Задачей управления со стороны злоумышленника является организация такого воздействия U, которое обеспечило бы перевод объекта (ВС) в требуемое состояние [11], т.е.:

Y'= Y^*.

Это означает, что объект надо перевести в состояние Y*. Причем речь идет не о действительном состоянии объекта Y, а о видимом злоумышленником состоянии Y', которое скорее всего не совпадает с действительным (не полностью отражает его).

Объект связывает свой вход, управление и выход определенным образом:

,

где Х - состояние среды, с которой взаимодействует объект,

Y - модель объекта,

U - управляющее воздействие,

F - оператор объекта, позволяющий строить образы объекта.

До сих пор рассматривалась ситуация изучения злоумышленником пассивной ВС, в процессе которого злоумышленник создает модель ВС, т.е. познает ее. При этом ВС если и меняет свои свойства, то в результате собственной эволюции и внешних факторов, к которым относятся и воздействия злоумышленника на ВС (т.е. попытки растормошить объект чтобы он проявил какие-либо свои свойства или деструктивные воздействия). Однако реакция ВС на воздействия в таком случае неактивна и не зависит от целей злоумышленника. В этом и состоит существенная сторона и простота ситуации при вскрытии пассивного объекта.

Однако с точки зрения рефлексивного взаимодействия необходимо предусмотреть систему противодействия, которая будет активно взаимодействовать со злоумышленником. Получаемое в результате сопротивление будет провоцировать конфликт.

Активность ВС заключается в том, что она имеет свою собственную цель Y_O*, отличную от цели злоумышленника Y*, т.е.

Y_O^* Y^*,

и во имя реализации этой цели СВС с помощью СПДКР может искажать сведения о своей реакции на ситуацию X и управление злоумышленника U путем целенаправленного воздействия U_О на датчики ситуации и своего состояния D₁ и D₂ (рис. 2.4) [11].

Рис. 2.4. Модель активного взаимодействия злоумышленника и ВС

Таким образом, ВС в лице системы противодействия выступает в роли управляющего устройства и активно воздействует на злоумышленника путем целенаправленного искажения информации о своей среде и своем состоянии. Объектом управления со стороны активного объекта (ВС) является подсистема сбора информации злоумышленника D₁ и D₂.

Формализуем эту задачу. Пусть F - оператор объекта, а F' - модель этого оператора, получаемая КР, т.е.

Злоумышленник желает синтезировать модель F', которая бы позволила ей реализовать в ВС свою цель Y* при соответствующем выборе управления U*:

ВС же, воздействуя на D₁ и D₂, стремится выдать злоумышленнику такую информацию X' и Y', чтобы управление, синтезированное на базе этой информации, не мешало ему реализовать собственную цель, т. е.

Значит, на стадии синтеза модели F' одновременно решаются две взаимосвязанные задачи. С одной стороны, злоумышленник синтезирует модель ВС по своим наблюдениям:

с другой стороны, ВС в лице системы противодействия, воздействуя на датчики исследователя, добивается собственной цели:

где X'=D1X,

Y'=D2Y;

- множество допустимых моделей, используемых злоумышленником;

- множество допустимых управлений датчиками, используемое ВС.

А на стадии управления в рамках информационного противоборства злоумышленник и ВС также решают разные задачи:

Таким образом, на стадии синтеза модели ВС располагает очень большими возможностями, чтобы спровоцировать о себе «мнение» F', которое на стадии управления, когда возможности ВС сужены, будет ей использовано для того, чтобы осуществить собственную цель [11].

Следовательно, активность ВС может препятствовать адекватному ее познанию и управлению ей. Злоумышленник не догадывается об активности (рефлексивной деятельности) ВС и действует так, как будто перед ним пассивная ВС - хотя и «коварная» в смысле трудностей ее познания, но не ведущая никакой игры. Такая «наивность» злоумышленника может эффективно использоваться системой противодействия ВС.

На стадии управления, когда злоумышленник должен получить какой-то реальный эффект от управления U* (а не информацию о том, что эффект имеет место), он его не получит, так как СВС находится не в том состоянии, которое требует злоумышленник.

Следует вывод о необходимости в целях защиты информации о ВС и защиты самой ВС влиять на процессы первичного и вторичного синтеза модели ВС путем управления ДМП состава, структуры и алгоритмов функционирования ВС и ее узлов, а также путем рефлексивного воздействия на злоумышленника за счет формирования у него устойчивых ложных стереотипов о построении ВС и корреляции ее структуры со структурой системы управления, в интересах которой функционирует ВС.

2.3 Модель ВС с точки зрения процессов вскрытия ее злоумышленником

Таким образом, все элементы матрицы связности преобразованного графа изображенного на рис. 2.6 кроме входящих в диагональ будут равны единице.

В п. 2.2 сделан вывод о необходимости управления параметрами и структурой ВС в целях формирования ложной модели ВС у злоумышленника. В п.п. 2.1, 2.3 обоснован перечень параметров ВС и ее структуры, которые необходимо подвергнуть управлению в этих целях. Разработанная модель ВС позволяет описать ВС в терминах этих параметров. Следовательно, управление параметрами ВС в рамках данной модели позволит достичь сформулированной цели.

Для выполнения поставленной задачи необходимо сформировать механизмы управления ВС и оценки эффективности получаемых решений.

Основными направлениями решения задачи являются динамическое масштабирование ВС (управление структурой) и коррекция такого параметра ВС как интенсивность информационных направлений.

Первое направление за счет увеличения количества узлов ВС позволит существенно изменить представление о ВС в целом и о структуре системы управления, в интересах которой ВС функционирует. Второе направление позволит дополнительно к первому смещать акценты от одних узлов ВС к другим, от реальных к ложным, и изменять их место в иерархии системы управления на уровне модели ВС, формируемой злоумышленником.

В целом оба направления дадут возможность сформировать ложную картину у злоумышленника.

Для решения задачи первого направления очевидным решением является добавление на графе ВС новых узлов и информационных потоков между новыми и старыми узлами, как это показано на рис. 2.10, где новые узлы имеют номера от 11 до 14. Кроме того, необходимо указать и направление новых информационных потоков.

Пример коррекции структуры ВС, представленной на рис. 2.8, приведен на рис. 2.10. Как видно из рисунка визуальные отличия налицо. При условии, что такое различие будет достигнуто путем управления ДМП ВС, и при этом физически в ВС не появится новых узлов и новых связей, можно делать выводы о достижении цели, т.е. формирования у злоумышленника некорректной модели ВС.

Рис. 2.10. Пример корректированной структуры ВС

Однако возможно много вариантов таких преобразований, и для того чтобы выбрать наиболее подходящие, необходимо получить численную оценку различия между исходным и преобразованным графом. Для этого и был предложен второй вариант описания графа в виде матрицы.

Соответственно, в матрице связности графа ВС аналогичным образом добавляются новые столбцы и строки, нулевые элементы заменяются единичными там, где появились новые связи, а новые (пока еще пустые) элементы заполняются нулями и единицами в соответствии с новым графом ВС.

A=

Простейшим вариантом выполнения таких действий может быть эвристический, когда специалист, основываясь на собственном опыте, выберет, где и какие элементы добавить. Другим вариантом может быть применение так называемых графовых грамматик [16,17], позволяющих за счет определенных правил задать преобразование отдельных цепочек и подграфов в графе. Правила в грамматике тоже необходимо задавать человеку, но в случае решения трудоемкой задачи на крупном графе, содержащем одинаковые подграфы, применение графовых грамматик позволит упростить, ускорить и автоматизировать задачу получения различных вариантов решения, из которых можно будет выбрать наиболее предпочтительный.

Для оценки наиболее предпочтительных вариантов из множества решений можно использовать применяемую в теории распознавания образов меру близости (сходства). Таких мер в литературе описывается достаточно много. Наиболее часто применяемой в сходных задачах является мера, называемая «евклидовым расстоянием», которая позволяет поэлементно сравнивать две матрицы с признаками двух объектов, и вычислять относительное их сходство (на сколько один объект удален от другого):

,

где А, В - матрицы соответствующих признаков первого и второго объекта.

Поскольку мера близости требует, чтобы сравниваемые матрицы были равными по размерности, для сравнения исходного графа с новым, полученным в результате преобразований, необходимо дополнить матрицу связности исходного графа нулевыми элементами. Например, вычисленная мера близости для графов, изображенных на рис. 2.8 и 2.10 представленных следующими матрицами связности:

A=

B=

будет равна D(A,B)= 22.

Аналогичным образом можно посчитать меру близости для ВС, описанных в виде матриц с интенсивностями.

Анализ показал, что сама по себе мера близости позволяет лишь относительно отличить одни варианты решения от других, и не напрямую зависит от количества производимых изменений в графе (по крайней мере, существуют варианты, когда изменения приводили к мере близости равной нулю).

Для того чтобы действительно обоснованно осуществить выбор решения, который позволит существенно повлиять на формируемую у злоумышленника модель необходимо решить задачу о вероятности отнесения того или иного решения (преобразованного графа) к исходному объекту, т.е. попросту признания преобразованного объекта за слегка видоизмененный исходный.

1. Разработана модель процесса вскрытия ВС с точки зрения теории познания и выявлена взаимосвязь основных его этапов.

2. Выявлены основные инвариантные свойства ВС, позволяющие злоумышленнику строить модель ВС.

3. Сделан вывод об иерархичности инвариантов ВС.

4. На основе теории познания изложена сущность конфликта в информационной сфере между объектом и субъектом познания.

5. Сделан вывод о том, что в рамках информационного противоборства злоумышленник и ВС решают две противоположные задачи: ВС в лице своей системы противодействия пытается минимизировать управляющее (разведывательное или деструктивное) воздействие со стороны злоумышленника; злоумышленник пытается минимизировать расхождение данных получаемых из датчиков с реальными данными о ВС для синтеза корректной модели ВС и повышения, таким образом, эффективности управления ею.

6. Сделан вывод о необходимости в целях защиты информации о ВС и защиты самой ВС влиять на процессы первичного и вторичного синтеза модели ВС путем управления ДМП состава, структуры и алгоритмов функционирования ВС и ее узлов.

7. Разработана модель ВС, основанная на теории графов, и описывающая основные свойства ВС с точки зрения процессов вскрытия ее злоумышленником.

8. Предложены механизмы динамического масштабирования ВС в рамках разработанной модели ВС и направления оценки их эффективности.

3. РАЗРАБОТКА ПРЕДЛОЖЕНИЙ ПО ДИНАМИЧЕСКОМУ МАСШТАБИРОВАНИЮ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ

В п. 2.2. обосновано, что в целях повышения защищенности ВС необходимо осуществлять управление ее ДПМ. Деструктивные возможности удаленных атак и вредоносных программ, используемых злоумышленниками, обусловлены их нацеленностью на слабые места средств защиты и используемого телекоммуникационного оборудования, уязвимости операционных систем и системных приложений ВС [8].

Сбор информации злоумышленником о таких недостатках программного и программно-аппаратного обеспечения становится возможным вследствие потенциальной возможности выделения распределенных ВС на фоне множества элементов ТКС путем анализа трафика.

Следовательно, для обеспечения большей защищенности ВС необходимо скрыть ее, сформировать ложную модель ВС на информационном поле злоумышленника. Но распределенные ВС проявляют себя в каналах связи посредством информационного обмена удаленных узлов.

Определено, что для достижения поставленной цели необходимо осуществлять динамическое масштабирование ВС и в п. 2.4 приведены механизмы такого управления.

Поскольку задачу управления большой распределенной ВС в целом достаточно сложна, ее можно декомпозировать на совокупность подзадач (рис. 3.1), заключающихся в разбиении ВС на атомарные элементы, в которых задача управления решима, решении задачи на уровне атомарного элемента и разработки механизма, позволяющего увязать атомарные решения на уровне ВС в целом.

В качестве атомарного элемента, являющегося инвариантом ВС, можно выбрать совокупность из двух узлов ВС и связи между ними (отображающейся в виде информационных потоков как в п. 2.3). Следовательно, первостепенной задачей является разработка алгоритмов динамического масштабирования в рамках такого атомарного элемента.

Рис. 3.1. Декомпозиция задачи динамического масштабирования ВС

Существующий механизм создания соединений известен [18], также как известна и структура передаваемых пакетов сообщений. Информация протоколов верхних уровней ЭМВОС инкапсулируется в пакеты следующих вниз за ними уровней и, в конце концов, в канал связи передается пакет канального уровня, заголовок которого имеет информацию о физических адресах отправителя и получателя данного пакета (рис. 3.2). Такая информация актуальна только в пределах локальных сегментов ВС.

Для того чтобы осуществляемое управление ДМП не было вскрыто злоумышленником, а именно, ложные информационные потоки не отличались от реальных, необходимо применить некоторое их преобразование.

Рис. 3.2. Процесс инкапсуляции пакетов сообщений в модели ЭМВОС

В частности для решения этой задачи подходит криптографическое закрытие информационной составляющей пакетов сообщений, применяемое, например, в технологии виртуальных частных сетей (VPN) [19]. В технологии VPN информация прикладного и транспортного уровней ЭМВОС кодируется и в открытом виде по каналу связи передается только IP-заголовок пакета сообщений (рис. 3.3).

Рис. 3.3. Структура пакета сообщений VPN-технологии

Структура IP-заголовка известна (рис. 3.4), и позволяет выделить из него ДМП (адреса отправителя и получателя пакета сообщений), выделяющие информационный обмен распределенной ВС на фоне информационного обмена других элементов ТКС. Выделение ДМП информационного обмена позволяет злоумышленнику изучить структуру ВС, следовательно, путем управления ими возможно сформировать у злоумышленника ложную модель ВС.

Рис. 3.4. Структура IP-заголовка пакета сообщений

3.1 Алгоритм динамического масштабирования ВС №1