Логіко-ймовірнісний підхід до побудови захищених інформаційно- комунікаційних систем
DSpace at NTB NTUU KPI
Переглянути архів Інформація| Поле | Співвідношення | |
| Title |
Логіко-ймовірнісний підхід до побудови захищених інформаційно- комунікаційних систем
|
|
| Creator |
Родіонов, Андрій Миколайович
|
|
| Description |
Дисертація на здобуття наукового ступеня кандидата технічних наук за спеціальністю 05.13.21 – Системи захисту інформації. Національний технічний університет України “Київський політехнічний інститут”. Київ, 2011. Дисертаційна робот присвячена розробці логіко-ймовірнісного підходу до побудови захищених інформаційно-комунікаційних систем (ІКС), який враховує топологію мережі ІКС, джерела загроз та об’єкти атак, а також механізми захисту. Спочатку будується комплексна модель загроз та функція ймовірності успішності атаки. З використанням топології мережі, джерел загроз та об’єктів атак визначаються можливі сценарії атак, які може реалізувати зловмисник. Припускається, що для успішної атаки зловмисник має послідовно захопити усі проміжні об’єкти, які належать відповідному сценарію атак. Таким чином, кожен зі сценаріїв атак може бути представлено у вигляді функції алгебри логіки. З урахуванням усіх джерел загроз та об’єктів атак записується функція алгебри логіки для всієї системи. З використанням логіко-ймовірнісного методу може бути обчислена ймовірність істинності функції алгебри логіки, яка називається функцією ймовірності успішності атаки. Отримана функція ймовірності успішності атаки дозволяє визначати рівень захищеності ІКС з урахуванням топології мережі. Досліджено структуру та властивості функції ймовірності успішності атаки і показано, що її можна використати у якості критерію під час побудови безпечної топології мережі ІКС, а також для оптимального розміщення механізмів захисту. На основі наведених у роботі методів, моделей та алгоритмів запропоновано логіко-ймовірнісний підхід для побудови захищених ІКС, а також розроблено відповідний програмний модуль аналізу та проектування захищених ІКС. Диссертация на соискание ученой степени кандидата технических наук по специальности 05.13.21 – Системы защиты информации. Национальный технический университет Украины "Киевский политехнический институт". Киев, 2011. Диссертационная работа посвящена разработке логико-вероятностного подхода к построению защищенных информационно-коммуникационных систем (ИКС), который состоит в объединении совокупности моделей, методов и алгоритмов, которые отличаются комплексным учетом структуры ИКС, источников и объектов атак, вероятностей захвата объектов, а также механизмов защиты. В первом разделе анализируется современные методы и подходы к оценке уровня защищенности информационных систем и построению защищенных ИКС. Делается вывод о необходимости развития методов для оценки уровня защищенности указанного класса систем, учитывающих топологию сети, размещение в ней источников и объектов атак. Во втором разделе разработана комплексная модели угроз на ИКС и функция вероятности успешности атаки. Комплексная модель угроз строиться на основе логической топологии сети, с учетом источников и объектов атак и представляется в виде графа атак. На основе графа атак записываются сценарии атак, которые состоят из последовательности объектов ИКС, которые необходимо захватить злоумышленнику чтобы получить доступ к объекту (цели) атаки. Далее сценарии атак и граф атак записываются в виде функции алгебры логики, где захват/не захват объекта ИКС представляются в виде булевых переменных. С использованием логико- вероятностного метода, разработанного академиком И.А. Рябининым для анализа надежности и безопасности структурно-сложных систем, осуществляется переход от логических переменных функции алгебры логики к их вероятностным значениям. Полученная в итоге функция - функция вероятности успешности атаки - отображает вероятность успешной реализации хотя бы одного из сценариев атак. Таким образом, данная функция, построенная с учетом топологии сети и вероятностей захвата объектов ИКС, позволяет моделировать развитие атаки от источников атак к объектам атаки, а также оценивать вероятность успешности атак. Исследованы свойства функции вероятности успешности атаки и доказано, что она не возрастает при удалении одного или нескольких ребер из графа атак, а также, при фиксированной топологии сети, является монотонно возрастающей по каждой из своих переменных. На основе анализа и вычислительных экспериментов показано, что построенная функция вероятности успешности атаки соответствует комплексной модели угроз, а также адекватно отражает поведение ИКС с точки зрения практических соображений. Также приводится процедура построение функции вероятности успешности атаки. Показано, что на основе функции вероятности успешности атаки может быть вычислено влияние защищенности объектов системы на общую защищенность ИКС - структурная значимость объектов системы. В третьем разделе диссертационной работы впервые предложен метод построения безопасной топологии сети с учетом требований функциональной связанности сервисов ИКС и сегментации сети, который базируется на выборе топологии сети с минимальным значением функции вероятности успешности атаки. Задача построения безопасной топологии сети формулируется как распределение объектов системы по определенным сегментам сети с учетом требований к их связанности между собой так, чтобы обеспечить минимум функции вероятности успешности атаки. На основе вычислительного эксперимента показана работоспособность разработанного подхода к построению безопасной топологии ИКС. В четвертой главе диссертационной работы приведен метод оптимального размещения механизмов защиты в ИКС с функцией вероятности успешности атаки в качестве целевого функционала, который позволяет учесть размещение механизмов защиты и топологию сети. Также, на основе метода последовательного анализа вариантов, разработан алгоритм для решения задачи оптимального размещения механизмов защиты. На основе вычислительных экспериментов показана сходимость алгоритма, а также соответствие полученных результатов практическим соображениям. В пятом разделе на основе разработанных в работе моделей и методов предложен логико- вероятностный подход к построению защищенных ИКС. Данный подход базируется на методиках построения защищенных ИКС, определенных нормативными документами системы технической защиты информации Украины, а также этапах создание автоматизированных систем и построения корпоративных сетей. Приводятся пример и результаты практического использования логико-вероятностного подхода к построению защищенных ИКС. На основе предложенных в работе моделей методов и алгоритмов разработан программный модуля анализа и проектирования защищенных ИКС. Данный программный модуль был использован в рамках государственной экспертизы ИКС Государственного комитета финансового мониторинга Украины для определения уровня защищенности системы, ранжирование объектов и анализа топологии. Ранжирование объектов по уровню их значимости для безопасности системы позволило сократить длительность проведения экспертизы примерно на 30%. По результатам анализа топологии было предложено внести изменения в топологии ИКС, которые позволят снизить вероятность успешности атаки на ИКС в 1,7 раза. Thesis for Ph.D. degree in the specialty 05.13.21 - Information security systems. National Technical University of Ukraine "Kyiv Polytechnic Institute". Kyiv, 2011. This thesis is dedicated to research and development of methods, models and algorithms for security effectiveness calculation in information systems and developing protected systems. These methods take into account topology of the network, attack sources and attack targets. On the first step a comprehensive threat model and probability function are constructed. Using network topology we build a set of ways from attack sources to attack targets – attack scenarios. One or several (or all) of these attack scenarios might be used by an intruder to attack target services. To reach the attack target the intruder has to take control on the services (hosts) that belong to the attack scenario. Every attack scenario can be represented as a logical function. Taking into account all the attack sources and attack targets a logical function for the whole system is build. Using special logicalprobabilistic method we evaluate probability of the logical function being true. This probability function allows calculating security effectiveness subject to the network topology. Then secure topology of information system is chosen, using probability function as a criteria. Also probability function is modified to take into account defence mechanisms. Based on this a method is developed for optimal security devices placement in the network. Based on proposed methods, models and algorithms logical-probabilistic approach for construction protected systems is proposed. Also special software for calculating security effectiveness, building secure network topology and optimal security devices placement is developed. |
|
| Publisher |
НТУУ "КПІ"
|
|
| Date |
2011-06-06T12:49:14Z
2011-06-06T12:49:14Z 2011 |
|
| Type |
Thesis
|
|
| Identifier |
http://library.kpi.ua:8080/handle/123456789/889
|
|
| Language |
uk
|
|