Электронная библиотека Веда
Цели библиотеки
Скачать бесплатно
Доставка литературы
Доставка диссертаций
Размещение литературы
Контактные данные
Я ищу:
Библиотечный каталог российских и украинских диссертаций

Вы находитесь:
Диссертационные работы России
Технические науки
Автоматизированные системы управления и прогрессивные информационные технологии

Диссертационная работа:

Монахов Юрий Михайлович. Модели обнаружения аномального функционирования информационно-вычислительной среды интегрированных АСУ : диссертация ... кандидата технических наук : 05.13.06 / Монахов Юрий Михайлович; [Место защиты: Владимир. гос. ун-т].- Владимир, 2009.- 129 с.: ил. РГБ ОД, 61 09-5/2204

смотреть содержание
смотреть введение
Содержание к работе:

СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ 4

ВВЕДЕНИЕ 5

Глава 1. СОВРЕМЕННОЕ СОСТОЯНИЕ ЗАЩИТЫ ИНФОРМАЦИОННОГО ОБЕСПЕЧЕНИЯ КОРПОРАТИВНЫХ АСУ.

АНАЛИЗ ОБЪЕКТА ИССЛЕДОВАНИЯ 12

  1. Корпоративная автоматизированная система управления 13

  2. Причины аномальной работы КАСУ и проблема защита

информации 19

  1. Способы обнаружения DoS-атак в КРИВС 26

  2. Проблема обнаружения вредоносной программы в КРИВС 32

  3. Уточнение задачи исследования 33

Выводы к главе 1 34

Глава 2. ИССЛЕДОВАНИЕ И РАЗРАБОТКА МАТЕМАТИЧЕСКИХ МОДЕЛЕЙ РАСПРОСТРАНЕНИЯ ВРЕДОНОСНЫХ

ПРОГРАММ В КРИВС 3 6

2.1. Модели распространения вредоносных программ на основе

эпидемиологического подхода 37

2.2. Анализ влияния топологии КРИВС на модели распростране-

ния вредоносных программ 45

2.3. Экспериментальное исследование моделей распространения

вредоносных программ 48

Выводы к главе 2 55

Глава 3. ИССЛЕДОВАНИЕ И РАЗРАБОТКА МОДЕЛЕЙ И АЛГО
РИТМОВ ОБНАРУЖЕНИЯ РАСПРЕДЕЛЕННЫХ DOS-АТАК
НА ОСНОВЕ ХАОТИЧЕСКИХ СВОЙСТВ СЕТЕВОГО ТРА
ФИКА 56

3.1. Математическая модель самоподобного процесса 57

  1. Математическая модель самоподобного процесса 57

  2. Моделирование распределенной атаки в КРИВС 62

  3. Алгоритм предсказания DDoS-атаки на основе FARIMA - мо-

дели агрегированного трафика КРИВС 75

Выводы к главе 3 79

Глава 4. РАЗРАБОТКА И АПРОБИРОВАНИЕ АВТОМАТИЗИРО
ВАННОЙ СИСТЕМЫ РАННЕГО ОБНАРУЖЕНИЯ ИНФОР
МАЦИОННЫХ АТАК В КРИВС 80

  1. Математическая модель системы обнаружения ВП 81

  2. Структурная модель автоматизированной системы раннего об-

наружения информационных атак 84

  1. Предлагаемые методы защиты 88

  2. Особенности практического внедрения автоматизированной

системы раннего обнаружения информационных атак 90

Выводы к главе 4 103

ЗАКЛЮЧЕНИЕ 104

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ 106

ПРИЛОЖЕНИЕ. Акты внедрения результатов

диссертационной работы 126

СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ

АКФ - автокорреляционная функция

ВП - вредоносная программа

ИВС - информационно-вычислительная сеть

КРРЇВС - корпоративная распределённая информационно-вычислительная среда

МВС - монитор входящего сканирования

МЗ - механизм защиты

МИС - монитор исходящего сканирования

МРВП - модель распространения вредоносных программ

МЭ - межсетевой экран

НСД - несанкционированный доступ

СОА — система обнаружения атак

СЗИ — система защиты информации

СПД - сеть передачи данных

ЦОД - центр обработки данных

ЦП - центр предупреждения

ЭУИРВП - экспериментальная установка исследования распространения вредоносных программ

ARMA - (Auto-Regressive Moving Average) - авторегрессивная (модель) со скользящим средним

AVM - (Aggregated Variance Method) - метод агрегированной дисперсии

DoS - (Denial of Service) - отказ в обслуживании

FARIMA - (Fractional Auto-Regressive Integrated Moving Average) - дробно-разностная агрегированная авторегрессивная (модель) со скользящим средним

IDS - (Intrusion Detection System) - система обнаружения вторжений

Введение к работе:

Актуальность темы. Совершенствование процессов взаимодействия АСУП и АСУТП предприятии, порождает проблему обеспечения защиты информационною обеспечения интегрированной АСУ. Одной из составляющих этого является обнаружение аномалий в работе корпоративной распределенной информационно-вычислительной среды (КРИВС).

Существенными факторами аномального функционирования КРИВС являются DDoS-агаки («отказ в обслуживании») и вредоносные программы (НИ -черви, трояны, вирусы). Именно они даже с современной системой зашиты способны полностью блокировать работу КРИВС. и соответственно АСУ. Способы реализации DDoS-атак весьма разнообразны и постоянно расширяются. ВП способны физически уничтожить информационные и вычислительные ресурсы. До сих пор остается нерешенной проблема прогнозирования катастрофических ситуаций в КРИВС. связанных с информационными атаками.

Частично проблема решается системами обнаружения атак как составной частью комплексной системы зашиты информации АСУ. Но все известные решения в лучшем случае лишь фиксируют факт свершившейся атаки, нет механизмов предсказания ее появления и динамики распространения но компонентам КРИВС. Адекватная модель распространении ВП будет способствовать лучшему пониманию процессов тотального поражения КРИВС. позволит предсказать зарождение катастрофической ситуации, а. значит, выработать необходимое противодействие.

Известные модели распространения ВП не учитывают ряд факторов, имеющих место в КРИВС. например, сильную зависимость от маршрутной таблицы, сменяемость скорости поражения в связи с выходом из строя роутеров или динамическое противодействие системных средств и пользователей. Формальные методы обнаружения и предсказания DDoS-атак практически отсутствуют для широкого использования в реальных АСУ.

Таким образом, исследования, направленные на опережающее создание моделей и алгоритмов раннего обнаружения и предсказания аномального функционирования КРИВС. связанного С информационными атаками, актуальны и имеют практическое значение в решении проблемы защиты информационного обеспечения АСУ предприятий.

Объект исследовании - распределенная информационно - вычислительная среда интегрированной АСУ промышленного предприятия.

Цель работы - повышение ташишенноети информационного обеспечения распределённой информационно-вычислительной среды интегрированной АСУ путём разработки, исследования и практической реализации новых моделей и алгоритмов обнаружения и предсказания ее аномального функционирования в условиях несанкционированных информационных воздействий.

Для достижения поставленной цели в работе решены следующие задача:

  1. Проанализированы факторы, вычываюшие аномальное функционирование распределенной информационно-вычислительной среды интегрированных АСУ промышленных предприятий, выявлены современные подходы к автоматизации их обнаружения.

  2. Разработаны модели распространения вредоносных программ к распределенной информационно-вычислительной среде интегрированных АСУ.

  3. Разработана методика раннего обнаружения DDoS-агаки в распределенной информационно - вычислительной среде интегрированных АСУ.

  4. Разработаны инструментальные средства автоматизации процессом исследования предложенных моделей и алгоритмов.

  5. Проведён анализ эффективное ти предложенных механизмов в системах защиты информации корпоративных АСУ.

В ходе решения перечисленных задач использовались следующие методы исследования: анализ структур и процессов функционирования КРИВС предприятий, моделирование и синтез оптимальных процедур управления и обработки информации. І Іаучньїс положения, выводы и рекомендации, сформулированные в диссертации, теоретически обосновываются с помощью аппарата теории вероятностен, теории графов, теории нелинейных динамических систем. При проектировании программных сисгем применен объектно-ориентированный подход.

Научные результаты, выносимые па защиту:

модели распространения вредоносных программ, учитывающие системные характеристики КРИВО' и параметры ВП, позволяющие прогнозировать тотальную эпидемию в системе;

модель DDoS-атаки, позволяющая воспроизводить несанкционированные информационные воздействия в распределенной вычислительной среде;

методика предсказания DDoS-атаки на основе FARlMA-модели агрегированного трафика КРИВС;

структурная модель автоматизированной системы раннего обнаружения информационных атак в КРИВС с иерархической конфигурацией взаимодействия мониторов входящего и исходящего трафика.

Научная павы sua работы:

1. Разработано семейство аналитических и программных моделей распро
странения вредоносных программ, учитывающих системные характеристики
КРИВС и параметры ВП. позволяющие оперативно прогнозировать тотальную
эпидемию в АСУ.

2. Предложена методика раннего обнаружения аномального поведения
КРИВС, вызванною начавшейся DDoS-атакой. включающая:

математическую модель DDoS-атаки на КРИВС;

- алгоритм предсказания DDoS-атаки на основе FARIMA-молели актиро
ванного трафика КРИВС;

- программное обеспечение, позволяющее автоматизировать процессы вычисления характеристик вредоносного сетевого потока.

3. Синтезированы модели и механизмы функционирования автоматизиро-ванной системы обнаружения вредоносного программного обеспечения в КРИВС. включающие:

- математическую модель принятия решений но обнаружению информаци
онных атак в КРИВС;

- структурную модель автоматизированной системы раннего обнаружения
информационных атак в КРИВС.

Практическая ценность работы заключается в следующем:

  1. Разработан лабораторный макет КРИВС. включающий аппаратные и программные средства и позволяющий выполнять лабораторные эксперименты с распространением вредоносных программ.

  2. Разработано программное обеспечение, позволяющее

выполнять симуляцию моделей распространения вредоносных программ в распределенной вычислительной среде;

моделировать в КРИВС сетевой трафик в условиях DDoS-атак. вычислять параметры хаотического самоподобного процесса вредоносного сетевого потока.

3. Разработана структура автоматизированной системы раннего обнаруже
ния информационных атак в КРИВС.

Реализация результатов работы. Исследования и практические разработки, выполненные в диссертационной работе, являются частью научно-исследовательских работ, выполненных Владимирским государственным университетом: г/б НИР 396/03 «Исследование и разработка методов повышения эффективности распределенных управляющих сисгем»: х/д НИР №3701'08, № 3744/08 «Разработка ведомственных информационных систем администрации Владимирской области»: №ДУ 55/08 «Развитие сети передачи данных администрации Владимирской области».

Результаты исследований и их практической проработки были внедрены в АСУ ОАО «Завод «Электроприбор»» Г.Владимир. АСУ НПП «Иипроком» г.Балакиреве, СПД Администрации Владимирской области, в учебном процессе во Владимирском государственном университете.

Апробация работы. Основные положения диссертационной работы докладывались на: 1 и 11 Международной научно-практической конференции .(Современные информационные технологии в образовательном процессе и научных исследованиях» (Шуя. 2004. 2007); Международной научно-технической конференции «Автоматизированная подготовка машиностроительного производства, технология и надежность машин, приборов и оборудования» (Вологда. 2005); XIX. XX и XXI Международных научных конференциях «Математические методы в технике и технологиях» (Воронеж. 2006. Ярославль, 2007. Саратов. 2008).

экспонировались на межрегиональных выставках «Информационные технологии» и «Электронная губерния» (Владимир, 2005. 2006, 20071.

Пу6ликации._ Основные положения диссертационной работы отражены в 15 публикациях- включая в рекомендуемых ВАК изданиях.

Структура и объем диссертационной работы. Диссертация состоит и < введения, четырех і лав, заключения, списка использованной литературы из 222 наименовании, приложении и содержит 126 страниц основною текста, иллюстрированного ^ I рисунком.


© Научная электронная библиотека «Веда», 2003-2013.
info@lib.ua-ru.net