Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Інфокомунікації – сучасність та майбутнє”

Інфокомунікації – сучасність та майбутнє”




Сторінка18/21
Дата конвертації16.03.2017
Розмір3.09 Mb.
1   ...   13   14   15   16   17   18   19   20   21

АНАЛІЗ ЕФЕКТИВНОСТІ ВИКОРИСТАННЯ ПРОПУСКНОЇ ЗДАТНОСТІ

КАНАЛІВ У МАГІСТРАЛЬНИХ ІР МЕРЕЖАХ
Анотація. Обрано критерій оцінки ефективності використання пропускної здатності каналу при передачі інформації користувача. Проведені дослідження ефективності використання пропускної здатності каналу при взаємодії систем у магістральних ІР мережах.

Однією із актуальних проблем телекомунікацій є забезпечення ефективного використання пропускної здатності каналів взаємодіючих систем. Реальна пропускна здатність каналу зв’язку, значною мірою залежить від використовуваних технологій та протоколів транспортування даних. Службова інформація комунікаційних протоколів взаємодіючих систем зменшує реальну пропускну здатність каналу.

Проблеми реальної пропускної здатності каналів взаємодіючих систем у ІР мережах досліджувалися в багатьох роботах. Зокрема в [1, 2] аналізувались обсяги службової інформації протоколів взаємодіючих систем, у [3] проводився аналіз надлишкової інформації комунікаційних протоколів систем у магістральних ІР мережах, у [4] пропонувались критерії та оцінювалась ефективність передавання трафіку реального часу в мережах з комутацією пакетів. Проте дослідження й аналіз ефективності використання пропускної здатності каналів в магістральних ІР мережах при передачі даних не виконувались.

Метою даної роботи є дослідження та аналіз ефективності використання пропускної здатності каналів взаємодіючих систем при передачі даних у магістральних ІР мережах.

Для досягнення цієї мети необхідно обрати: математичну модель інкапсуляції даних протоколами систем, критерій оцінки ефективності використання пропускної здатності каналів та ієрархічні комбінації комунікаційних протоколів систем у магістральних ІР мережах.

Математична модель інкапсуляції даних. Для визначення обсягу інформації на виході n-го рівня (підрівня) системи застосуємо формулу [5]

, , (1)

де  – обсяг інформації на виході n-го рівня (підрівня) системи,  – обсяг інформації на виході (m 1)-го рівня (підрівня) системи, – сумарний обсяг службової інформації у заголовках і кінцевиках протоколів, діючих між рівнями (підрівнями) m та n системи.

Сумарний обсяг службової інформації протоколів між рівнями (підрівнями) m та n системи визначимо за формулою

, (2)

де – кількість службової інформації протоколу i-го рівня (підрівня) системи.



Критерій оцінки ефективності використання каналу. Для оцінки ефективності використання пропускної здатності каналу системи застосуємо коефіцієнт використання обсягу пакету протоколів між рівнями (підрівнями) m та n системи для розміщення корисної інформації [4]

, . (3)

Вважаючи, що m = N, а n = 1 у формулі (3) отримаємо коефіцієнт оцінки ефективності використання пропускної здатності каналу взаємодіючих систем IS (Interconnection System)



, (4)

де N – кількість рівнів (підрівнів) взаємодіючих систем.



Аналіз протоколів взаємодіючих ІР систем. У магістральних ІР мережах для передачі даних поміж вузлами можуть використовуватись протоколи PPP (Point-to-Point Protocol) та високошвидкісні технології Frame Relay (FR), Asynchronous Transfer Mode (ATM), Ethernet, зокрема Fast Ethernet, Gigabit Ethernet (GbE) тощо. Для взаємодії систем застосовуються протоколи стеку ТСР/ІР, зокрема мережні протоколи ІР (Internet Protocol) четвертої IPv4 та шостої IPv6 версій. Транспортні послуги додаткам користувачів надають протоколи ТСР (Transmission Control Protocol) та UDP (User Datagram Protocol). Таким чином, у проміжних системах магістральної ІР мережі в ІР пакетах може передаватись інформація за допомогою певних сполучень комунікаційних протоколів, наприклад: ТСР (UDP) over ІР over GbE; ТСР (UDP) over ІР over FR тощо.

ІР пакети на виході системи утримують інформацію протоколу додатку (application) і службову інформацію комунікаційних протоколів, обсягами та . У табл. 1 подані обсяги службової інформації у ІР пакеті, при застосуванні протоколів ІРv4 та ІРv6 з мінімальними обсягами ІР та ТСР заголовків [3]. Пакети розглядуваних технології канального рівня (k = 2) можуть переносити змінні обсяги інформації, але не більше .


Таблиця 1 – Обсяги службової інформації протоколів у пакетах ІР та MPLS систем


Стек протоколів

, байт

Стек протоколів

, байт

Примітка

ІРv4

ІРv6

ІРv4

ІРv6

ТСP/ІР/GbE

78

98

UDP/IP/GbE

66

86



ТСP/ІР/MPLS/GbE

82

102

UDP/IP/MPLS/GbE

70

90



ТСР/ІР/FR

46

66

UDP/ІР/FR

34

54


На магістральних ділянках ІР мережі для підвищення швидкості оброблення трафіка в маршрутизаторах застосовується технологія багатопротокольної комутації позначок MPLS (Multiprotocol Label Switching). У домені MPLS усі маршрутизатори виконують комутацію пакетів за позначками, яка передається в заголовку пакета. Спосіб прив’язування MPLS позначки до ІР пакета залежить від технології канального рівня. У домені MPLS у пакетах передається інформація за допомогою стеку протоколів: ТСР (UDP) over ІР over MPLS  over GbE; ТСР (UDP) over ІР over MPLS over FR. У тракті MPLSover GbE за допомогою стека з lт позначок можна створити lт прозорих тунельних передач. Подані у табл. 1 обсяги службової інформації протоколів у пакетах MPLS систем відповідають lт = 1.



Оцінка ефективності використання каналів. Протоколи додатків прикінцевих систем можуть формувати дані довільних обсягів. Тому дослідження ефективності використання каналів систем у магістральних ІР мережах доцільні за різних обсягів передачі інформації в ТСР сегментах та UDP датаграмах.

Результати розрахунків ефективності використання каналів ІР систем за критерієм (4) для розглянутих сполучень комунікаційних протоколів подані на рис. 1 та 2. Ефективність оцінювалось за умови уже відкритого сеансу ТСР зв’язку, тому процедури установлення й завершення ТСР з’єднання та надійної передачі не враховувались.

Аналізуючи результати досліджень ефективності використання пропускної здатності каналів систем можна зробити такі висновки. Коефіцієнт ефективності каналу системи суттєво залежить від обсягу даних протоколу додатку. Наприклад, при збільшенні обсягу даних протоколу додатку від 100 до 1400 байт коефіцієнт ефективності при застосуванні стека протоколів UDP/ІРv4/GbE збільшується від 60,2 до 95,5 %.

Використання протоколу ТСР замість UDP забезпечує значно кращий транспортний сервіс, але приводить до зниження коефіцієнта ефективності. Величина цього зниження також залежить від обсягу даних протоколу додатку . Зокрема, при обсязі даних протоколу додатку 100 байт коефіцієнт ефективності при використанні стека протоколів UDP/ІРv4/GbE на 4,1 % менший ніж для стека ТСР/ІРv4/GbE, а при обсязі – 1400 байт зменшення коефіцієнта становить 0,8 %.

Використання протоколу мережного рівня IPv6 замість IPv4 дещо знижує ефективність використання пропускної здатності каналу систем. Наприклад, за невеликого обсягу інформації протоколу додатку 100 байт при використанні протоколів ТСР/ІРv6/GbE ефективність знижується на 5,7 %, а при максимальному обсязі даних 1440 байт ефективність знижується на 1,3 %.

Рисунок 1 – Ефективність використання пропускної здатності каналів TCP/IP систем


Рисунок 2 – Ефективність використання пропускної здатності каналів UDP/IP систем

Висновок. Отримані результати дослідження та аналізу оцінки ефективності використання пропускної здатності каналів ІР систем дають можливість у подальшому запропонувати методи підвищення цієї ефективності за рахунок вибору оптимальних параметрів, варіації обсягів інформації та протоколів тощо.
Список літератури:

1. Компьютерные сети. Принципы, технологии, протоколы: учеб. для вузов. – [4-е изд.] / В.Г. Олифер, Н.А. Олифер. – СПб.: Питер, 2010. – 944 с.

2. Воробієнко П.П. Аналіз обсягів технологічної інформації комунікаційних протоколів систем, що взаємодіють, у мережах з комутацією пакетів / П.П. Воробієнко, М.І. Струкало, С.М. Струкало // Зв’язок. – 2011. – № 2. – С. 13-18.

3. Струкало М.І. Аналіз надлишкової інформації комунікаційних протоколів систем у магістральних ІР мережах / М.І. Струкало, С.М. Горелік // Восточно-Европейский журнал передовых технологий. – 2012. – № 1/9 (55). – С. 42-47.

4. Струкало М.І. Оцінка ефективності передавання трафіку реального часу в сучасних мережах з комутацією пакетів / М.І. Струкало // Інфокомунікації: проблеми та перспективи розвитку: матеріали Міжнародної науково-практичної конференції, 8-10 вересня 2010 р. Одеса: ВМВ, 2010. – С. 51-53.

5. Воробиенко П.П. Моделирование процессов формирования служебной информации при передаче данных в сетях с коммутацией пакетов / П.П. Воробиенко, М.И. Струкало, И.Ю. Рожновская, С.М. Струкало // Наук. пр. ОНАЗ. – 2009. – № 1. – С. 3-12.



УДК 629.31:005.12
Войцеховський С.М. Ганчев В.В.

ОНАЗ ім. О.С. Попова
Метод підвищення надійності роботи комутаційного обладнання мережі доступу ISP-компаній на базі мікроконтролерів realtek RTL8316B
Більшість ISP-компаній (Internet service provider) використовують мережне обладнання відомих виробників таких як Cisco, D-link та інші. Сьогодні в Україні великим попитом користуються комутатори фірми Compex, які є оптимальними для побудови мережі доступу з врахуванням співвідношення показників ціна/якість.

Розглянемо один з бюджетних варіантів цього виробника - керуючий 16-ти портовий комутатор Compex ps2216 [1], з підтримкою забезпечення якості обслуговування QoS (стандарт 802.1p). Функція встановлення пріоритетності портів забезпечує якість роботи мережі, порівняння мережного трафіка, надання відео на замовлення, роботою з додатками баз даних.

Керування комутатором виконує мікроконтролер EEPROM realtek RTL 8316B [2] з використанням платформи, побудованої на базі RRCP (Realtek Remote Configuration Protocol). EEPROM  (англ. Electrically Erasable Programmable Read-Only Memory) – це програмований запам'ятовуючий пристрій з масивом комірок, що зберігає в собі інформацію конфігурації пристрою. Принцип роботи EEPROM заснований на зміні та реєстрації електричного заряду в ізольованій області (кишені) напівпровідникової структури. Зміна заряду ("запис" і "стирання") проводиться прикладанням між затвором і витоком великого потенціалу для того щоб напруженість електричного поля в тонкому діелектрику між каналом транзистора і кишенею виявилася достатня для виникнення тунельного ефекту. Програмування мікроконтролера здійснюється за допомогою стандартної Windows утиліти winsmart яка продається в комплекті, шляхом перезапису регістрів в EEPROM.

Під час роботи пристроїв на базі вказаного мікроконтролера може виникати проблема пов’язана з втратою керування. Це відбувається під час падіння напруги нижче номінальної (3,3 В), в цей момент часу, у випадку наявності активних запитів керування комутатором в EEPROM записується випадковим чином конфігураційна інформація. Можливо віддалене відновлення інформації що втрачена, з використанням RRCP, але тільки у випадку, якщо не змінена інформація в ділянці «002хd» пам’яті, що містить в собі ключ авторизації (Authkey) інакше можливість керування втрачається повністю. Authkey за замовчуванням стандартний для всіх комутаторів даної моделі. При першому конфігуруванні обладнання Authkey змінюють на унікальний з метою підвищення безпеки.

У моменти випадкової зміни інформації в ділянці «002хd» комутатор перестає відповідати на запити керування, при цьому блокуються всі порти (абонентські, керування). Відновлення роботи пристрою можливе тільки після ручного збросу конфігурації (для цього пристрій має бути демонтовано та після збросу налаштувань, переконфігуровано). Таке вирішення описаної проблеми не є ефективним, в зв’язку з тим, що усунеться не джерело проблеми а її наслідки.

Описана проблема може виникати також у випадку використання обладнання в однорангових мережах. Під час керування, що виконується за допомогою broadcast та unicast запитів та у випадку наявності в мережі дзеркал, або наявності користувачів що виконують ARP-spoofing, відбувається багаторазове розсилання команд керування на комутатори. В описаній ситуації може виникнути виконання комутаторами команд надісланих іншим комутаторам. Якщо в цей момент відбувається зберігання конфігурації може відбутись збій, який приведе до запису в регістри EEPROM некоректної інформації. У випадку ії запису в ділянці 002хd відбудеться описана раніше ситуація.

Для попередження описаних ситуацій запропоновано використання наступних механізмів:


  1. Для випадку падіння напруги можливі варіанти:

  • заміна блоку живлення на новий з більшою потужністю (замість стандартного з робочим струмом 2А необхідно встановлення з струмом 3А, вартістю близько 20 $);

  • встановлення на працюючий блок живлення додаткового стабілізатора напруги заводської зборки (вартість сумірна з попереднім варіантом);

  • встановлення на блок живлення додаткової схеми підсилювача напруги, оптимальний варіант з економічної точки зору (вартість схеми приблизно 2 $).

  1. Для боротьби з broadcast та ARP-spoofing рекомендується зміна архітектури мережі, з встановленням керуючих комутаторів з можливістю моніторингу та обмеженням описаного трафіка. Такими можуть виступати ряд комутаторів фірм D-link, Planet,– це керуючі комутатори магістрального рівня з можливістю фільтрації трафіка та в той же час з можливістю переходу до технології Gigabit Ethernet.

Запропоновані варіанти дозволять малобюджетним ISP-компаніям, які мають працюючу однорангову мережу на базі розглянутого комутаційного обладнання, здійснити модернізацію мережі без заміни комутаторів абонентського доступу.

Така модернізація дозволить:



  • виконати сегментацію мережі (тим самим збільшиться надійність, безпека та продуктивність);

  • вирішити описані проблеми пов’язані з втратою керування комутаційним обладнанням;

  • збільшити надмірність мережі (вище описані комутатори мають вищу пропускну спроможність);

  • зекономити бюджет компанії (комутатори абонентського доступу з’єднуються шляхом підключення до них медіа конверторів, запропоновані мережеві комутатори мають оптичні порти).

Дана методика запропонована та запроваджується в ISP-компаній Одеси, комутаційне обладнання мережі якої побудоване на базі керуючих 16-ти портових комутаторів Compex ps2216 [2], що базуються на мікроконтролерах realtek RTL8316B.

Отримано такі позитивні результати:

- розвантаження магістральних ліній;

- при несанкціонованому скануванні мережі broadcast та unicast запити можуть існувати лише в своєму сегменті мережі, що спрощує їх пошук та запобігання;

- проблема пов’язана з втратою керування управління зникла повністю.

Використання запропонованого метода дозволить значно підвищити надійність роботи комутаційного обладнання мережі доступу.


Список літератури:


  1. 2005-2012 Compex Systems Pte Ltd. http://www.compex.com.sg.

  2. Realtek RTL 8316B 16-port 10/100Mbit switch controller with EMBEDDED memory datasheet Rev 1.0 21 March 2005.

  3. 2008-2012 D-Link Systems http://www.dlink.ru/



УДК 629.31:005.12

Ганчев В.В., Гігіняк І.М.

ОНАЗ ім. О.С. Попова

5621457@bigmir.net
ВАРІАНТИ ПОБУДОВИ ВІДОМЧИХ МЕРЕЖ З ВИКОРИСТАННЯМ ОБЛАДНАННЯ IP ТЕЛЕФОНІЇ
Анотація. Проведений аналіз підходів до побудови відомчих мереж IP телефонії. Визначено їх переваги та недоліки.

В роботі проведено аналіз варіантів побудови відомчих мереж, та визначено принципи організації та подальшого розвитку відомчих мереж за наступними сценаріями:



  1. встановлення телефонних станцій в установі і міжстанційних з’єднань між ними;

  2. встановлення телефонних станцій в деяких (ключових) установах і міжстанційних з’єднань між ними, підключення інших установ окремими аналоговими лініями;

  3. встановлення телефонних станцій в деяких (ключових) установах і міжстанційних з’єднань між ними, підключення інших установ через ІР-телефонію до станції (станцій) з VOIP інтерфейсом;

  4. побудова мережі виключно засобами ІР-телефонії – встановлення VOIP обладнання;

  5. інтеграція VOIP сервера з існуючою (існуючими) АТС та підключення інших установ через клієнтське VOIP обладнання.

Аналіз вищенаведених варіантів дозволяє стверджувати, що варіант 1 є найбільш прямолінійним, простим, функціональним, але з високою вартістю (кожна АТС коштувала б не менше 25 тис. грн., а міжстанційні інтерфейси – від 10 тис. грн. за пару). Додатковим «мінусом» такого підходу є обмеження функціональності цілої мережі в результаті обмежень у функціях тієї чи іншої станції. Для забезпечення функціонування «наскрізного» номерного плану вартість станцій у результаті зросла б щонайменше вдвічі. Відповідно до кількості станцій зросла б і вартість на їх експлуатацію та обслуговування.

Варіант 2 суттєво б знизив вартість цілого проекту за рахунок зменшення кількості станцій, але використання аналогових ліній для підключення віддалених абонентів тягло б за собою цілий ряд недоліків, зокрема:



  • погіршення якості для віддалених установ;

  • необхідність орендних витрат за лінії зв’язку;

  • залежність від наявності технічної можливості.

Варіант 3 міг би бути прийнятним розв’язком для проблем, вказаних у попередньому пункті, проте VOIP-модулі до цифрових АТС, обмежені у своїй функціональності порівняно з VOIP серверами, що неминуче призвело б до проблеми з удосконаленням та розвитком мережі.

Варіант 4 з економічної точки зору є найвигіднішим і найгнучкішим, дозволяє з невеликими затратами побудувати мережу з наступними особливостями:



  • ефективний розвиток – впровадження нових функцій шляхом поновлення програмного забезпечення;

  • розширення абонентської бази – легке підключення клієнтів за допомогою кінцевих VOIP пристроїв не тільки до оптоволоконної мережі НАНУ, а й до будь-якої мережі, що має вихід в Інтернет;

  • масштабованість – розвиток мережі в майбутньому за рахунок збільшення кількості серверів, кожний з яких відповідатиме за кластер VOIP мережі (територіальний, галузевий чи логічний);

  • можливість побудови на цій базі системи відозв’язку;

  • використання загальноукраїнського «наскрізного» номерного плану;

  • легкість підключення до операторів ІР-телефонії для зменшення витрат на міжміський та міжнародний зв’язок.

Недоліком такого варіанту є ізольованість системи, оскільки зв’язок з телефонними мережами загального користування здійснюється через операторів ІР-телефонії, що означає як погіршення якості, так і додаткові витрати.

Отже, найбільш ефективним є застосування варіанту 5, який передбачає закупівлю додаткових інтерфейсів для включення до VOIP сервера цифрових телефонних потоків Е1, для інтеграції з цифровими АТС, операторами мобільного зв’язку, іншими операторами.

Мережа з маршрутизацією пакетів IP принципово підтримує одночасно цілий ряд різних протоколів маршрутизації. Такими протоколами на сьогодні є: RIP - Routing Information Protocol, IGRP - Interior Gateway Routing Protocol, EIGRP - Enhanced Interior Gateway Routing Protocol, IS-IS - Intermediate System-to-intermediate System, OSPF - Open Shortest Path First, BGP - Border Gateway Protocol й ін. Для IP-телефонії також розроблено цілий ряд протоколів.

Найпоширенішим є протокол, специфікований у рекомендації Н.323 ITU-T, зокрема, тому, що він став застосовуватися раніше інших протоколів, яких, до того ж, до впровадження Н.323 взагалі не існувало.

Інший протокол площини керування обслуговуванням виклику - SIP - орієнтований на те, щоб зробити кінцеві пристрої та шлюзи більш інтелектуальними й підтримувати додаткові послуги для користувачів.

Ще один протокол - SGCP - розроблявся, для того, щоб зменшити вартість шлюзів за рахунок реалізації функцій інтелектуальної обробки виклику в централізованому встаткуванні. Протокол IPDC дуже схожий на SGCP, але має більше, ніж SGCP, механізмів експлуатаційного керування (ОАМ&Р). Також робочою групою MEGACO комітету IETF розробила протокол MGCP, що базується, в основному, на протоколі SGCP, але з деякими додатковими змінами у програмному забезпеченні в частині ОАМ&Р.

В роботі розглянуто основні варіанти побудови відомчих мереж з використанням обладнання IP-телефонії та визначено оптимальний
Список літератури:

1. Бакланов И.Г. ISDN и IP-телефония / Вестник связи, 1999, №4.

2. Варламова Е. IP-телефония в России / Connect! Мир связи, 1999, №9.

3. Гольдштейн Б.С. Сигнализация в сетях связи. Том 1. М.: Радио и связь, 1998.

4. Гольдштейн Б.С. Протоколы сети доступа. Том 2. М.: Радио и связь, 1999.

5. Кузнецов А.Е., Пинчук А. В., Суховицкий А.Л. Построение сетей IP-телефонии / Компьютерная телефония, 2000, №6.



УДК 651.3.06

Лєншин А.В.

Харківський національний універсистет радіоелектроніки

l_a_v2002@mail.ru
МОРФОЛОГІЧНИЙ МЕТОД ПОБУДОВИ ТАКСОНОМІЇ ФУНКЦІОНАЛЬНИХ ПОСЛУГ ЗАХИСТУ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ
Анотація. Розглядаються особливості побудови комплексних систем захисту інформації. Наводиться результат розв’язання задачі побудови таксономії функціональних послуг безпеки з НД ТЗІ 2.5-004-99, що є важливим етапом процесу обгрунтування складу профілю захищеності інформаційно-телекомунікаційних систем, в яких використовується множина сертифікованих засобів захисту від несанкціонованого доступу

Згідно нормативної бази України захист інформації з обмеженим доступом або інформації, захист якої гарантується Державою, має здійснюватися за рахунок побудови комплексної системи захисту інформації (КСЗІ). КСЗІ протидіє існуючим в інформаційно-телекомунікаційних системах (ІТС) загрозам за рахунок впровадження організаційних та технічних засобів, при цьому значну роль відіграють комплекси засобів захисту (КЗЗ) інформації від несанкціонованого доступу.

Усталеним підходом при визначені складу КЗЗ КСЗІ є застосування принципу модульності, який, зокрема, передбачає використання засобів, КЗЗ яких вже були оцінені. В Україні у якості шкали оцінки "надійності" та функціональності КЗЗ виступає нормативний документ системи технічного захисту інформації НД ТЗІ 2.5-004-99 [1]. За рахунок визначення у ньому функціональних вимог та вимог гарантій у розробників КСЗІ з’являється можливість оцінити ступінь придатності того чи іншого засобу для конкретного середовища функціонування ІТС. Наприклад, якщо для програмного засобу, що має функції захисту від несанкціонованого доступу (у термінології НД ТЗІ він має назву захищений від НСД компонент обчислювальної системи) визначено наступний функціональний профіль захищеності: {КА-2, ЦД-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1}, можна стверджувати, що КЗЗ дозволяє:

1) розмежовувати доступ на читання до певних об’єктів, при цьому права доступу встановлює виключно адміністратор;

2) розмежовувати доступ на модифікацію певних об’єктів, при цьому права доступу можуть встановлювати звичайні користувачі (не адміністратори);

3) ведеться захищений журнал реєстрації подій;

4) користувачі перед тим, як почати роботи з цим програмним засобом повинні пройти процедуру ідентифікації та автентифікації;

5) атрибути доступу, що вводяться користувачами передаються до КЗЗ по достовірному каналу, що захищає від такого зловмисного програмного забезпечення як троянські коні;

6) у програмному засобі виділено функції адміністратора та звичайних користувачів;

7) КЗЗ програмного засобу захищає свої модулі від несанкціонованої модифікації.

Незважаючи на те, що формалізоване подання профілю захищеності згідно НД ТЗІ 2.5-004-99 дозволяє оцінити функції КЗЗ воно, нажаль, не дозволяє визначити до яких об’єктів захисту відносяться перелічені функції. Іншим проблемним питанням є отримання (розрахунок) узагальненого профілю захисту ІТС, у випадку коли його окремі компоненти мають різні рівні реалізації функціональних послуг безпеки. У найпростішому випадку (коли об’єкти захисту складових КЗЗ різні, набір послуг різний або послуги мають однакові рівні) розв’язання цієї проблеми полягає у механічному додаванні переліку послуг. Але, по-перше, такий збіг стрічається дуже рідко, по-друге, отриманий розв’язок носить формальний характер і не враховує системного ефекту, тобто наявності властивості емерджентності у складній системи, якою є будь-яка ІТС.

Однією із важливих задач, що має вирішуватися є вирішення співвідношень, в яких знаходяться рівні послуг безпеки. Як визначено в НД ТЗІ 2.5-004-99, кожна послуга являє собою набір функцій, що дозволяють протистояти певній множині загроз і може включати декілька рівнів. Чим вище рівень послуги, тим більш повно забезпечується захист від певного виду загроз. Рівні послуг мають ієрархію за повнотою захисту, проте не обов'язково являють собою точну підмножину один одного. Рівні починаються з першого (1) і зростають до значення n, де n – унікальне для кожного виду послуг.

У міжнародному стандарті ISO/IEC 15408 [2], що є розвитком ідей закладених у Канадських Критерієв (1993 рік) та реалізованих у НД ТЗІ 2.5-004-99, означена задача вирішується шляхом побудови таксономії вимог класу. У ISO/IEC 15408-2 опису родини вимог безпеки передує графічне подання його структрури. Наприклад, структура родини "Аналіз аудиту безпеки" подана у графічному вигляді (рисунок 1) дозволяє визначати, що вона складається з чотирьох компонентів, при чому виділено два шляхи "зростання" протидії загрозам: 1-2 та 1-3-4. У межах цих шляхів вимоги компонетів нижнього рівня є підмножиною вимог компоненту верхнього рівня (ієрархічна залежність).

У ході досліджень проведених автором було побудовано таксономію функціональних послуг захисту визначених у НД ТЗІ 2.5-004-99. З цією метою було проведено декомпозицію вимог безпеки на "елементарні" складові. Результат декомпозиції послуги "Гаряча заміна" (ДЗ) наведено у таблиці 1 (стовпчик "Вих" дозволяє відстежити рядок специфікацій послуги).

Подання специфікації послуги ДЗ у матричному вигляді дозволяє застосувати для її аналізу морфологічні методи [3]. Зокрема визначити міру включення, що відбиває різну ступінь включення одного об’єкта в інший та дозволяє виявити, який з об’єктів містить більше специфічних властивостей.

Рисунок 1 – Приклад опису структури родини послуг безпеки з ISO/IEC 15408-2


Мірою включення є невід’ємна дійсна функція , що має такі властивості:

для ;

для .

(1)

Міра включення є несиметричною, отже включення в визначається як:

.

(2)

У нашому випадку, під будемо розуміту "елементарну" вимогу безпеки, що є частиною специфікації послуги. Застосувавши вирази (1) та (2) для об’єктів з таблиці 1 отримаємо матрицю включення (таблиця 2).

Таблиця 1 – Морфологічна скринька для послуги "Гаряча заміна"





Вих.

Властивість

ДЗ-1

ДЗ-2

ДЗ-3

1

1

Політика гарячої заміни, що реалізується КЗЗ, визначає політику проведення модернізації КС

х







2

1

Політика гарячої заміни, що реалізується КЗЗ, визначає множину компонентів КС, які можуть бути замінені без переривання обслуговування




х

х

3

1

Політика гарячої заміни, що реалізується КЗЗ, забезпечує можливість заміни будь-якого компонента без переривання обслуговування







х

4

2

Адміністратор або користувачі, яким надані відповідні повноваження, мають можливість провести модернізацію (upgrade) КС. Модернізація КС не призводить до необхідності ще раз проводити інсталяцію КС або до переривання виконання КЗЗ функцій захисту

x







5

2

Адміністратор або користувачі, яким надані відповідні повноваження, мають можливість замінити будь-який захищений компонент




x

x

6

3

Реалізація послуги вимагає наявність реалізованої послуги НО (будь-якого рівня)

х

х

х

7

3

Реалізація послуги вимагає наявність реалізованої послуги ДС (будь-якого рівня)




х

х

Таблиця 2 – Матриця включення для вимог безпеки послуги ДЗ






ДЗ-1

ДЗ-2

ДЗ-3

ДЗ-1




1/3

1/3

ДЗ-2







4/4

ДЗ-3









Оскільки результатом нашого аналізу має стати співвідношення повної ієрархічної залежності вимог безпеки встановимо пороговий рівень та отримаємо результуючу матрицю (таблиця 3).

Таблиця 3 – Матриця включення для вимог безпеки послуги ДЗ із





ДЗ-1

ДЗ-2

ДЗ-3

ДЗ-1




0

0

ДЗ-2







1

ДЗ-3










Отримана матриця (таблиця 3) дозволяє побудувати орієнтований граф включення (рисунок 2), який можна представити у вигляді еквівалентном до подання вимог безпеки у ISO/IEC 15408.




Рисунок 2 – Орієнтований граф включення вимог послуги "Гаряча заміна"


Рисунок 3 – Таксономія послуги "Гаряча заміна" за формою з ISO/IEC 15408
Отримані у ході досліджень результати дозволяють ров’язати завдання з визначення співвідношень, у яких знаходяться послуги безпеки, що є складовими функціональних профілів захищеності та є передумовою розробки методу згортання вимог послуг безпеки кілької КЗЗ, що входять до складу КСЗІ ІТС.
Список літератури:

1. НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу [Текст]: Затверджено наказом №22 ДСТСЗІ СБ України від “28” квітня 1999 р. /ТОВ "ІКТ". - К: ДСТСЗІ СБ України, 1999. -59с.- (Нормативний документ системи технічного захисту інформації).

2. ISO/IEC 15408 - 2. Information technology–Security techniques–Evaluation criteria for IT security–Part 2. Security functional requirements.

3. Основи теорії систем та системного аналізу: навч. посіб. / О.В. Потій, М.П. Медіченко, А.В. Лєншин, Д.С. Комін. – Х.: ХУПС, 2012. – 232 с.



УДК 651.3

А.В. Чернийчук,

ОНАС им. А.С. Попова

Cherniychuk.AV@gmail.com
CIMLS-ТЕХНОЛОГИЯ БЕЗОПАСНОСТИ ДОКУМЕНТООБОРОТА И ФИНАНСОВЫХ ПОТОКОВ ПРЕДПРИЯТИЯ
Современное эффективное управление ресурсами предприятия и стратегическое планирование его развития предполагает масштабное использование различных систем электронного документооборота. Вместе с тем, внедрение подобных систем создает дополнительные предпосылки для проведения незаконных финансовых действий со стороны злоумышленников в целях собственного обогащения либо противозаконных действий в пользу заинтересованных сторонних лиц.

Разрабатываемая нами технология CIMLS (Continuous Intelligent Management and Life Cycle Support) призвана обеспечить полный контроль документооборота и финансовых потоков, как в масштабах отдельного субъекта хозяйствования, так и в рамках всего государства. На уровне субъекта хозяйствования безопасность процессов создания, передачи, обработки, и хранения хозяйственных и финансовых документов обеспечивается комплексными программно-аппаратными средствами CIMLS. Так, независимо от способа представления (электронного либо бумажного) предполагается использование защиты любого созданного документа (счет-фактуры, накладной, договора, платежного акта и т.д.) от подделки. Для защиты бумажного варианта используется «уникальность объемной микроструктуры бумажной поверхности в заранее определенной зоне, неоднородность нанорельефа среза бумаги вдоль линий среза, неповторимость случайных отклонений технологических процессов полиграфических производства» [1]. Все это делает невозможным подделку документа либо его некорректное переформирование.

Контур CIMLS предполагает широкое использование биометрических средств контроля доступа оператора к терминалу формирования документов и выполнения транзакций.

Контроль доступа, защита документации от подделки, защита каналов передачи данных, использование альтернативных аппаратных средств хранения информации в рамках CILMS-контура дополнены экспертным программным модулем оценки финансовой деятельности субъекта. Аналитический центр CILMS формирует экспертные оценки осуществляемым транзакциям с точки зрения их экономической эффективности и соответствия принятому законодательству. Непосредственное формирование экспертных заключений производится блоком поддержки принятия решений. Результаты работы данного блока интерпретируются и передаются в виде рекомендаций и указаний соответствующим субъектам. Кроме того, в случае нарушения юридических норм функционирования CIMLS-контура, аналитическим центром осуществляется уведомление об этом факте Национального Банка и Службы Безопасности. Кроме того, данная технология предполагает доступ группы акционеров к информации об осуществляемых акционерным обществом финансовых транзакциях, а главное, к информации о нарушениях, имеющих место в процессе документооборота и изменяющих финансовый поток предприятия незаконным образом. По сути, это – ключевой момент в адекватности контроле акционерами деятельности руководства акционерного общества.

Интеграция существующих корпоративных ERP-систем предприятий с CIMS-контуром способна обеспечить эффективное и безопасное управление субъектом хозяйствования, прозрачность системы налогообложения, защищенность в бизнеса от непродуманных либо противозаконных решений и, в конечном итоге, выход экономики на принципиально новый качественный уровень.
Список литературы:


  1. КолешкоВ.М., Карякин Ю.Д., Бурш В.Л. Способ проведения финансовых операций, система для его осуществления и способ контроля подлинности документа



УДК 651.3.

И.Ю Лагутин,

ОНАС им. А.С. Попова,

Lagutin.igor@gmail.com
ВИДЕОАНАЛИЗ В СИСТЕМАХ ЗАЩИТЫ ПЕРИМЕТРА

На сегодняшний день защита периметра является основным приложением профессиональной видеоаналитики (если не включать в это понятие задачу распознавания номерных знаков автомобилей). В отличие от систем видеоанализа, используемых в общественных местах, периметральная видеоаналитика решает более конкретную и простую задачу — первичное обнаружение человека или транспортного средства в стерильной зоне.

Главным отличием периметральной видеоаналитики от обыкновенного детектора движения является необходимость стабильного обнаружения объекта интереса (цели) на динамическом фоне, изменения которого обусловлены окружающей средой. Видеоаналитика не должна реагировать на изменения освещения, тени, движение растений, животных, насекомых, птиц, осадки, дрожание камеры от ветра, но при этом должна сохранить высокую чувствительность по отношению к потенциальным нарушителям периметра.

Подготовленный нарушитель может выглядеть совершенно непредсказуемо для разработчика видеоаналитики, и «заточка» детектора для снижения частоты ложных срабатываний, например, под идущего человека не обеспечит адекватной срабатывания видеоаналитики в случае, если нарушитель будет ползти или двигаться в группе людей.

Интегральный характеристикой точности видеоаналитики для периметра является показатель F1, используемых в тестах i-LIDS, который зависит от частот ошибок I и II рода, а так же от времени реакции системы. Срыв слежения за целью приводит к повторному срабатыванию, что считается ошибкой I рода. Поэтому слежение является важной составляющей периметральной видеоаналитики (в отличие от обыкновенного детектора движения).

Главным стимулом применения сенсоров, работающих в различных диапазонах спектра, является обеспечение всепогодного режима работа и/или увеличения дальности действия камеры. На периметрах применяются фиксированные камеры ближний инфракрасной, средней тепловизионной и дальней тепловизионной областей спектра. Сенсоры формируют изображение различной информативности и требуют адаптации видеоаналитики к специфическим особенностям наблюдения в каждом диапазоне спектра. Здесь наиболее сложными задачами являются: детектирование целей при неблагоприятном соотношении сигнал/шум, слежение за слабоконтрастными целями на большой дальности (при существенной амплитуде дрожания изображения). Так же имеет место сложная отраслевая специфика: например, при мониторинге периметра железнодорожного полотна, видеоаналитика не должна реагировать на поезда и создаваемые им помехи (тени, вихри снега, сильные вибрации камеры).

При построении централизованной системы видеонаблюдения для географически распределенных объектов, например, для топливно-энергетического комплекса или железной дороги, возникает необходимость передачи видео и аудио данных по каналам связи с ограниченной пропускной способности. Рост числа камер, в том числе камер с высоким разрешением, существенно опережает возможности операторов связи и центров хранения данных.

Хорошая видеоаналитика позволяет выделить наиболее важные фрагменты видео для перадачи по узким каналам связи не за счет снижения качества изображения и частоты кадров, а за счет удаления фрагментов видео, не представляющих интерес пользователю.

Переход на мегапиксельные камеры является существенной тенденцией отрасли видеонаблюдения в целом, но не является заметным в задачах охраны периметра. С одной стороны, камера с сенсором 1-2 мегапиксела и хорошей оптикой позволяет увеличить дальность обнаружения угрозы до 2 раз по сравнению с сенсором стандартной четкости (0.4 мегапиксела). С другой стороны, данное преимущество только проявляется в идеальных условиях наблюдения (хорошее равномерное освещение, отсутствие осадков и дрожания камеры). При неблагоприятных условиях, мегапиксельные камеры могут работать хуже стандартных из-за меньшей эффективной площади фотоэлементов, но при этом создавать значительный объем данных с низком соотношением сигнал/шум для передачи по сети и хранения.

С точки зрения видеоаналитики, переход от стандартного к высокому разрешению не являются тривиальным. Большая часть систем видеоаналитики, представленная сегодня на рынке, не обеспечивает заметного преимущества по точности распознавания из-за комплекса проблем.

Во-первых, сложность видеоаналитических алгоритмов, которые не оптимизированы под высокое разрешение (HD), увеличивается нелинейным образом по отношению к числу пикселей кадра из-за ресурсоемкости операции сегментирования. Например, на одном ядре современного процессора типовая видеоаналитика обрабатывает 8 каналов CIF (кадр 352 x 288 пикселей, всего около 100 тыс. пикселей) со скоростью 8-12 кадров в секунду. Если эту аналитику применить на потоке 720p (кадр 1280 x 720, всего около 921 тыс. пикселей), то ресурсов одного процессорного ядра не хватит даже на обработку 1 канала, из-за увеличения объема данных (числа пикслей) более чем в 9 раз, а так же увеличения затрат на обработку каждого пикселя в 2 раза (общий рост сложности – в 18 раз). Нелинейный рост сложности наблюдается в части сегментирования крупных объектов на переднем плане, если не используется многомасштабное представление.

Во вторых, применение видеоаналитики на мегапиксельных камерах предполагает более точную пространственную калибровку глубины сцены с учетом нелинейных искажений оптики. При использовании приблизительных методов калибровки, применимых на камерах стандартного разрешения, видеоаналитика может ошибаться в определении масштаба и координат цели, что отразиться негативно на общих показателях точности.


Список литературы:

1. Nik Gagvani, Introduction to video analytics.

2. Обработка видеосигнала высокой чёткости, Екатерина Самкова//«Электронные компоненты» №4, 2009.

УДК 621.39.004.7

Виноградна О. О.

ОНАЗ ім. О.С. Попова

vinsandra@mail.ru
РОЗРОБКА ІНФОРМАЦІЙНОЇ МЕРЕЖІ ОФІСНОЇ БУДІВЛІ
Анотація. Розглядається створення інформаційної мережі офісної будівлі, а саме: весь комплекс робіт, пов’язаних з монтажем комп'ютерних, телефонних і електричних комунікацій, а також систем контролю доступу, відеоспостереження, охоронної та пожежної сигналізації.

У сучасному бізнесі успіх багато в чому залежить від можливості оперативного одержання і використання інформації. Це означає, що інвестиції в інфраструктуру інформаційних технологій мають першочергове значення. Надійна структурована кабельна мережа, створена на основі стандартів, гарантує довгострокове функціонування мережі та підтримку численних додатків, забезпечуючи віддачу інвестицій на весь період її існування.

Сьогодні доступ до інформації потрібен повсюди, в будь-якій частині світу і в будь-який час доби. Потреби в інформаційних мережах ростуть експоненціально незалежно від типу необхідної інформації – передача даних, голосовий зв'язок або відео.

Структурована кабельна система (СКС) є основою для побудови інформаційних мереж офісів і невід'ємною складовою офісних будівель і житлових будинків.

СКС - кабельна система, що підтримує різноманітні інформаційні додатки і поділена на декілька рівнів в залежності від функціонального призначення та розташування її компонентів. Згідно з визначенням міжнародного стандарту ISO/IEC 11801 Ed.2, СКС - це універсальна структурована телекомунікаційна кабельна система офісної будівлі, здатна підтримувати широкий діапазон додатків, яка включає в себе активне – апаратура комутації та пасивне – телекомунікаційні шафи, волоконно-оптичні та електричні кабелі, з'єднувальні шнури, інформаційні розетки, обладнання. Структурована кабельна система є основою інформаційної інфраструктури будь-якої організації і призначена для організації робочих місць її працівників.

На основі структурованих кабельних систем працюють локальні обчислювальні мережі (ЛОМ) та інтернет, телефонні мережі, відеоспостереження та інші телекомунікаційні додатки.

Переваги СКС:


  • універсальність сервісу і підключення будь-якого стандартного устаткування та робота додатка;

  • модульність, можливості нарощування і внесення змін шляхом заміни активного устаткування без необхідності заміни існуючої кабельної мережі. Умови для реалізації нестандартних додатків за допомогою передбачених адаптерів і конвертерів;

  • економічність системи за рахунок тривалого використання мережі;

  • своєчасний перехід до перспективних високошвидкісним протоколам як наслідок грамотно спроектованої системи;

  • стандарти і технологічний запас функціональних характеристик СКС гарантують, що моральне старіння встановленої кабельної проводки відбудеться не раніше терміну закінчення її системної гарантії (понад 10-20 років).

До переліку основних етапів процесу створення СКС входить - проектування, монтаж коробів і кабельних лотків, трасування та прокладання волоконно-оптичних та кабелів UTP/STP, монтаж кросових і серверних стійок (шаф), підключення кабелів до інформаційних розеток і патч-панелей, тестування портів на відповідність заявленій категорії.

СКС офісної будівлі спроектована:



  • відповідно до міжнародних стандартів - ISO/IEC 11801 Ed.2, IEC61935-1, EN 50346, EN 50173, та українських - ДСТУ Б А.2.4-40:2009; ДСТУ Б А.2.4-42:2009 стандартів на телекомунікаційні кабельні системи адміністративних будівель;

  • відповідно до рекомендацій і допусків фірми - виробника СКС;

  • відповідно до діючих на Україні норм і правил з техніки безпеки та охорони праці.

Список літератури:

1. Information technology – Generic cabling for customer premises – Edition 2. 1. Інформаційні технології. Структурована кабельна система для приміщень замовників. Видання 2.1. (Включає стандарт 2002 року і Додаток 1 2008 року - специфікації каналів класів Ea і Fa).

2. Testing of balanced communication cabling in accordance with 11801. Part 1: Installed cabling. Тестування симетричних телекомунікаційних кабельних систем відповідно до ISO / IEC 11801. Частина 1 - Кабельні системи

3. Information Technology - Generic cabling systems. Інформаційні технології. Структуровані кабельні системи.

4. EN 50346 Інформаційні технології-Монтажні роботи. - Тестування змонтованої


системи.

5. ДСТУ Б А.2.4-40:2009 «Система проектної документації для будівництва. Телекомунікації. Проводові засоби зв’язку. Умовні графічні позначення на схемах та планах»

6. ДСТУ Б А.2.4-42:2009 «Система проектної документації для будівництва. Телекомунікації. Проводові засоби зв’язку. Робочі креслення»

7. Закон України «Про охорону праці»



УДК 621.39

Продан А.В.,

ОНАЗ ім. А.С. Попова,

Artyomka11@bk.ru
Кріптографічний захист керування мобільними об’єктами
У нашій державі в більшості автотранспортних підприємств існує проблема контролю транспорту. Автоматизація процесу вимагає нового технологічного підходу. Новаторством є використання GPS/Глонасс моніторингу, за допомогою якого спрощується контроль. Практично всі компанії мають парк транспортних засобів і намагаються здійснювати контроль за всім, що пов'язано з експлуатацією автомобілів. Перелік того, що може охоплювати подібний контроль, досить великий.

У сучасній інфраструктурі дорожнього руху дедалі важливішу роль відіграють супутникові навігаційні технології, які уже сьогодні дають можливість забезпечити безпосередніх учасників дорожнього руху та всі ланки керування транспортними системами необхідною оперативною і якісною просторово-часовою інформацією. На основі GPS і Глонасс сучасних засобів зв'язку і телекомунікацій у розвинених країнах світу уже протягом декількох десятків років створюються та розвиваються інтелектуальні транспортні системи. Вони використовуються як засоби контролю і впливу на систему наземного транспорту, наприклад, менеджерів шляхом прямого керування (сигналами регулювання трафіку або опосередковано через оперативні повідомлення учасників руху про стан транспортних шляхів та їх завантаженість, у тому числі з використанням засобів мобільного зв'язку та Інтернет).

Щоб в цілому система працювала, треба додати надійний захист і тут можна запропонувати потокове шифрування, в якому головна властивість це швидкість шифрування повідомлень.

За допомогою компонентів стало можливим здійснювати роботу цілодобово, не знижуючи продуктивності та не економлячи на якості.


Список літератури:

1. Яценков В. С. Основи супутникової навігаціі. Систем GPS NAVSTAR і ГЛОНАСС



УДК 004.056

Лановий А. О.,

ОНАЗ ім. А.С. Попова,
АНАЛІЗ ЕФЕКТИВНОСТІ СИСТЕМИ ВИЯВЛЕННЯ АТАК НА ЛОКАЛЬНУ МЕРЕЖУ
Анотація – Робота присвячена системам виявлення атак на локальну мережу . Розглянута структура сучасних систем виявлення атак (СВВ). Описано методи виявлення аномалій СВВ.

Ключові слова – вторгнення, комп'ютерна система, захист

Виявлення вторгнень залишається областю активних досліджень вже протягом трьох десятиліть. Вважається, що такий напрям започаткував Джеймс Андерсон в 1980 р. статтею "Моніторинг погроз комп'ютерній безпеці". В 1987 р. цей напрям був розвинений публікацією статті "Про модель виявлення вторгнення" Дороті Деннінг. Вона забезпечила методологічний підхід, що надихнув багато дослідників і що заклав основу для створення комерційних продуктів в області виявлення вторгнень [2].

Зазвичай системи захисту мережі та антивірусні програми будуються за таким принципом: інформація про нові віруси заноситься в базу даних (сигнатур) такої системи. Але часу реагування на загрозу в такому випадку недостатньо. Поки дані про новий вірус будуть редагуватись - велику кількість комп’ютерів вже буде інфіковано. Альтернативою таким програмним продуктам є використання менш відомого методу виявлення вторгнень - статистичне (або засноване на поведінці) виявлення аномалій [3].

Метою цієї роботи є впровадження систем виявлення атак, що дозволяють своєчасно виявляти і блокувати атаки порушників, несанкціонований доступ, використання і модифікацію програмного забезпечення, незаконне втручання в інформаційне життя кожного користувача комп’ютерних мереж.

Системи виявлення вторгнення (СВВ) - це системи, які збирають інформацію з різних точок захищаємої комп'ютерної системи (обчислювальної мережі) і аналізують цю інформацію для виявлення як спроб порушення, так і реальних порушень захисту (вторгнень) [1]. Структура СВВ представлена на рисунку 1.

У сучасних системах виявлення логічно виділяють наступні основні елементи: підсистему збору інформації, підсистему аналізу і модуль подання даних [1].



  • Підсистема збору інформації використовується для збору первинної інформації про роботу системи що захищається.

  • Підсистема аналізу (виявлення) здійснює пошук атак і вторгнень в захищаєму систему.

  • Підсистема подання даних (призначений для користувача) дозволяє користувачеві СВВ стежити за станом захищаемої системи.

Підсистема збору інформації акумулює дані про роботу захищаемої системи. Для збору інформації використовуються автономні модулі - датчики. Кількість використовуваних датчиків різна і залежить від специфіки захищаемої системи. Датчики в СВВ прийнято класифікувати за характером інформації, що збирається.

У відповідності із загальною структурою інформаційних систем виділяють такі типи:



  • датчики додатків - дані про роботу програмного забезпечення, системи, яка захищається;

  • датчики хоста - функціонування робочої станції захищаемої системи;

  • датчики мережі - збір даних для оцінки мережевого трафіку;

  • міжмережеві датчики - містять характеристики даних, що циркулюють між мережами.

Система виявлення вторгнення може включати будь-яку комбінацію з наведених типів датчиків.

Підсистема аналізу структурно складається з одного або більше модулів аналізу - аналізаторів. Наявність декількох аналізаторів потрібно для підвищення ефективності виявлення. Кожен аналізатор виконує пошук атак або вторгнень певного типу. Вхідними даними для аналізатора є інформація з підсистеми збору інформації або від іншого аналізатора. Результат роботи підсистеми - індикація про стан захищаемої системи. У випадку, коли аналізатор повідомляє про виявлення несанкціонованих дій, на його вихід може з'являтися деяка додаткова інформація. Зазвичай ця інформація містить висновки, що підтверджують факт наявності вторгнення або атаки.

Підсистема подання даних необхідна для інформування зацікавлених осіб про стан захищаемої системи. У деяких системах передбачається наявність груп користувачів, кожна з яких контролює певні підсистеми захищаемої системи. Тому в таких СВВ застосовується розмежування доступу, групові політики, повноваження і т.д.

Рисунок 1 - Структура системи виявлення вторгнення
Методи виявлення аномалій

Методи виявлення аномалій спрямовані на виявлення невідомих атак і вторгнень. Для захищаємої системи СВВ на основі сукупності параметрів оцінки формується «образ» нормального функціонування. У сучасних СВВ виділяють кілька способів побудови «образу»:


  • накопичення найбільш характерною статистичної інформації для кожного параметра оцінки;

  • навчання нейронних мереж значеннями параметрів оцінки;

  • подієве подання.

Легко помітити, що в виявленні дуже значну роль відіграє безліч параметрів оцінки. Тому в виявленні аномалій одним з головних завдань є вибір оптимального безлічі параметрів оцінки.

Інший, не менш важливим завданням є визначення загального показника аномальності. Складність полягає в тому, що ця величина повинна характеризувати загальний стан «аномальності» в захищаємій системі.

Список літератури:



  1. Городецкий В.И. Многоагентные технологии комплексной защиты информации в телекоммуникационных системах / В.И. Городецкий, И.В. Котенко, О.В. Карсаев, Хабаров А.В. // ISINAS – 2000. Труды. СПб. - 2000.

  2. Аграновский А. В. Статистические методы обнаружения аномального поведения трафика. / А. В. Аграновский // Информационные технологии – 2005.

  3. Домарев В. В. Безопасность информационных технологий / В. В Домарев // Системный подход. – К.: ООО „ТИД ДС”, 2009 – 992с.

УДК 621.004.9

Петренко И.В.

ОНАС им. А.С. Попова

ivan-petrenko@ukr.net
Новый програмно-аппаратный комплекс

«Пластун-3D»
Аннотация. Стремительное развитие новых технологий провоцирует появление новых средств промышленного шпионажа, в том числе, сверхминиатюрных средств съема информации и более чувствительных систем регистрации побочных излучений и наводок. Произошел переход на цифровые методы кодирования, осваиваются ранее неиспользуемые частотные диапазоны, быстрая передача накопленной информации, снижается энергопотребление, массогабаритные характеристики и, следовательно, повышается скрытность работы.
Возникла потребность в создании принципиально новых поисковых систем, отве-

чающих современным требованиям:

- обнаружение незаконно действующих источников излучений независимо от применяемых в них алгоритмов передачи информации;

- модульная структура, позволяющая проводить оперативную доработку комплекса «под заказчика», использовать его как для стационарного мониторинга любых площадей, так и в мобильном варианте;

- сверхбыстрая скорость сканирования без потери чувствительности;

- возможность проводить мониторинг на удаленных объектах, независимо от расстояния;

- сохранение данных, аналогичных данным в реальном масштабе времени и анализ сохраненных данных, не прерывая автоматического сканирования;

- применение высокочастотного диапазона;

- возможность демодуляции, прослушивания и изучения обнаруженного сигнала без прекращения сканирования.

Новый программно-аппаратный комплекс «ПЛАСТУН-3D» представляет собой аппаратную платформу, предназначенную для анализа электромагнитной обстановки и решения различных задач радиоконтроля. Комплекс радиомониторинга и анализа сигналов «ПЛАСТУН-3D» предназначен для поиска, идентификации, локализации и архивации незаконно действующих источников излучений независимо от применяемых в них алгоритмов передачи информации.

В новом поколении комплекса применяется несколько принципиально новых оригинальных цифровых приемников, что позволило существенно повысить его быстродействие и эффективность. Значительно уменьшенные массогабаритные характеристи

ки и новый современный дизайн делают комплекс более удобным в эксплуатации, по сравнению с моделями предшествующих поколений и конкурентными изделиями. В комплексе реализованы все известные методы и алгоритмы поиска источников излучений – метод разнесенных антенн, метод разности панорам, эталонная панорама, метод сравнения с линией порога, метод корреляции, анализ нестабильных сигналов (с пакетной передачей, с изменяющейся частотой). Эта функция работает даже при отсутствии сигнала, (например сигнал был час назад но уже не обнаруживается), по данным из памяти комплекса Оригинальные алгоритмы частотно-временного анализа позволяют выявлять демаскирующие признаки излучений цифровых передатчиков, широкополосные сигналы, сигналы ППРЧ и сигналы кратковременных передач. Использование специальных алгоритмов, уменьшают вероятность ложной тревоги из-за флюктуации шумов и девиации сигналов. В процессе поиска и анализа излучений, комплекс формирует базу данных всех полученных результатов в исследуемом диапазоне частот для отложенного анализа, объективного контроля и периодического контроля изменения радиоэлектронной обстановки в контролируемых точках, для создания архивов результатов контроля важных технических средств и объектов.

Массогабаритные характеристики комплекса позволяют использовать его как в стационарном, так и мобильном варианте. Основные преимущества перед аналогичным оборудованием:

За 14 секунд сканирует диапазон в 3ГГц по 8-ми антеннам с шагом 12,5 кГц, и за 40 секунд сканирует диапазон от 3 до 21 ГГц с шагом 12,5 кГц. Высокая скорость сканирования, встроенное программное обеспечение, быстрая подготовка к работе, позволяют значительно экономить время.



Наличие выносных антенн позволяет реализовать самый эффективный на сегодняшний день метод поиска закладных устройств – амплитудно-пространственная селекция.

    1. Уникальная функция накопления всего радиочастотного спектра в памяти комплекса за период не менее 40 дней непрерывной работы. Это позволяет обнаружить закладные устройства с периодической работой (например скидывающие информацию раз в сутки), а также автоматическое или визуальное сравнение нескольких панорам за разные периоды времени

      1. Уникальная функция полного дистанционного доступа позволяет работать с комплексом из любого места, где есть интернет

    2. Уникальная функция второго канала приема, позволяющая демодулировать сигналы без остановки сканирования.

    3. Уникальная функция генератора произвольных сигналов (в том числе и шумовых) позволяет прицельно подавлять маломощные передатчики.

    4. Компактность, легкий вес (Пластун-3Д менее 5 кг), небольшие габариты, позволяют использовать мобильно, для сбора данных и анализа сигнала на местности. Встроенные антенны и программное обеспечение позволяют легко развертывать прибор для захвата и сравнения спектра сигналов в различных местах.

    5. Уникальные возможности поиска и идентификации ЗУ. Помимо компактного размера, высокой скорости и мобильности, разработанные нами функции анализа добавлют возможность полного анализа спектра и сигналов на экране прибора без необходимости использования дополнительного компьютера.

    6. Выборочное увеличение участка спектра (ZOOM) без прерывания сканирования всего диапазона.

    7. Разделение функции сканирования и просмотра позволяет не останавливать сканирование при анализе.

    8. Создание списка сигналов с автоматическим определением их опасности, а также принадлежности к объекту исследования

Можно создавать списки сигналов для различных мест с последующим сравнением этих списков. Эта функция вспомогательная, поскольку метод амплитудно-пространственной селекции в 10 раз более быстр и точен.

    1. Функция объединения нескольких комплексов в единую сеть позволяет обслуживать его одному оператору и многократно увеличить возможности поиска. При объединении ПО всех комплексов система работает как одно целое.

    2. Анализ нестабильных сигналов (с пакетной передачей, с изменяющейся частотой). Эта функция работает даже при отсутствии сигнала, (например сигнал был час назад но уже не обнаруживается), по данным из памяти комплекса

  1. Сонограмма, водопад, 3Д панорама, 2Д панорама, анализатор спектра, осциллограф,квадратурный анализ, функция отображения быстрых редких сигналов. Анализ сигнала и локализация на плане помещения. Эта функция работает даже при отсутствии сигнала,(например сигнал был час назад но уже не обнаруживается), по данным из памяти комплекса. Интегрированные сниффера WiFi и ZigBee сигналов, с возможностью подавления. Межканальный поиск ZigBee и подобных им сигналов не позволяет замаскировать подобные устройства отстроившись от стандартного канала.

– Все результаты работы комплекса, отображенные на экране компьютера, сохраняются в промежуточных базах данных и могут быть подвергнуты дополнительному анализу при отложенной обработке. Ни один случайный сигнал, даже если он будет принят в процессе работы один раз, не будет утерян

Локализация сигналов, их частота, уровень, другие характеристики отображаются на карте, снимке, схеме контро­лируемых помещений, объектов, что по­зволяет работать с комплексом неспеци­алистам

Комплекс предназначен для поиска, идентификации, локализации, анализа и архивации источников радио излучений независимо от применяемых в них алгоритмов передачи информации с возможностью дальнейшей их пеленгации.

Ключевая особенность комплекса: возможность определения местоположения ИРИ за счет движения автомобиля, то есть для определения местоположения необходим только один комплекс. Предназначен специально для работы в условиях города. Простота конструкции: состоит из основного блока в ударопрочном кейсе, антенной системы, смонтированной в боксе-багажнике автомобиля и управляющего АРМ.

Имеется система позиционирования на основе GPS и система энергоснабжения (автомобильный инвертор 12/220 В на 500Вт).

Комплекс осуществляет:



  • Aвтоматизированный радиомониторинг в реальном масштабе времени;

  • Непрерывная запись всего частотного диапазона в память сервера и воспроизведение загрузки диапазона в координатах «уровень- частота- время»;

  • Запись в форме квадратур I-Q радиосигналов в базу данных сервера;

  • Демодуляция (AM, FM, WFM, NFM, USB, LSB, CPM, QPSK, GMSK, CW, QAM, TV и др.);

Комплекс может работать под непосред­ственным управлением операторов или управляться дистанционно по проводными или беспроводным каналам по протоколу ТСP/IP, включая долговременную автоном­ную работу по поставленному заданию. Безопасность соединения обеспечивается использованием технологии SSL.
Список литературы:
1   ...   13   14   15   16   17   18   19   20   21



  • Математична модель інкапсуляції даних.
  • Критерій оцінки ефективності використання каналу.
  • Аналіз протоколів взаємодіючих ІР систем.
  • Оцінка ефективності використання каналів.
  • Метод підвищення надійності роботи комутаційного обладнання мережі доступу ISP-компаній на базі мікроконтролерів realtek RTL8316B
  • ВАРІАНТИ ПОБУДОВИ ВІДОМЧИХ МЕРЕЖ З ВИКОРИСТАННЯМ ОБЛАДНАННЯ IP ТЕЛЕФОНІЇ
  • МОРФОЛОГІЧНИЙ МЕТОД ПОБУДОВИ ТАКСОНОМІЇ ФУНКЦІОНАЛЬНИХ ПОСЛУГ ЗАХИСТУ ВІД НЕСАНКЦІОНОВАНОГО ДОСТУПУ
  • CIMLS-ТЕХНОЛОГИЯ БЕЗОПАСНОСТИ ДОКУМЕНТООБОРОТА И ФИНАНСОВЫХ ПОТОКОВ ПРЕДПРИЯТИЯ
  • УДК 651.3. И.Ю Лагутин, ОНАС им. А.С. Попова, Lagutin.igor@gmail.com ВИДЕОАНАЛИЗ В СИСТЕМАХ ЗАЩИТЫ ПЕРИМЕТРА
  • РОЗРОБКА ІНФОРМАЦІЙНОЇ МЕРЕЖІ ОФІСНОЇ БУДІВЛІ
  • УДК 621.39 Продан А.В., ОНАЗ ім. А.С. Попова, Artyomka11@bk.ru Кріптографічний захист керування мобільними об’єктами
  • УДК 004.056 Лановий А. О., ОНАЗ ім. А.С. Попова, АНАЛІЗ ЕФЕКТИВНОСТІ СИСТЕМИ ВИЯВЛЕННЯ АТАК НА ЛОКАЛЬНУ МЕРЕЖУ
  • УДК 621.004.9 Петренко И.В. ОНАС им. А.С. Попова ivan-petrenko@ukr.net Новый програмно-аппаратный комплекс