Таким чином, враховуючи викладене вище, можна зазначити, що для забезпечення інформаційної безпеки асу тп в аспекті імовірних навмисних деструктивних дій обслуговуючого персоналу необхідно забезпечити відсутність зовнішніх та внутрішніх дестабілізуючих впливів на персонал а також здійснювати заходи, спрямовані на запобігання здійснення деструктивних дій персоналом при наявності дестабілізуючих впливів.

Література

1.Мохор В.В. Наставления по кибербезопасности (ISO/IEC 27032:2012) / В.В.Мохор, А.М. Богданов, А.С. Килевой – К.: ООО «ТриК», 2013. – 129 с.

2.Гончар С.Ф. Шляхи удосконалення державної політики забезпечення інформаційної безпеки критичної інфраструктури України : матеріали круглого столу «Державне реагування на загрози національним інтересам України: актуальні проблеми та шляхи їх розв’язання». – К.: НАДУ, 2014. – С. 92-95.

3.Емелин В.И. Методы и модели оценки и обеспечения информационной безопасности автоматизированных систем управления критическими системами: дис. … доктора техн. наук : 05.13.19 / Емелин Вадим Иванович. – СПб., 2012. – 238 с.

4.Силов В.Б. Принятие стратегических решений в нечеткой обстановке. – М.:

ИНПРО – РЕС, 1995. – 228с.

С. Ф. Гончар. Аналіз імовірних деструктивних дій персоналу асу тп в аспекті інформаційної безпеки

Здійснено аналіз деструктивних дій обслуговуючого персоналу асу тп при умові

наявності зовнішніх та/або внутрішніх дестабілізуючих впливів. Дані рекомендації щодо забезпечення інформаційної безпеки асу тп в аспекті навмисних деструктивних дій обслуговуючого персоналу.

Ключові слова: модель, інформаційна безпека, дестабілізуючий вплив, деструктивні дії, персонал.

S. F. Gonchar. An analysis of the possible destructive actions of personnel industrial control systems in terms of information security

Analysis of destructive actions of personnel of industrial control systems provided availability of external and/or internal destabilizing influences is given. Recommendations for information security of industrial control systems in terms of intentional destructive actions of personnel are given.

Keywords: model; information security; destabilizing effects; destructive actions; personnel.

104

УДК 007.065.01

МОДЕЛЬ УПРАВЛІННЯ КІБЕРНЕТИЧНОЮ БЕЗПЕКОЮ УКРАЇНИ НА ОСНОВІ ДОСВІДУ США:

ПРОПОЗИЦІЇ «ГО ІСКАК КИЇВ» ДО ПРОЕКТУ «ЗАКОНА УКРАЇНИ ПРО ОСНОВНІ ЗАСАДИ КІБЕРНЕТИЧНОЇ БЕЗПЕКИ УКРАЇНИ»

*О. Ю. Янковський

*ГО «ІСАКА КИЇВ» e-mail: a.yankovski@isaca.org.ua

Проведено вивчення проекту Закону України «Про основні засади Кібернетичної безпеки України», та проаналізовано досвід інших країн з побудови системи управління кібернетичною безпекою.

Запропоновано альтернативну версію законопроекту, яка передбачає децентралізовану модель управління кібербезпекою, та визначення галузевих регуляторів з кібернетичної безпеки.

Ключові слова:кібернетична безпека, приватність, модель управління.

A.Y. Yankovski Cybersecurity management model for Ukraine, based on the experience of the USA: proposal of NGO “ISACA Kyiv Chapter” to the draft “Law of Ukraine on fundamentals of the Cybersecurity management of Ukraine.

Analysis of the draft law of Ukraine on fundamentals of Cybersecurity of Ukraine has been conducted.

The author provides an alternative version of the draft law, which is based on the decentralized model of cybersecurity management, with industry-level regulators having responsibility for oversight of the cyber security in the respective industries.

Keywords: cybersecurity, privacy, management model

105

УДК 004.056.5

ВИЯВЛЕННЯ АНОМАЛІЙ У TCP/IP ТРАФІКУ МЕТОДОМ СТАТИСТИЧНОГО АНАЛІЗУ

А.Ю. Головін; Ю.О. Головін, к.т.н., доцент.

Інститут спеціального зв’язку та захисту інформації НТУУ «КПІ», e-mail: golovin.010@gmail.com

Постановка проблеми. Для ефективної протидії несанкціонованій прихованій передачі інформації через комп’ютерні мережі необхідно її ідентифікувати у трафіку мережевого середовища.

Аналіз останніх досліджень і публікацій. Методи виявлення прихованої передачі інформації, а також методи ідентифікації вторгнень у комп’ютерні мережі вже було детально розглянуто [1-5]. До основних методів ідентифікації прихованої передачі інформації відносять: аналіз сигнатури, статистичний та поведінковий аналіз, системи «процес-подія», метод опорних векторів [1,3,4]. Розглянуті методи можна поділити на 2 типи: аналіз сигнатур та виявлення аномалій. Основний недолік сигнатурних методів аналізу мережевого трафіку у задачах, які пов'язані із відсутністю можливості ідентифікувати невідомі типи прихованої передачі інформації, можна усунути шляхом застосування методів виявлення аномалій у мережевій активності.

Виклад основного матеріалу. Процес виявлення аномалій ґрунтується на спостереженні статистичних характеристик мережевого трафіку з метою реєстрації відхилень поведінки мережевого середовища від певного профілю (шаблону). Визначення профілю нормальної поведінки мережевого середовища дає змогу виявляти аномалії незалежно від наявності складової конкретної аномалії в моделі загроз. Для побудови базового профілю використовується набір даних, що не містить аномалій (наявності прихованої передачі інформації). Особливістю виявлення аномалій є необхідність аналізу множини спостережень, а не реєстрація певної дискретної характеристики.

В експерименті досліджувався мережевий трафік, що не містить аномалій, а також зразки трафіку із наявністю прихованої передачі інформації використовуючи поле

Identification (IP ID) в IP-протоколі.

Слід зазначити що згідно специфікації RFC 4413 Поведінка полів TCP/IP (TCP/IP Field Behavior) [2] поле Identification в заголовку IPv4 містить номер фрагменту дейтаграми і використовується для складання фрагментів пакета. У специфікації не описано порядок присвоєння значень поля ідентифікатора, вказано лише, що кожному пакету слід присвоювати унікальне значення IP ID для пари відправник-одержувач, враховуючи протокол. Унікальність має забезпечуватися протягом інтервалу часу, який дейтаграма (або будь-який з її фрагментів) може перебувати в мережі. Це означає, що присвоєння значень IP ID може виконуватися різними шляхами, які можна поділити на три класи: зростання (Sequential jump), випадкове значення (Random) та рівномірне зростання (Sequential). Основна різниця між класом зростання та рівномірне зростання полягає у використанні лічильника IP ID. В класі зростання використовується один лічильник для всіх пакетів, на противагу в класі рівномірне зростання використовуються окремі лічильники для кожного потоку пакетів. На практиці присвоєння значень IP ID відбувається у такий спосіб: для кожного нового потоку (характеризується парою відправник-одержувач і протокол) генерується псевдовипадкове значення (Random) IP ID, після чого використовується клас присвоєння рівномірне зростання.

Функція генерації псевдовипадкових значень IP ID є відмінною для різних реалізацій стеку протоколів TCP/IP. На приклад, після фільтрації значень IP ID, що рівномірно зростають досліджено, що поле IP ID дійсно є випадковою величиною із рівномірним розподілом, проте параметри генерації значень величини різняться в залежності від реалізації конкретного стеку протоколів TCP/IP. Слід зазначити, що значення поля IP ID

106

для процесу прихованої передачі інформації (аномальна поведінка) та нормальної поведінки є випадковими величинами із рівномірним розподілом, проте характеристики значень випадкової величини IP ID є різними.

Для виявлення аномалій у мережевому трафіку доцільно використати непараметричні методи виявлення змін, в яких замість спостереження параметрів моделі розглядаються статистичні характеристики спостережень: середнє значення, дисперсія, кореляція та ін. У рамках множини спостережень виявляється миттєва або дуже швидка зміна статистичних характеристик.

Перед та після реєстрації зміни статистичні характеристики не змінюються, або змінюються несуттєво. Тобто основні статистичні характеристики мають постійний характер, а миттєве відхилення значення дисперсії та математичного очікування свідчить про аномалію [3]. За таких умов із високою імовірністю можна виявити навіть незначні відхилення, якщо вони спостерігаються протягом тривалого часу.

Важливим етапом є побудова профілю нормальної поведінки мережевого середовища. Основні вимоги до профілю: мінімальний розмір та швидке оновлення.

Загальна схема ідентифікації прихованої передачі інформації на основі виявлення аномалій передбачає наявність таких етапів: обчислення статистичних характеристик мережевого середовища, побудова прогнозу та безпосередньо виявлення аномалій [4]. Для того щоб виключити із множини спостережень випадкові коливання та підвищити якість роботи критеріїв реєстрації аномальної поведінки необхідно провести згладжування даних (метод короткострокового центрованого ковзного середнього) та видалити тренди (метод відхилення від ковзного середнього) [4].

Висновки. Отже, на практиці доведено, що процес виявлення аномалій методом статистичного аналізу характеристик TCP/IP трафіку є дієвим для випадку використання поля Identification IP-протоколу в якості носія прихованої передачі інформації. Проте у більш складних випадках (наприклад, використання прикладного рівня моделі OSI для прихованої передачі інформації) для виявлення аномалій треба застосовувати методи інтелектуального аналізу.

Список використаних джерел:

1.Головін А.Ю., Методи виявлення прихованих каналів передачі інформації у комп’ютерних мережах / Збірник наукових праць ІПМЕ. вип.71, 2014. – 9 с.

2.Mark A. West, Stephen McCann, TCP/IP Field Behavior RFC 4413

3.Бобров А. В., Масич Г. Ф., Подходы к реализации сетевой системы обнаружения вторжений на основе выявления аномального поведения / Проблемы теоретической и прикладной математики: Труды 36-й Региональной молодёжной конференции. Екатеринбург: УрО РАН, 2005. – 3 с.

4.Шелухин О. И., Обнаружение вторжений в компьютерные сети (сетевые аномалии)

/Горячая линия – Телеком, Москва, 2015. – 220 с.

5.Новиков Е. А., Краснопевцев А. А., Сравнительный анализ методов обнаружения вторжений / Безопасность информационных технологий. – 2012. – № 1. – С. 47-50

6.Брюховецкий А. А., Скатков А. В., Адаптивная модель обнаружения вторжений в компьютерных сетях на основе искусственных иммунных систем / Журнал Электротехнические и компьютерные системы № 12 (88), 2013. – 10 с.

Анотація. Розглянуто процес аналізу статистичних характеристик TCP/IP трафіку, особливості роботи TCP/IP стеку операційних систем Windows та Linux, а також вплив процесу прихованої передачі інформації на статистичні характеристики

TCP/IP трафіку.

Abstract. The article describesthe process of analysis the statistical characteristics of TCP / IP traffic and the TCP / IP stack realization features of the OS Windows and Linux, as well as the impact of covert data transmission on the statistical characteristics of TCP / IP traffic.

107