложенными
алгоритмами динамики системы. Если понимать централизованную схему
перемешивания адресовв столь широком смысле, то, так или иначе все
примеры реализации MTD, описанные в [1-4] можно отнести к
централизованным схемам. Централизованная схема MTD приведена на рис.1а.
а)
б)
Рис.1. Централизованная и децентрализованная схема MTD.
Пример реализации централизованной схемы может заключаться в
следующем. Виртуальные IP адреса меняются по заранее заданному алгоритму,
параметром для которого является время и дата. Таким образом, каждый из
хостов в определенный момент времени знает, под каким виртуальным адресом
находится интересующий его сервис. Реализация вычисления и подмены
виртуальных адресов происходит на низких уровнях и является прозрачным
для вышестоящих приложений и сервисов.
В полностью децентрализованной схеме каждый из хостов сети участвует
в изменении адресации и таблиц маршрутизации без согласования этого с
другими хостами и с неким центром. Таблица виртуальных адресов является
общеизвестной информацией в сети и каждый из хостов участвует в ее
корректировке (рис. 1б). Предложенный вариант децентрализованной схемы
является самым безопасным из всех методов перемешивания адресов в сети. В
данном случае никто из участников обмена не может сказать, какому
реальному хосту в сети предназначается тот или иной пакет, каждый из хостов
видит только конечную таблицу адресов, но не маршрут и конечный узел
323
передачи. Данная модель перемешивания адресов на сегодняшний день еще не
была рассмотрена в публикациях по теме MTD. Для решения задачи защиты
адресации узла с защищаемой информацией в пределах ЛВС необходимо
обеспечить сегментацию сети на канальном уровне при помощи динамических
VLAN. Их идентификатор, а соответственно и метка кадра, будут определены
текущей записью, под которой произошла авторизация узла на RADIUS-
сервере. Динамическое изменение месторасположения узла относительно
других VLAN делает атаку на конкретный узел в период до смены
принадлежности сложной, поскольку злоумышленнику необходимо выполнить
одно из трех действий: получить тегированный кадр, поступивший от искомого
узла, что возможно только при подключении к порту коммутатора, входящего в
данную сеть с заменой собой его функциональности; получить доступ к БД
RADIUS-сервера, зная с алгоритмом ротации используемых учетных записей;
получить доступ к конфигурации коммутатора, обслуживающего данную сеть.
Организация защиты на сетевом и транспортных уровнях будет
осуществляться путем n-кратной ретрансляции защищаемой информации через
групповую рассылку UDP сообщений с данными, зашифрованными на ключе
узла назначения. Количество пересылок, порядок смен используемых адресов
групп и динамическая принадлежность узла к вещанию в определенной
мультикаст группе будет определяться тем же алгоритмом, что будет изменять
принадлежность
к
определенной
VLAN.
Количество
ретрансляций
определяется текущим положением узла в циклической очереди. Вывод
информации из данной сети будет производиться путем такой же отправки UDP
сообщения через последовательность узлов, но в итоге он будет адресован
клиентской группе, в которую входят авторы первоначального запроса и
последовательно каждый из узлов динамической сети. Использование
групповой рассылки с динамических мультикаст группах позволит сохранить
работоспособность узлов относительно других сетевых протоколов.
324
Работа поддержана Минобрнауки России в рамках контракта №
14.574.21.0126 от 27.11.2014 г., уникальный идентификатор проекта
RFMEFI57414X0126.
Литература
1.Jajodia, S. Moving Target Defense II. Application of Game Theory and
Adversarial Modeling. Series: Advances in Information Security, 2013 / S. Jajodia,
A.K. Ghosh, V. Swarup, C. Wang, X.S. Wang. - 203 p.
2. Carroll, T.E., Crouse, M., Fulp, E.W., Berenhaut, K.S. Analysis of network
address shuffling as a moving target defense. 2014 IEEE International Conference on
Communications, ICC 2014, Pages 701-706.
3. DeLoach, S.A., Ou, X., Zhuang, R., Zhang, S. Model-driven, moving-target
defense for enterprise network security. Dagstuhl Seminar 11481 on
Models@run.time. LNCS, 2014, Pages 137-161
4. Al-Shaer, E., Duan, Q., Jafarian, J.H. Random host mutation for moving
target defense. 8th International ICST Conference on Security and Privacy in
Communication Networks, SecureComm 2012;Volume 106 LNICS, 2013, Pages
310-327.
Султанов Т.Т., Бельгибеков Н.А.
АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ УПРАВЛЕНИЯ И
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В ВООРУЖЕННЫХ СИЛАХ
РЕСПУБЛИКИ КАЗАХСТАН
Национальный университет обороны имени Первого Президента Республики
Казахстан-Лидера Нации, г. Астана
На протяжении 40 лет интерес к автоматизированным системам
управления войсками (АСУВ) в мире и в нашей стране остается высоким. Так
по некоторым оценкам, одно воинское тактическое формирование, оснащенное
325
эффективными средствами АСУВ, равноценно трем аналогичным, не
оснащенным ими. Иными словами, одна автоматизированная бригада может
успешно противостоять трем неавтоматизированным. Это достигается за счет
повышения эффективности управления и информационного превосходства над
противником, в том числе, благодаря созданию единого информационного
пространства театра военных действий.
Внедрение автоматизированных систем управления в войсках
рассматривается, как основной инструмент повышения эффективности
управления силами и средствами в боевых условиях. Это обеспечивает
возможность сокращения армии без снижения ее боеспособности. Сегодня
АСУВ и оружием технологически представляют собой глубокую интеграцию в
единую систему различных передовых разработок военной индустрии, включая
современные высокопроизводительные и отказоустойчивые вычислительные
комплексы, широкополосные средства радиосвязи, средства видеонаблюдения
и целеуказания, средства ориентирования на местности и электронную
картографию, системы поддержки принятия решения и другие системы, как
информационного обеспечения и реализации «цифрового поля боя», так и
комплексов управления огнем[1].
Задачами АСУВ являются информационное взаимодействие и управление
входящими в нее подсистемами, а также предоставление интерфейса для
взаимодействующих систем. Насколько эффективны такие механизмы, как раз
и определяет качество АСУВ. Причем важна не только массовость
структурного включения систем в состав АСУВ, но и уровень их интеграции в
составе единого информационно-ударного комплекса. Это определяет
качественный переход «железной массы» (бронетехники, авиации) и живой
силы, разбросанных по полю боя и легко уничтожаемых поодиночке, в
высокоманевренный единый механизм с высокой живучестью и увеличенным
боевым потенциалом за счет резкого повышения эффективности управления.
326
Вне зависимости, кто дает целеуказания для нанесения огневого удара:
передовой авианаводчик, оператор беспилотного летательного аппарата, вне
зависимости, какие средства нанесения удара при этом будут задействованы:
ракетные системы залпового огня или системы высокоточного оружия, в
любом случае, система управления обеспечит эффективное поражение сил и
средств противника, причем оптимальным образом с исключением удара по
своим
подразделениям.
Интеллектуальная
система
перепроверит,
проанализирует всю имеющуюся информацию иногда, на первый взгляд,
напрямую не связанную с решением, но косвенно дающую дополнительные
основания при оценке обстановки. Критерии эффективности включают не
только вероятность поражения объектов противника, но и такие как
минимизацию демаскирующих признаков средств разведки или огневого
поражения. Все новейшие технологии ведения вооруженной борьбы,
сетецентрические, войны шестого поколения, бесконтактные и прочие,
используют концепцию АСУВ.
Все более широкое внедрение информационных технологий является
сегодня общемировым явлением. Оно наблюдается практически во всех сферах
человеческой деятельности, в том числе - и в военной. Деятельность
вооруженных сил характеризуется специфичными, особо жесткими
требованиями к работе с информацией и к средствам, эту работу реализующим.
Пожалуй, ни в одной другой сфере деятельности, кроме военной, информация с
древних времен не воспринималась как ключевой фактор обеспечения самого
существования, сохранения жизни государства, с одной стороны, и подавления,
уничтожения противника - с другой.
Анализ современного мирового опыта показывает, что успешное
проведение военных операций требует своевременного комплексного
информационного обеспечения боевых действий, что уже невозможно без
современных
информационных
технологий.
Сегодня
последствия
неэффективной работы с информацией - это потери личного состава,
327
вооружения, военной техники, которые в значительной мере предопределяют
победу или поражение. Причем очень быстро и бесспорно.
Многие военные аналитики считают, что широкое применение
современных информационных технологий привело к революции в военном
деле. Обычно в качестве примера рассматривают войны последних лет,
которые проводили США. Например, за счет применения информационных
технологий войска США в Ираке в 1991 приобрели боевой потенциал, втрое
превышающий боевой потенциал обычных частей. Информационные
технологии обеспечили сокращение среднего времени подлета и подготовки к
атаке ударных вертолетов с 26 до 18 минут и увеличение процента поражения
целей противотанковыми управляемыми ракетами с 55% до 93%. Обработка и
передача донесений в вышестоящие штабы в звене «рота-батальон»
сократилась с 9 до 5 минут, вероятность дублирования телеграмм снизилась с
30% до 4%, передачи подтверждающей информации по телефонным линиям - с
98% до 22% [2].
Современные цифровые устройства позволяют успешно реализовывать
тенденцию максимального сжатия цикла управления в цепочке «обнаружение -
распознавание - наведение – поражение». Пространство боя насыщается
«умными» боевыми системами, роботами, высокоточным оружием, системами
спутниковой связи, электронными картами, средствами позиционирования и
навигации. Сегодня существуют образцы вооружения, которые в принципе не
способны функционировать без контроля компьютеров.
Вместо ставки на огневую мощь на первое место выйдет ставка на
своевременную, точную и качественную информацию. Вместо массирования
сил и средств - сосредоточение результатов, когда несколько разнесенных в
пространстве
средств
поражения
обеспечивают
синхронизированное
воздействие на противника. Девизом армии вместо«Самые большие пушки»
должен стать «Самые умные системы».
328
Разведка, анализ, принятие решения, доведение его до средств поражения
должны выполняться в реальном времени с минимальными временными
затратами. Вероятно, на смену большим скоплениям техники и солдат, пробкам
на дорогах и неповоротливой логистике должны прийти малочисленные,
маневренные, оснащенные передовыми информационными технологиями
подразделения, способные дистанционно управлять роботизированными
огневыми средствами. В обязательном порядке - надежные защищенные
бесшовные коммуникации, абсолютно прозрачные для всех абонентов,
способные качественно функционировать в широком диапазоне внешних
условий.С другой стороны, реалиями нашего времени стало возникновение
виртуальных сетевых организаций, в том числе - террористических. Это новые
вызовы, с которыми современному обществу еще только предстоит научиться
бороться. В том числе - и в кибернетической сфере [3].
В 2014 году группой ведущих ученых РОО«Академия военных наук» -
создан Военно-технический Консорциум,который объединил более 20 научных,
образовательных, научно-технических учреждений и производственных
предприятий. Среди которых: Национальный университет обороны имени
Первого Президента Республики Казахстан - Лидера Нации, КазНУим.аль-
Фараби, Казахская авиационная индустрия, Национальный центр космических
информационных технологий,Институт информационных и вычислительных
технологий и другие. На сегодняшний день обозначен круг актуальнейших
научных задач прикладного характера - это такие направления, как,
информационная безопасность, высокоточное оружие и автоматизированные
системы управления. В этом направлении и должнадвигаться научная мысль
казахстанских ученых. Эти и другие аналогичные исследования позволят
готовить не только научно-технический резерв для оборонно-промышленного
комплекса, но и создавать свои отечественные научно-технические школы,
способные поднять военную науку Казахстана на качественно новый уровень.
Главной задачей является объединение гражданского и военного секторов
329
науки, тем самым способствовать развитию передовой научной мысли и ее
использовании в обеспечении безопасности государства.
Информатизация военной сферы, широкое внедрение IТ на сегодня
рассматриваются, как одно из важнейших направлений повышения
боеспособности вооруженных сил. Применение информационных технологий
вызывает революционные преобразования, приводит к смене системы
ценностей и приоритетов, которые еще только предстоит осознать и
сформировать.
Кибернетическое
виртуальное
пространство
начинает
рассматриваться, как дополнительное измерение боевого пространства, и здесь
РК имеет хорошие шансы достойно выглядеть на мировом рынке военных
информационных технологий.
Литература
1. Паршин С.А., Горбачев Ю.Е., Кожанов Ю.А. Кибервойны - реальная
угроза национальной безопасности. М.: Изд-во КРАСАНД, 2011. 96 с.;
2. Бородакий Ю.В., Лободинский Ю.Г. Эволюция информационных
систем - М.: Горячая линия – Телеком, 2011. 368 с.;
3. Медин А., Маринин А. Особенности применения киберсредств в
межгосударственных военных и во внутреннихконфликтах // Зарубежное
военное обозрение. 2013. № 3. C.
Ташатов Н.Н., Сатыбалдина Д.Ж., Мишин В.А., Исайнова А.Н.
ОПТИМИЗАЦИЯ ПАРАМЕТРОВ РАБОТЫ КАСКАДНЫХ СХЕМ НА
ОСНОВЕ МНОГОПОРОГОВЫХ ДЕКОДЕРОВ НЕДВОИЧНЫХ
СВЕРТОЧНЫХ КОДОВ
Евразийский национальный университет, Астана, РК
Сверточные коды получили широкое распространение во многих
радиосистемах передачи информации, таких как системы спутниковой и
330
сотовой связи, системы цифрового телевидения и радиовещания (в том числе и
спутниковые), системы радиосвязи с подвижными объектами и другие системы,
основной особенностью которых является работа в каналах связи с низкими
энергетическими характеристиками и энергетическими характеристиками,
непостоянными во времени [1].
Большое многообразие систем передачи информации, использующих
сверточные коды, ставит вопрос о разработке методов их декодирования,
обеспечивающих
высокие
характеристики
по
помехоустойчивости,
быстродействию и сложности реализации.
Алгоритм многопорогового декодирования (МПД) для сверточных
кодов [2,3] является развитием простейшего порогового декодера Месси [4]. В
основе алгоритма МПД лежит итеративное декодирование, что позволяет
вплотную приблизиться к решению оптимального декодера в достаточно
широком диапазоне кодовых скоростей и уровней шума в канале. Высокие
характеристики МПД способствуют его широкому применению в составе
различных каскадных конструкций, поскольку эффективность последних
непосредственно связана с эффективностью их составных элементов [5-9].
В настоящее время специалисты в области помехоустойчивого
кодирования проявляют большой интерес к недвоичным кодам, работающим с
цифровыми данными на уровне символов, например, с байтами информации.
Недвоичные коды применяются в каналах с группирующимися ошибками, в
качестве составляющих элементов различных каскадных кодов, для защиты от
ошибок информации на различного рода носителях (CD, DVD, Blu-ray и др.),
для коррекции ошибок беспроводных каналах связи и в электронных массивах
данных [3].
Целью настоящей работы является разработка алгоритмов и
программная
реализация
новых
каскадных
схем
многопорогового
декодирования недвоичных сверточных кодов с возможностью анализа
эффективности существующих и разработанных методов исправления ошибок.
331
Для достижения поставленной цели реализован программный комплекс (ПК),
который позволяет моделировать каскады недвоичных кодеров и декодеров.
Разработанный ПК удовлетворяет нескольким требованиям:
–
возможность использования неограниченного количества элементов
каскада;
–
возможность задания настроек алгоритмов, используемых в системе
(длина регистра, точки съема);
–
возможность повторного использования созданных схем;
–
хранение и воспроизведение результатов работы схем для анализа
эффективности;
–
анализ и сравнение эффективности каскадных схем, их скорости работы.
ПК был реализован как многофункциональная информационная
система, обеспечивающая автоматизацию процесса кодирования недвоичных
данных, генерирование и внесение ошибок в пакет данных и декодирования
сверточных самоортогональных кодов .
Целевыми показателями ПК по производительности являются:
–
скорость кодирования данных;
–
скорость декодирования данных;
–
производительность системы не должна уменьшаться при различных
входных данных, но одинаковых настройках (параметрах) системы.
–
программный
продукт
должен
поддерживать
возможность
распараллеливания обработки данных;
–
локализация программы на два языка в целях создания публикаций в
иностранных изданиях.
ПК является модульным, чтобы обеспечить определенную стартовую
конфигурацию и иметь дальнейшую возможность поэтапного развития на более
поздних этапах. Также должна быть возможность настраивать ПК под новые
данные, редактировать число порогов и менять прочие настройки, влияющие
как на эффективность, так и скорость обработки данных.
332
Архитектурно ПК реализован в десктопном варианте с возможностью
портативного использования на флеш-носителях. Для хранения расчетных
данных применяется no-sql вариант базы данных в виде файлов
структурированных данных для возможности быстрого портирования настроек
и очистки имеющихся неактуальных результатов.
Для повышения производительности каскадной схемы на основе
многопорогового декодера недвоичных кодов необходимо подобрать
оптимальные параметры. Основные параметры, доступные для настройки:
– количество кодеров в каскаде;
– длины регистра кодеров;
– точки съема регистров.
Для достижения высоких характеристик декодирования была избрана
следующая тактика моделирования:
– выявление оптимальных параметров отдельных сверточных кодеров,
так как декодер сверточного кода содержит кодер, необходимый для
вычисления синдрома кода;
– конкатенация нескольких кодеров из числа оптимизированных на
первом этапе;
– определение оптимального числа кодеров в каскаде в интересах
повышения достоверности информации без потери быстродействия.
Для решения первой задачи был разработан программный модуль,
реализующий перебор возможных комбинаций длины регистра сверточного
кодера и вариации точек съема в регистре, процессы кодирования, внесения
искажений и декодирования с целью коррекции ошибок, анализ эффективности
разработанных методов исправления с автоматическим построением графиков.
Для создания приложения использовалась технология визуального и объектно-
ориентированного программирования на платформе .NET Framework (Microsoft
Visual Studio Professional 2012). Исходный кода написан на языке высокого
уровня C#. Реализованы возможности изменения параметров оптимизации
333
(начальное количество ошибок, веса проверок разностного регистра на каждом
пороговогом элементе, величины порогов и т.д.).
На рисунках 1 и 2 представлена результаты имитационного моделирования
для двух сверточных кодеров в виде зависимости вероятности ошибки на бит
Pb(e) алгоритмов декодирования в традиционном виде как функции от уровня
битовой энергетики канала, т. е. его уровня шума. Кривая 1 для вероятности
ошибки (P
0
) в канале без декодирования, кривая 2 отображает результаты
работы МПД, для сверточного кодера с оптимизированными параметрами.
Если сравнить результаты на рисунке 1, то можно сделать вывод, что данный
кодер обеспечивает одинаковую вероятность ошибки без декодирования на
уровне мощности канала связи в 10Дб, в то время как декодер обеспечивает
снижение вероятности ошибки до этого же уровня уже на мощности канала в 8
Дб.
Рисунок 1 – Характеристики МПД на основе кодера с длиной регистра 81 и
точками съема {0, 1, 3, 7, 15, 24, 35, 40}
На рисунке 2 показаны результаты декодирования для двух кодеров (с
длинами регистра 81 и 223, точками съема {0, 1, 3, 7, 15, 24, 35, 40} и {0, 1, 3, 7,
334
12, 25, 35, 51, 65, 82, 103, 111}, соответственно), что позволяет сопоставить и
сравнить их характеристики. Как видно, характеристики по эффективности
декодирования для второго кодера во многом сходятся, значения
энергетического выигрыша кодирования и вероятности появления ошибки двух
этих кодеров практически идентичны.
Скорость обработки данных у первого декодера значительно выше и
составляет 366 Мб/сек, а скорость декодирования во втором случае – 255
Мб/сек. Объясняется это тем, что оба они имеют разную длину регистров,
соответственно в регистрах с большей длиной происходит больше проверок в
пороговом элементе. Таким образом, показано, что для ускорения процесса
каскадного кодирования следует выбирать кодеры с минимальной длиной, но
без потери эффективности кодирования.
Рисунок 2 – Характеристики МПД на основе кодера с длиной регистра 223 и
точками съема {0, 1, 3, 7, 12, 25, 35, 51, 65, 82, 103, 111}
На втором этапе были исследованы характеристики каскадной кодовой
конструкции, состоящей из последовательности двух выбранных недвоичных
сверточных декодеров.
335
На рисунке 3 представлены данные имитационного моделирования и все
параметры предложенной схемы.
Как видно из рисунка 3, за счет конкатенации двух кодеров и двух
декодеров энергетический выигрыш кодирования составляет около 3Дб.
Полученный энергетический выигрыш кодирования доказывает, что
использование кодеров подобного рода позволит добиться максимальной
достоверности информации при передаче по каналу с шумом, а также
экономию энергии при передаче на 40%.
Рисунок 3 – Параметры каскадной конструкции и характеристики
декодирования
336
Разработанный программный комплекс применяется в Евразийском
национальном университете им. Л.Н. Гумилева для научно-исследовательских
и учебных целей.
Работа выполнена при финансовой поддержке Комитета науки МОН
Республики Казахстан (договор №534 от 7 апреля 2015г., приоритет
«Информационные и телекоммуникационные технологии»).
Достарыңызбен бөлісу: |