Інформаційна технологія виявлення та аналізу аномальних подій для захисту комп’ютерних мереж малих та середніх підприємств на основі blockchain

Abstract

В роботі вирішено актуальне наукове завдання з розробки моделей та методів для інформаційної технології захисту комп’ютерних мереж, з врахуванням особливостей мереж малих та середніх підприємств, які базуються на методах зберігання та поширення інформації на основі blockchain технології. Крім того, важливим є завдання визначення архітектури інформаційної системи виявлення вторгнень для мереж малих та середніх підприємств, яка використовує blockchain компоненти. Об’єктом дослідження є інформаційні процеси в системах забезпечення захисту від кіберзагроз та аномального трафіку комп’ютерних мереж. Предметом дослідження було обрано методи, моделі та елементи інформаційної технології колаборативного захисту від кібератак та аномального трафіку для комп’ютерних мереж малих та середніх підприємств на основі blockchain технології. Метою дисертаційного дослідження є підвищення ефективності захисту комп’ютерних мереж малих та середніх підприємств на основі блокчейн технології. Завдання дослідження полягає в побудові моделі розподіленої системи захисту комп’ютерних мереж на основі blockchain, спираючись на результати аналізу основних загроз для комп’ютерних мереж, зокрема, мереж малих та середніх підприємств. В основу методології дослідження покладено імітаційне моделювання, UML проектування компонентів блокчейн технології, методи математичного моделювання для визначення оптимальних параметрів блокчейн підсистеми. Методи експертних оцінок використовувались для коректного вибору типових атак та навантажень на атаковані системи при побудові імітаційних моделей. Методи об’єктно-орієнтованого аналізу та функціонального моделювання, зокрема, SADT проектування, використані при концептуалізації бізнес-процесів у нотації IDEF0, які були взяті за основу при проектуванні інформаційної технології виявлення та аналізу аномальних подій для захисту комп’ютерних мереж малих та середніх підприємств на основі blockchain. У вступі обґрунтовано актуальність теми дослідження, сформульовані мета, задачі та методи дослідження та відображено зв’язок дослідження з науковими програмами кафедри, наведено наукову новизну і практичне значення результатів дисертаційної роботи. У першому розділі виконано аналіз основних загроз інформаційній безпеці комп’ютерних мереж та факторів мережевої безпеки, що впливають на їх захищеність. Було виявлено, що мережі малих та середніх підприємств є більш вразливими до атак і потребують використання засобів захисту, що здатні оперативно виявляти нові, не відомі раніше, атаки та вчасно їх блокувати. Також було проведено аналіз основних методів та засобів захисту комп’ютерних мереж, як комерційних, так і рішень із відкритим вихідним кодом. У другому розділі запропоновано модель розподіленої інформаційної системи виявлення та аналізу аномальних подій на основі blockchain технології та обґрунтовано необхідність її використання для побудови розподіленої системи виявлення вторгнень для захисту мереж малих та середніх підприємств. Також наведено основні методи класифікації аномальних подій, які легко можуть бути інтегровані у вигляді окремих модулів у розподілену систему виявлення вторгнень та утворюють комплексний класифікатор для підвищення точності виявлення аномальних подій. Запропоновано метод вибору протоколу консенсусу для blockchain компонента розподіленої системи виявлення вторгнень та наведено адаптований для використання в системах виявлення вторгнень варіант протоколу консенсусу PoS. У третьому розділі представлено загальну функціональну модель розподіленої системи захисту комп’ютерних мереж на основі blockchain технології, яка визначає основні вхідні, вихідні параметри, обмеження та ресурси з трьома рівнями деталізації. Також наведено архітектуру розподіленої системи захисту комп’ютерних мереж малих та середніх підприємств на основі blockchain, представлену у вигляді UML діаграм. У четвертому розділі розроблено імітаційну модель розподіленої системи захисту комп’ютерних мереж, призначену для тестування роботи компонентів системи за різних умов та оцінки її швидкодії. Експеримент проведено, як у віртуальному середовищі так і на реальному обладнанні з аналогічними результатами. Основні результати дослідження та наукова новизна роботи полягають у розробці методів моделей та алгоритмів захисту комп’ютерних мереж малих та середніх підприємств на основі blockchain. На основі аналізу актуальних загроз для комп’ютерних мереж малих та середніх підприємств визначено найбільш ефективні методи та засоби захисту таких мереж із врахуванням особливостей їх функціонування та експлуатації. В роботі запропоновано перелік основних класифікаторів для інформаційної технології захисту комп’ютерних мереж, що можуть бути об’єднані в комплексний класифікатор для підвищення точності виявлення не відомих аномальних подій розподіленою системою виявлення вторгнень. Розроблений метод підвищення ефективності використання ресурсів blockchain підсистемою оцінює ймовірність успішного створення блоку та дозволяє знизити споживання ресурсів blockchain підсистемою. Запропонована архітектура розподіленої системи захисту комп’ютерних мереж на основі blockchain дозволяє забезпечити надійний захист мереж малих та середніх підприємств від вторгнень, завдяки використанню даних зібраних багатьма вузлами розподіленої системи з різних мереж. Побудовані UML діаграми основних компонентів розподіленої системи захисту комп’ютерних мереж на основі blockchain для деталізації зв’язків між компонентами системи, та будови самих компонентів системи. Кросплатформенна реалізація blockchain компонента та класифікатора забезпечує можливість тестування незалежно від апаратної та програмної платформи на широкому спектрі обладнання з підтримкою Unix систем. Вперше розроблена концептуальна модель розподіленої інформаційної системи виявлення та аналізу аномальних подій в комп’ютерних мережах малих та середніх підприємств, яка на відміну від існуючих містить blockchain компонент для виявлення, накопичення, збереження та спільного використання інформації про аномальні події та блок мультикласифікатора для визначення наявності загрози, що дозволяє підвищити швидкість реагування на невідомі атаки; Вперше запропоновано метод вибору протоколу консенсусу для розподіленої системи виявлення вторгнень на основі blockchain, який на відміну від існуючих враховує вимоги до обладнання, масштабування та керування учасниками систем виявлення вторгнень в комп’ютерні мережі, що забезпечує підтримку прийняття рішень при проектуванні систем захисту комп’ютерних мереж малих та середніх підприємств. Удосконалено метод консенсусу PoS blockchain технології, який на відміну від існуючих, використовує в якості значення ставки час роботи вузла в розподіленій системі і дозволяє використовувати blockchain для децентралізованого зберігання даних розподіленої системи виявлення вторгнень в комп’ютерні мережі малих та середніх підприємств. Набула подальшого розвитку функціональна модель розподіленої системи захисту комп’ютерних мереж на основі blockchain технології для виявлення, накопичення, збереження та спільного використання інформації про аномальні події, яка визначає основні вхідні, вихідні параметри, обмеження та ресурси з трьома рівнями деталізації та є основою для проектування систем захисту комп’ютерних мереж малих та середніх підприємств. Практичне значення отриманих результатів полягає в тому, що вони у своїй сукупності утворюють нову інформаційну технологію виявлення та аналізу аномальних подій для захисту комп’ютерних мереж малих та середніх підприємств на основі blockchain. Запропонована інформаційна технологія може бути використана як розробниками систем захисту комп’ютерних мереж, так і мережевими адміністраторами та ІБ спеціалістами малих та середніх підприємств. Розроблені бізнес процеси та архітектура є основою для розробки більш потужних та функціональних розподілених систем виявлення вторгнень.