Анализ средств построения динамически масштабируемых ВС. Разработка алгоритма, обеспечивающего устойчивость функционирования информационно-вычислительных сетей в условиях воздействий компьютерных атак, использующих фрагментированные пакеты сообщений.
Аннотация к работе
В настоящее время мир стоит на пути перехода к информационному обществу, в котором производство и потребление информации являются важнейшим видом деятельности, информация признается наиболее значимым ресурсом, а информационная среда наряду с социальной и экологической становится новой средой обитания человека. Современный этап развития (ВС) предполагает их цифровизацию, интеграцию и глобализацию, которые приводят к неизбежности применения широкого диапазона открытых протоколов информационного обмена (сетевого взаимодействия), а также технологий и оборудования преимущественно иностранных разработок (в том числе и средств защиты), имеющих уязвимости и недекларированные возможности. В то же время существующие методы и средства защиты предполагают лишь разграничение доступа и обнаружение вторжений в локальные сегменты сетей, т. е. осуществляется попытка установить границы на уровне локальных сегментов, а информация о построении и развитии ВС остается незащищенной в виду незащищенности технологической информации (информации развития) ВС и отображения процессов ее обработки на информационном поле противодействующей стороны. Несмотря на значительные результаты теоретических и прикладных исследований в области защиты информации в информационно-вычислительных системах, в частности криптографическими методами, резервированием, методами контроля межсетевого взаимодействия и т. п., недостаточно проработанной остается проблема защиты распределенных ВС, использующих сети связи общего пользования. В связи с разновидностью сетей, промежуточный канал может иметь различные MTU, максимальный размер фрейма, который может быть передан, и для того, что IP-пакеты могли передавать по сетям любых типов, предусмотрена фрагментация, которая при необходимости передать пакет в следующую сеть разбивает слишком длинные для конкретного типа составляющей сети сообщения на более короткие пакеты с созданием соответствующих служебных полей, нужных для последующей сборки фрагментов в исходное сообщение.Если же пакет, помеченный как не фрагментируемый, не может достигнуть получателя без фрагментации, то этот пакет просто уничтожается, а узлу-отправителю посылается соответствующее ICMP-сообщение. Модуль протокола IP, отправляющий неразбитый на фрагменты пакет, устанавливает в нуль флаг «more fragments» и смещение во фрагменте. Процесс фрагментации может изменить значения данных, расположенных в поле параметров, и значение контрольной суммы заголовка, изменить значение флага «more fragments» и смещение фрагмента, изменить длину IP-заголовка и общую длину пакета, В заголовок каждого пакета заносятся соответствующие значения в поле смещения «fragment offset», а в поле общей длины пакета помещается длина каждого пакета. Пусть компьютер 1 связан с сетью, имеющей значение MTU в 4096 байт, например с сетью FDDI, При поступлении на IP-уровень компьютера 1 сообщения от транспортного уровня размером в 5600 байт протокол IP делит его на два IP-пакета, устанавливая в первом пакете признак фрагментации и присваивая пакету уникальный идентификатор, например 486, В первом пакете величина поля смещения равна 0, а во втором - 2800. Поскольку фильтрация подразумевает под собой пропуск в сеть одних пакетов, и блокировку других, то при фрагментации в сеть смогут попасть только те фрагменты, которые не содержат заголовков блокируемых пакетов (tcp, udp или icmp), так как защищающее сеть устройство фильтрации неспособно анализировать состояние поля заголовка.Разработан алгоритм, обеспечивающий повышение устойчивости функционирования ИВС в условиях воздействий компьютерных атак, использующих фрагментированные пакеты сообщений за счет повышения достоверности обнаружения (распознавания) компьютерных атак данного типа путем расширения признакового пространства системы защиты и выявлением из совокупности поступающих пакетов сообщений из КС в ИВС фрагментированных пакетов сообщений, предварительной проверки правильности их сборки и выявления компьютерных атак определенного типа, что необходимо для обеспечения доступности обрабатываемой информации в ИВС, так как большинство систем обнаружения вторжений и фильтры пакетов сообщений не поддерживают проверки фрагментированных пакетов или не выполняют их правильной сборки и поэтому не в состоянии выявить компьютерные атаки (а значит, и заблокировать опасный трафик), распределенные среди нескольких фрагментированных пакетов сообщений.
Вывод
1. Разработан алгоритм, обеспечивающий повышение устойчивости функционирования ИВС в условиях воздействий компьютерных атак, использующих фрагментированные пакеты сообщений за счет повышения достоверности обнаружения (распознавания) компьютерных атак данного типа путем расширения признакового пространства системы защиты и выявлением из совокупности поступающих пакетов сообщений из КС в ИВС фрагментированных пакетов сообщений, предварительной проверки правильности их сборки и выявления компьютерных атак определенного типа, что необходимо для обеспечения доступности обрабатываемой информации в ИВС, так как большинство систем обнаружения вторжений и фильтры пакетов сообщений не поддерживают проверки фрагментированных пакетов или не выполняют их правильной сборки и поэтому не в состоянии выявить компьютерные атаки (а значит, и заблокировать опасный трафик), распределенные среди нескольких фрагментированных пакетов сообщений.
2. Путем создания макета программного комплекса и проведения натурного эксперимента, была проверена возможность реализации сформулированного технического результата.
Список литературы
Кульгин М. Технологии корпоративных сетей. Энциклопедия. - СПБ.:изд. «Питер», 1999г.
Лукацкнй А.В. Обнаружение атак.- СПБ.: БХВ-Петербург, 2001 г
Норткан С., Новак Д. Обнаружение нарушений безопасности в сетях.
Протоколы интернета. Александр Филимонов. СПБ. 2003 г.
Сергеев П.В. Методические указания по написанию экономического обоснования дипломного проекта. М. МГУ, 1992
Правовая охрана и коммерческая реализация программ для ЭВМ и баз данных: Методические указания по дисциплине "Интеллектуальная собственность"/Сост.: Ю.И. Буч, И. С. Терентьева; СПБГЭТУ. СПБ., 1998.
Конеев И. Р., Беляев А.В. Информационная безопасность предприятия. - СПБ.: БХВ-Петербург, 2003.
10. Ю. Кузнецов В.Е., Лихачев А.М., Паращук И.Б., Присяжнюк С.П. Телекоммуникации. Толковый словарь основных терминов и сокращений. Под редакцией А.М. Лихачева. СП. Присяжнюка. СПБ.: Издательство МОРФ, 2001.