пїњ

—»Ќ“≈« ѕ–ќ√–јћћџ ћќЌ»“ќ–»Ќ√ј –≈—”–—ќ¬ ¬џ„»—Ћ»“≈Ћ№Ќќ… —≈“» ќЅ–ј«ќ¬ј“≈Ћ№Ќќ… ќ–√јЌ»«ј÷»»

”ƒ  004.056.5
Ќадеждин ≈вгений Ќиколаевич
‘√ј” √Ќ»» »““ Ђ»нформикаї –осси€, ћосква1 √лавный научный сотрудник ƒоктор технических наук, профессор E-Mail: e.nadezhdin@informika.ru
÷ветков јлексей јлександрович
‘√Ѕќ” ¬ѕќ Ђ»вановский государственный университетї
Ўуйский филиал –осси€, Ўу€2
јспирант кафедры информационных систем и технологий
E-Mail: Tsvetkov.a.a@yandex.ru
—интез программы мониторинга ресурсов вычислительной сети образовательной организации
јннотаци€. ќперативное осуществление анализа данных о текущем состо€нии сетевых ресурсов и несанкционированных действи€х пользователей может служить информационной базой дл€ вы€влени€ потенциальных у€звимостей, обнаружени€ инсайдеров компьютерной сети, настройки механизмов защиты ресурсов и снижени€ рисков информационной безопасности. ¬ св€зи с чем актуальными €вл€ютс€ проблемы организации активного мониторинга и интеллектуального анализа данных, получаемых на его основе. ¬ данной работе сформулирована задача синтеза программы дистанционного мониторинга ресурсов распределенной вычислительной сети образовательной организации в интересах реализации автоматизированного ситуационного управлени€ рисками информационной безопасности. ѕри этом задача синтеза программы дистанционного мониторинга основана на оптимизации схемы обхода подконтрольных узлов сети дл€ достижени€ наилучших значений показателей эффективности мониторинга ресурсов распределенной вычислительной сети. ѕостановка задачи синтеза преобразована к канонической модели задачи коммиво€жера, дл€ решени€ которой использован метод ветвей и границ. ¬ насто€щей статье также приведены результаты вычислительного эксперимента, в ходе которого определена оптимальна€ схема обхода узлов сети, привод€ща€ к существенному снижению затрат времени и вычислительных ресурсов, что подтверждает эффективность применени€ разработанной методики.
 лючевые слова: распределЄнна€ вычислительна€ сеть; образовательна€ организаци€; дистанционный мониторинг ресурсов; активный мониторинг сети; задача синтеза программы мониторинга; оптимизаци€ мониторинга; задача коммиво€жера; метод ветвей и границ; обход узлов компьютерной сети; вычислительный эксперимент.
1 125009, ћосква, Ѕрюсов переулок, дом 21, строение 2
2 155908, »вановска€ область, г. Ўу€, ул.  ооперативна€, д.24
—овременный этап реформировани€ системы отечественного образовани€ протекает на фоне интенсивного развити€ информационно-коммуникационной инфраструктуры образовательных организаций (ќќ).  орпоративные информационно-вычислительные сети (»¬—) ќќ сегодн€ рассматриваютс€ как важнейший комплексный ресурс, необходимый дл€ реализации ключевых положений новой образовательной парадигмы. ¬ услови€х вариативности трафика и непрерывного расширени€ спектра деструктивных факторов различной природы на передний план вышла проблема комплексной защиты ресурсов »¬— ќќ [1, 4]. ѕерспективным направлением совершенствовани€ защиты инфраструктуры и обеспечени€ устойчивости функционировани€ »¬— ќќ €вл€етс€ осуществление модели ситуационного управлени€ ресурсами. ¬ соответствии с современными взгл€дами, дл€ реализации концепции ситуационного управлени€ необходимо оперативно осуществл€ть анализ информации о текущем состо€нии сетевых ресурсов и несанкционированных действи€х пользователей. ќб актуальности этих вопросов убедительно свидетельствует возросший поток научных публикаций, посв€щЄнных проблемам организации активного мониторинга и интеллектуального анализа данных, получаемых на его основе. “акие сведени€ могут служить информационной базой дл€ вы€влени€ потенциальных у€звимостей, обнаружени€ инсайдеров, настройки механизмов защиты ресурсов и снижени€ рисков информационной безопасности.
¬ насто€щей статье рассматриваетс€ задача синтеза программы активного мониторинга ресурсов »¬— ќќ в интересах реализации автоматизированного ситуационного управлени€ рисками информационной безопасности. ¬ качестве прототипа системы управлени€ рисками выбрана концептуальна€ модель сетевой среды распределЄнных вычислений (——–¬), изложенна€ в работе ¬.¬.  орнеева [3]. ¬ рамках известного подхода система управлени€ ——–¬ представл€етс€ в виде совокупности трех взаимодействующих подсистем:
1) подсистемы мониторинга, след€щей за состо€нием ресурсов и контролирующей состав ресурсов и режимы их функционировани€;
2) подсистемы управлени€ ресурсами, поддерживающей ресурсы в работоспособном состо€нии, ввод€щей и вывод€щей их из процесса обработки и обеспечивающей их профилактику, ремонт и настройку;
3) подсистемы управлени€ задани€ми, динамично выдел€ющей ресурсы задани€м и управл€ющей задани€ми в процессе их выполнени€.
”точним пон€тие мониторинга. ћониторинг будем рассматривать как специально организованное систематическое наблюдение за состо€нием группы объектов, €влений и процессов в цел€х качественной и/или количественной оценки их состо€ни€ с априорно заданных формальных позиций (аномальный характер поведени€, работоспособность, надЄжность, эффективность использовани€), а также протекающие при этом прикладные процессы (подпроцессы) в аспектах оценки состо€ни€ их качества и возможности использовани€ в соответствии с прин€тым регламентом [7]. ¬ качестве прототипа рабочей модели мониторинга ресурсов распределЄнной »¬— ќќ, используемой в наших исследовани€х, выбрана известна€ подсистема мониторинга ресурсов среды распределЄнных вычислений, построенна€ на базе информационной службы MDS, свободно распростран€емого продукта Globus Toolkit, протокола LDAP и механизма активного мониторинга FLAME [1]. ѕод термином Ђмониторинг состо€ни€ защищенности ресурсовї далее понимаетс€ совокупность подпроцессов, которые предусматривают систематическое дистанционное зондирование и наблюдение за функциональным состо€нием и защищенностью ресурсов »¬— с целью обнаружени€ имеющихс€ или возникающих в результате несанкционированных действий пользователей у€звимостей [2, 7].
ћониторинг сегментов »¬— обычно сводитс€ к целенаправленному автоматизированному или автоматическому пр€мому (или косвенному) дистанционному наблюдению за действи€ми пользователей в интересах своевременного обнаружени€ попытки или факта нарушений установленных прав доступа и обеспечива€ сбора информации о Ђподозрительномї поведении пользователей на критическом сегменте сети [7]. ¬ыделим основные функции системы мониторинга ресурсов »¬— в контуре управлени€ рисками информационной безопасности:
а) слежение за состо€нием информационных и вычислительных ресурсов;
б) оценка достаточности имеющихс€ ресурсов;
в) контроль их определ€ющих характеристик и режимов функционировани€;
г) оценка активности пользователей на заданном сегменте »¬— ќќ.
 онфигурированию системы мониторинга должны предшествовать анализ характеристик архитектуры »¬—, прогнозирование характера и направленности веро€тных угроз и определение оптимального плана размещени€ инструментов мониторинга. ¬ последнее врем€ все более распространенной стала Ђклиент-серверна€ї модель взаимодействи€ компьютеров в »¬—, состо€ща€ из нескольких неравноправных звеньев: серверов, владеющих информационными ресурсами, и клиентов, имеющих возможность обращатьс€ к этим ресурсам. ¬ этой св€зи сетева€ модель активного мониторинга рабочих станций »¬— на содержательном уровне может быть представлена в следующем виде. ¬се компьютеры »¬— ќќ объединены в домен. ¬ »¬— могут быть размещены различные сервера: прокси-сервер, файловый сервер, сервер баз данных, сервер Backup, контроллер домена, сервер администрировани€ антивирусов и другие. ¬ »¬— присутствуют рабочие станции пользователей, кажда€ из которых имеет свою доменную учетную запись, определ€ющую права доступа к корпоративным сетевым и к интернет-ресурсам.
 ак показали наши исследовани€ [7, 9], дл€ централизованного сбора и обработки информации о состо€нии ресурсов и действи€х пользователей в »¬— целесообразно установить специализированный сервер мониторинга. ѕри выборе местоположени€ сервера необходимо руководствоватьс€ несколькими критери€ми: минимальной удалЄнностью сервера от рабочих станций (–—) и ресурсов, мониторинг которых необходимо производить, защищЄнностью и достаточной Ємкостью линий св€зи между сервером мониторинга и –— с клиентами, которые будут к нему подключатьс€. ”казанный сервер должен поддерживать активный мониторинг посредством генерации тестовых заданий и анализа логов аудита файловых систем и сетевого трафика. “ак, например, с прокси-сервера считываетс€ лог сетевой активности пользователей, содержащий в себе сведени€ об успешных и неудачных попытках их доступа к сетевым ресурсам. — контроллера домена может быть получена информаци€ о неудачных попытках авторизации, о сесси€х пользователей и т. п.
¬ыбор конкретных средств и методов сетевого мониторинга должен опиратьс€ на такие факторы, как конфигураци€ сети, наличие действующих серверов, характеристики установленного программного обеспечени€ и другие. ќднако в любом случае представл€етс€ целесообразным активизаци€ и сопровождение двух параллельных информационных процессов - общего и событийного видов мониторинга. ќбщий мониторинг должен проводитьс€ с некоторой периодичностью, определ€емой политикой безопасности ќќ и параметрами »¬—, и состо€ть из следующих последовательных действий: тестирование физической доступности оборудовани€; анализ работоспособности критических служб и сервисов, запущенных в сети; проверка функционального состо€ни€ всех компьютеров в »¬— и состо€ни€ баз данных. —обытийный мониторинг проводитс€ при по€влении определенных критических событий, возникающих как при работе пользователей, так и сетевого
оборудовани€ и внешних систем. ѕри этом регистрируетс€ само событие и все св€занные с ним изменени€ данных. ќтчеты по результатам общего и событийного видов мониторинга систематизируютс€ и отправл€ютс€ в установленном формате в базу данных мониторинга.
—истема мониторинга должна быть спроектирована, ориентиру€сь на конкретные задачи и технологические возможности управлени€ ресурсами распределЄнной »¬— ќќ. ѕри этом функционирование такой системы должно осуществл€тьс€ в режиме регламентного времени, не наруша€ режим работы »¬—, при возможном минимуме привлекаемых информационных и вычислительных ресурсов. ƒл€ оценки эффективности программы мониторинга необходимо определить количественные характеристики мониторинга применительно к определЄнным услови€м его проведени€.  лючевыми показател€ми эффективности мониторинга могут служить: качество собранной информации, затраты времени на проведение мониторинга и его периодичность, ресурсозатратность [3, 8]. ¬ интересах формализации задачи синтеза программы активного мониторинга, ограничимс€ рассмотрением трЄх основных показателей:
1) длительность полного цикла “ мониторинга ресурсов выделенного сегмента »¬—;
2) приведЄнна€ величина затрат вычислительных ресурсов, определ€емых количеством вычислительных операций;
3) достоверность гипотезы о работоспособном состо€нии ресурсов, необходимых дл€ выполнени€ к - й функциональной задачи, в виде условной веро€тности ру на основании обработки результатов мониторинга.
ƒобитьс€ наилучших значений показателей можно путЄм оптимизации схемы обхода подконтрольных узлов сети, под которой будем понимать такой способ его осуществлени€, при котором временные затраты €вл€ютс€ минимальными, а затраты вычислительных ресурсов и достоверность мониторинга наход€тс€ в допустимых пределах. ”читыва€ специфику топологии распределЄнной »¬— ќќ, предлагаетс€ процесс мониторинга ресурсов осуществл€ть в несколько этапов:
1) идентификаци€ рабочей сетевой модели »¬—;
2) сегментаци€ сетевой модели »¬—;
3) оптимизаци€ программы мониторинга и выбор механизмов еЄ реализации;
4) собственно осуществление мониторинга;
5) обработка и анализ результатов мониторинга.
¬ насто€щей статье ограничимс€ рассмотрением второго и третьего этапов активного мониторинга.
ѕредположим, что рабоча€ модель распределЄнной »¬— ќќ с известной архитектурой представлена функциональным графом ќ (X,и), где X - множество вершин, и - множество дуг. ѕусть задача сегментации заключаетс€ в декомпозиции рабочей модели ќ (X,и) и в выделении совокупности относительно независимых подсистем (сегментов), св€зи между которыми могут быть условно разомкнуты (с последующим учЄтом) без ущерба дл€ результата исследовани€. ѕроизвести декомпозицию сложной системы управлени€ - это значит выделить в ней отдельные сильно св€занные подсистемы, т. е. такие подсистемы, все остальные части которых благодар€ обратным св€з€м взаимно достижимы. »звестно, что граф такой системы бисв€зен. ѕри декомпозиции »¬— выдел€ютс€ также слабо св€занные
подсистемы, все составные части которых св€заны неориентированным путем. √раф такой подсистемы св€зен. ѕредложим формализацию решени€ задачи декомпозиции »¬— на основе сокращени€ размерности ориентированного функционального графа ќ (X, и) . ƒл€ упрощени€ модели распределЄнной инфраструктуры »¬—, представленной ориентированным графом, можно рекомендовать следующий алгоритм декомпозиции [6].
Ўј√ 1. —оставить матрицу смежности ј графа ќ (X, и) .
Ўј√ 2. —формировать вспомогательную матрицу я1 = ј + ≈, где ≈ - единична€ матрица размера (п х п); (+) - знак логического сложени€; я1 - матрица первой
достижимости, I -€ строка которой представл€ет все ориентированные пути по графу из I -й вершины до всех остальных вершин, если длина пути равна одному ребру.
Ўј√ 3. ќпределить я2 = я1 2, где символ (*) означает, что при вычислении я х я2 примен€етс€ логическое умножение и суммирование соответствующих элементов матриц.
јналогично определ€ютс€ все матрицы вплоть до я = яп = я*п, где я - матрица
достижимости графа ќ (X, и), I -€ строка которой представл€ет все ориентированные пути по
графу длиной от одного до п ребер из I -й вершины ко всем остальным. ћатрицы ј и я имеют размерность п х п .
ѕри вычислении я не об€зательно я1 возводить в п -ю степень. ≈сли я* = я*(к,
то я = я*к, где к < п .
Ўј√ 4. ѕроанализировать матрицу я . «десь возможны два случа€. ≈сли я = Q, где Q = ] - така€ универсальна€ матрица, что дл€ всех индексов / и ] выполн€етс€ условие ÷у = 1, то граф бисв€зен, и декомпозици€ системы невозможна. ѕри этом система состоит из одной сильно св€занной подсистемы. ≈сли я ‘ Q, то необходимо перейти к следующему шагу. ¬ тех случа€х, когда априорно известно, что граф св€зен, следует перейти к шагу 8.
Ўј√ 5. ќпределить матрицу достижимости неориентированного графа ќ0 (X,и), соответствующего ориентированному графу ќ (X ,и) системы. ћатрица
я0 = (ј + ј“ + ÷) п , где символ ї означает операцию транспонировани€.
Ўј√ 6. ќпределить св€зные подграфы ориентированного графа ќ (X, и) . »звестно, что множество вершин св€зного подграфа, содержащего вершину I, определено единицами в I -й строке матрицы я0 . ≈сли я0 = Q, то граф ќ (X,и) состоит из одного св€зного
подграфа. ¬ этом случае необходимо перейти к шагу 8. ≈сли же я0 ‘ Q, то надо перейти к следующему шагу.
Ўј√ 7. ”пор€дочить вершины графа ќ (X,и) (матрицы ј ) по св€зным подграфам.
Ўј√ 8. ќбразовать матрицу св€зности — = я + ят . «десь предусмотрена обычна€ (арифметическа€) операци€ сложени€.
Ўј√ 9. ¬ыделить из матрицы — бисв€зные подграфы. Ѕисв€зный подграф, содержащий вершину к, определен двойками в к -й строке матрицы — .
»нтернет-журнал ЂЌј” ќ¬≈ƒ≈Ќ»≈ї ¬ыпуск 5 (24), сент€брь - окт€брь 2014
http://naukovedenie.ru publishing@naukovedenie.ru
Ўј√ 10. ”пор€дочить матрицу ј так, чтобы бисв€зные подграфы образовали квадратные подматрицы ≈с ј, = 1, р .
Ўј√ 11. ќбразовать матрицу = (ј0 + ј + ≈+) 1, где ј + - матрица смежности
и>
подграфа с множеством вершин Ќ = ∆ / и ¬^, ¬^ - подмножество составных частей и -й сильно св€занной подсистемы, а затем выполнить п. 6 и п. 7.
Ўј√ 12. ѕо упор€доченной матрице ј' определить св€зи (ребра) между подсистемами, которые могут быть разорваны в результате декомпозиции.
–ассмотрим пример реализации изложенного алгоритма декомпозиции. ѕусть известна »¬—, структура которой представлена графом, приведЄнным на рис.1 (разработан авторами). —оставим матрицу смежности ј этого графа. ƒалее последовательно получим матрицу достижимости я этого графа и матрицу св€зности — .
»зуча€ структуру матрицы я0, выдел€ем дополнительно три слабо св€занные подсистемы ¬з ={1, 4, 5}, ¬4 ={12, 14} и ¬5 ={2}.
јнализиру€ структуру матрицы св€зности —, вы€вл€ют две сильно св€занные подсистемы ¬1=(6, 7, 8, 9, 10) и ¬2 = (3, 11, 13, 15, 16).
я=
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1
1 2
1 1 1 1 1 1 3
1 1 1 1 1 1 1 1 1 1 1 1 1 1 4
1 1 1 1 1 1 1 1 1 1 1 1 1 1 5
1 1 1 1 1 1 1 1 1 1 1 1 1 6
1 1 1 1 1 1 1 1 1 1 1 1 1 7
1 1 1 1 1 1 1 1 1 1 1 1 1 8
1 1 1 1 1 1 1 1 1 1 1 1 1 9
1 1 1 1 1 1 1 1 1 1 1 1 1 10
1 1 1 1 1 1 11
1 1 1 1 1 1 1 1 12
1 1 1 1 1 1 13
1 1 1 1 1 1 1 14
1 1 1 1 1 1 15
1 1 1 1 1 1 16
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
2 1
2 2
2 2 2 2 2 3
2 4
2 5
2 2 2 2 2 6
2 2 2 2 2 7
2 2 2 2 2 8
2 2 2 2 2 9
2 2 2 2 2 10
2 2 2 2 2 11
2 12
2 2 2 2 2 13
2 14
2 2 2 2 2 15
2 2 2 2 2 16
»з полученных результатов следует, что в упор€доченной матрице смежности ј' функционального графа ќ (X,и) необходимо разорвать св€зи, выделенные на матрице звездочкой, а на рис. 1 крестиками. ѕосле декомпозиции матрицу ј ' можно разрушить, сохранив лишь подматрицы смежности Ѕэ и матрицу смежности сокращенного графа ћ, которые естественным образом получаютс€ из ј'.
1 4 5 6 7 8 9 10 12 14 3 11 13 15 16 2
1 1 1
1* 4
1* 5
1 6
1 7
1 1* 8
1 9
1 10
1 12
1* 1 14
1 3
1 1 1 11
1 1* 13
15
1 16
2
¬з ¬г ¬4 ¬2 ¬5
–ис. 1. »сходный функциональный граф »¬— ќќ «амкнутые контуры в подсистемах ¬1 и ¬2 устран€ютс€ на основе использовани€
матриц смежности.
Ѕ1=
6 7 8 9 10
1 6
1 7
1 8
1 9
1 10
3 11 13 15 16
1 3
1 1 1 11
1 13
1 15
1 16
ѕосле декомпозиции и устранени€ замкнутых контуров можно представить »¬— сокращенным ориентированным графом , где - множество вершин (подсистем);
≈ - множество ориентированных ребер (св€зей между подсистемами).
ѕолученный сокращенный граф €вл€етс€ удобной моделью дл€ решени€ динамических, информационных и диагностических задач при проектировании »¬— ќќ. ќн обладает всеми основными топологическими свойствами исходной модели »¬—, поскольку система преобразовывалась таким образом, чтобы топологическое пространство, представленное ориентированным графом 0(’,и), непрерывно отображалось в топологическое пространство, представленное графом Z(V, ≈). ƒл€ рассмотренного примера
матрица смежности ћ сокращенного графа %(V,≈) (рис. 2, разработан авторами) имеет вид:
ћ=
¬1 ¬2 ¬з ¬4 ¬з
1 ¬1
1 ¬ 2
1 ¬ 2
1 ¬ 2
¬ 2
¬о всех матрицах рассмотренного примера, за исключением случа€ матрицы —, в свободных клетках подразумеваютс€ нули; а в матрице — все свободные клетки заполнены единицами.
–ис. 2. ”крупненна€ функциональна€ модель »¬— ќќ после сегментации
ѕолученна€ на втором этапе исследовани€ графическа€ модель (рис. 2) с общих позиций описывает взаимодействие компонентов »¬—.
ѕоставим в соответствие каждому сегменту ¬к, к = 1, т, вершину ∆к, к = 1, т. ƒополнительно введЄм вершину єт+1, котора€ будет имитировать использование сервера
мониторинга ресурсов »¬—. ћножество вершин ∆,, к = 1,(т +1) соединим множеством дуг единичных (I, ]) , которые будут отражать информационные св€зи между соответствующими
вершинами. ѕолученный ориентированный граф % (∆, ≈) модели представлен на рис. 3 (разработан авторами).
ѕоложим, что т + 1 = п .
(->
–ис. 3. ћодифицированный граф рабочей сетевой модели
¬ цел€х упрощени€ графического представлени€ модели на рис.3 покажем только дуги (/, у), которые св€зывают дополнительную вершину ∆п с остальными вершинами
∆к, к = 1,т. ¬еса всех дуг зададим с помощью квадратной матрицы —(1, у) = \е1 у ]
размерности п х п , полага€ при этом, что = да VI = 1, п.
”читыва€ прин€тые допущени€, исходна€ задача синтеза программы мониторинга ресурсов »¬— ќќ может быть интерпретирована как комбинаторна€ задача поиска
“*
оптимального в смысле суммарных затрат замкнутого маршрута № . “акой маршрут должен начинатьс€ в вершине и проходить один раз через все остальные вершины ^к, к = 1, т, модифицированного графа рабочей модели (рис. 3).  онкретизируем физический смысл элементов с ],   ” = 1 п. ѕредварительно отметим, что автоматизированна€ обработка информации о функциональном состо€нии очередного у -го сегмента сети предполагает использование априорной информации. ќдним из источников такой информации могут быть результаты анализа состо€ни€ I -го сегмента, осуществлЄнного на предыдущем шаге мониторинга.
ѕусть элемент с1,у отражает полные затраты времени на функциональную диагностику
у -го сегмента после полной проверки / -го сегмента сети: “у() = +12 + +14 + 5, где ^ -среднее врем€ актуализации инструментов мониторинга при переходе к новому сегменту »¬— ќќ; 12 - врем€, требуемое дл€ сбора, анализа и систематизации априорных данных; 13 -врем€, требуемое дл€ генерации тестовых заданий; 14 - врем€, необходимое дл€ проверки функциональности сегмента; t5 - врем€ обработки результатов тестировани€ и
идентификации функционального состо€ни€ сегмента. «начени€ составл€ющих t1l, 12 и существенно завис€т от предыстории мониторинга, т.е. от особенностей тестировани€ предшествующего \ -го сегмента. ¬ случае линейной аппроксимации можно полагать, что
врем€ “у () эквивалентно некоторому обобщЄнному Ђрассто€ниюї между смежными сегментами и может быть представлено в виде: “у () = у Х ƒг. «десь Ћ г - априорно заданный
»нтернет-журнал ЂЌј” ќ¬≈ƒ≈Ќ»≈ї ¬ыпуск 5 (24), сент€брь - окт€брь 2014
http://naukovedenie.ru publishing@naukovedenie.ru
квант времени, а c^j - полные затраты времени на осуществление мониторинга j -го
сегмента, выраженные в числе квантов времени. ѕредложенный подход позвол€ет рассматривать исходные данные в относительных условных единицах (у.е.), что существенно упрощает их обоснование и использование. јналогично рассужда€, можно ввести относительные показатели и дл€ оценки вычислительных затрат при реализации процедур мониторинга.
»спользу€ введЄнные обозначени€, задача синтеза программы мониторинга может быть сведена к решению известной задачи коммиво€жера [2]. –ассмотрим формальную модель канонической задачи коммиво€жера.
«адано n пунктов, пронумерованных числами 1, 2, 3,..., n. ƒл€ любой пары пунктов
(i, j) задано обобщЄнное рассто€ние C(i, j) = ci,j > 0 между ними, которое учитывает затраты
времени и расход ресурсов. ¬ общем случае принимаетс€, что C(i, j) ‘ C(j, i) .  оммиво€жер, выезжа€ из какого-либо пункта, должен посетить все пункты по одному разу и вернутьс€ в исходный пункт. “ребуетс€ определить такую последовательность обхода пунктов, при которой обща€ длина маршрута перемещени€ (полные затраты ресурсов) коммиво€жера была бы минимальной.
–ассмотрим постановку задачи в терминах теории целочисленного линейного программировани€ [1]. ¬ведЄм вспомогательные булевы переменные xj = {0;1}, i, j = 1, n,
следующим образом: xj = 1, если коммиво€жер переезжает из i -го пункта в j -й пункт; xij = 0 - в противном случае. “огда задача заключаетс€ в определении значений переменных xij , удовлетвор€ющих следующим соотношени€м:
n n
F (x) = cij xij ^ min . (1)
i=1j=1
n
при услови€х ^ х] Ч 1, ] Ч 1,..., п (въезд в пункт ] ); (2)
1=\
п
^X] Ч 1, / Ч 1,..., п (выезд из пункта /). (3)
] Ч1
и. - и] + п X] < п -1 , (I‘ ] ); (4)
XI] Ч {0; 1}, и. ^0 - произвольные вещественные числа, /,] Ч 1,..., п. (5)
ќграничени€ (4) означают, что маршрут коммиво€жера должен образовывать контур.
«адача коммиво€жера, как известно, относитс€ к классу  –-сложных задач дискретной оптимизации, дл€ которых не существует единого универсального алгоритма решени€. –ассмотрим решение задачи коммиво€жера на основе метода ветвей и границ [2]. ƒопустимый маршрут X с учЄтом прин€тых обозначений представим как множество упор€доченных пар пунктов X Ч {(/2),( i2, ћ,.. ( п-и п ),(гп, 'п-1)}.
 аждый допустимый маршрут будем рассматривать как цикл, проход€ по которому коммиво€жер посещает каждый пункт ровно один раз и возвращаетс€ в исходный пункт.
 ажда€ упор€доченна€ пара (i, j) образует элементарную коммуникацию и €вл€етс€ дугой маршрута. ƒлина F(х) маршрута х равна сумме соответствующих элементов C(i, j). «аметим, что множество всех допустимых маршрутов X = (x1,x2,..., xp)T содержит (n -1)! элементов.
ќбозначим матрицу рассто€ний через C = (ci j ) nxn. „тобы исключить переезды типа (i,i), введЄм условие C(/,i) = V i = 1,..., n. ѕусть Pi = min{ci j}, j = 1,..., n, Qj = min { ci j - Pi }, i = 1,..., n, Cj = Cj - P - Qj. “огда C = (Ci,j)nxn - редуцированна€ матрица.
n n
ѕусть d(X) = ^P Q. - сумма констант редуцировани€. “огда дл€ любого
i=i j=i
маршрута х ={( 1, i2),( i2, i3),...,( i'n-1, in ),( in, in-1)} e X имеем
F(x) = COl, /2) + C (/'2, /3) +... + C(in, ii) = C(1,i2) + C (/'2, /3) +... + C (in, ii) > d(X). (6) Ќеравенство (6) показывает, что d(X) €вл€етс€ оценкой снизу дл€ множества X .
 роме того, после редукции длины всех маршрутов уменьшаютс€ на одну и ту же величину d(X) и, следовательно, оптимальный маршрут, найденный с использованием
редуцированной матрицы C , оптимален и дл€ исходной задачи. ѕроцесс ветвлени€ при поиске оптимального маршрута можно представить в виде дерева, кажда€ вершина которого соответствует некоторому множеству маршрутов, €вл€ющемус€ подмножеством множества X . ѕри этом начальна€ вершина соответствует множеству всех маршрутов X (рис. 4, [2]).
Ќа каждом шаге из числа кандидатов на ветвление выбираетс€ множество X 1 с наименьшей оценкой. Ёто множество раздел€етс€ на два подмножества X\ и X\.
ѕодмножество X\ состоит из всех маршрутов множества X1, содержащих некоторую
выбранную на данном шаге дугу (r, 5), а подмножество X\ - из всех маршрутов множества
X1, не содержащих дугу (r,s) . ќбщие издержки Z(x) дл€ цикла x определ€ютс€ через
сумму элементов матрицы — по коммуникаци€м маршрута Z(x) = ^ ci,j. . ќтметим, что в
(i, j )е x
цикле содержатс€ только один элемент каждой строки и каждого столбца.
–ис. 4. »ллюстраци€ процесса ветвлени€
–ассмотрим вычислительный пример дл€ случа€ т Ч 6 . ѕусть требуетс€ определить оптимальную программу обхода сегментов сетевой модели (рис. 3) дл€ случа€ п Ч т +1 Ч 6 по критерию минимума затрат времени “^ , начина€ с вершины ∆6.
¬ ходе мониторинга не должны быть превышены допустимые границы потребл€емых вычислительных ресурсов €^<€доп . »сходные данные, необходимые дл€ расчЄтов, выраженные в относительных единицах, представлены матрицами — и я .
¬ результате компьютерного решени€ задачи коммиво€жера определена оптимальна€ (по критерию минимума затрат времени) схема обхода сегментов сети при еЄ активном мониторинге: (6-1) ^ (1-5) ^ (5-3) ^ (3-4) ^ (4-2) ^ (2-6). ƒостигаемые значени€ показателей эффективности мониторинга приведены в таблице (составлена авторами).
— Ч
1 2 3 4 5 6
1 да 8 12 6 5 11
2 14 да 12 6 4 7
3 7 12 да 5 8 10
4 8 6 13 да 10 12
5 5 9 2 4 да 8
6 9 3 5 7 6 да
я Ч
1 2 3 4 5 6
1 да 4 5 2 8 8
2 7 да 2 2 9 12
3 8 2 да 5 3 9
4 5 5 8 да 20 15
5 3 18 6 10 да 14
6 2 10 7 9 8 да
јнализ показал, что несколько лучший результат решени€ задачи оптимизации по критерию минимума временных затрат Ч 33 у. е. достигаетс€ при использовании другой программы мониторинга: (6-2) ^ (2-5) ^ (5-3) ^ (3-4) ^ (4-1) ^ (1-6). ќднако, указанна€ программа неприемлема, так как потребл€емые при еЄ осуществлении вычислительные ресурсы превышают допустимые ограничени€: Ч 43 у. е. > 40 у.е.
“аблица
–езультаты решени€ задачи коммиво€жера с учЄтом ограничени€ < 40 у.е.
‘азы мониторинга ѕоказатели программы
6-1 1-5 5-3 3-4 4-2 2-6 “е, ” е. > ”-е-
9 5 2 5 6 7 34 -
2 8 6 5 5 12 - 38
–азработанные авторами алгоритмы и процедуры сегментации сетевой модели и оптимизации программы мониторинга ресурсов »¬— ќќ прошли успешную апробацию в ходе решени€ р€да прикладных задач. ¬ частности, дл€ контрольного тестировани€ компьютерной программы, обеспечивающей решение задачи коммиво€жера методом ветвей и границ, в качестве контрольных примеров использовались комбинаторные задачи, представленные в известной работе [2].
 ак показали наши исследовани€, обоснованное внедрение средств автоматизации активного мониторинга способно повысить объективность информации, необходимой дл€ управлени€ рисками информационной безопасности »¬— ќќ. –езультаты мониторинга позвол€ют не только фиксировать возникающие информационные инциденты, локальные проблемы и сбои, вызванные, например, перегрузкой сервера, отказом в доступе к сегментам базы данных, но в совокупности с учЄтными данными пользователей сети €вл€ютс€ основанием дл€ дополнительной аутентификации и обновлени€ профилей активных пользователей сети. ¬ свою очередь, анализ профилей пользователей системным администратором позволит своевременно определить потенциального инсайдера и предотвратить несанкционированные действи€ и возможную утечку конфиденциальной информации.
¬ целом активный мониторинг следует рассматривать как базовый компонент системы интегрированной защиты ресурсов инфраструктуры »¬— ќќ [4]. Ќа его основе могут быть построены гибкие автоматизированные механизмы контрол€ функционального состо€ни€ критических сегментов сети и вы€влени€ потенциальных инсайдеров. Ёто позволит своевременно принимать адекватные организационные меры и корректировать параметры прин€той в организации модели разграничени€ прав доступа.
Ћ»“≈–ј“”–ј
1. ¬асенин ¬. ј.   созданию средств мониторинга работоспособности элементов √рид-систем / ¬.ј. ¬асенин, ћ.ј. «анчурин, ј.ј.  оршунов // ѕрограммна€ инженери€. 2011. - є 6. - —. 36-43.
2. Ћ€шенко ». Ќ. Ћинейное и нелинейное программирование / ».Ќ. Ћ€шенко, ≈.ј.  арагодова, Ќ.¬. „ерникова, Ќ.«. Ўор. -  иев : »здат. объединение Ђ¬ища школаї, 1975. - 372 с.
3.  орнеев ¬. ¬. ”правление сетевой средой распределенных вычислений /
B.¬.  орнеев, ј.¬.  иселев, ј.¬. Ѕаранов и др. // ‘√”ѕ ЂЌ»» Ђ вантї, г. ћосква. –ежим доступа: http://old.lvk.cs.msu.su/files/mco2003/korneev.pdf , свободный. - «агл. с экрана. - яз. рус.
4. Ќадеждин ≈. Ќ. ћетоды моделировани€ и оптимизации интегрированных систем управлени€ организационно-технологическими процессами в образовании : монографи€ / ≈.Ќ. Ќадеждин, ≈.≈. —мирнова. - “ула : »зд-во “ул√”, 2013. - 250 с.
5. Ќадеждин ≈. Ќ. ћатематические основы моделировани€ и анализа интегрированных систем защиты информации : учебное пособие / ≈.Ќ. Ќадеждин, ≈≈. —мирнова, “.Ћ. Ўершакова. - “ула : Ќќ” ¬ѕќ Ђћосковский институт комплексной безопасностиї. »зд-во “ул√”, 2013. - 206 с.
6. Ќадеждин ≈. Ќ. јлгоритм декомпозиции сетевой инфраструктуры системы организационного управлени€ / ≈.Ќ. Ќадеждин, ѕ.¬. ƒопира, Ќегосударственное образовательное учреждение высшего профессионального образовани€ (институт) Ђ¬ысша€ школа бизнеса, безопасности и управлени€ї. -“ула, 2013. - 12 с. 2 ил. - Ѕиблиогр. 10 назв. - –усс. - ƒеп. в ¬»Ќ»“» 03.12.2013 г.; є 352-¬2013.
7. ÷ветков ј. ј. —етева€ модель активного мониторинга рабочих станций распределенной информационно-вычислительной сети // »нформационна€ среда образовани€ и науки [Ёлектронный ресурс]: Ёлектронное периодическое издание. - ћ. : »»ќ –јќ, 2013. ¬ып. 15. - –ежим доступа: http://www.ilorao.ru/llo/pages
/izdat/ison/publication/ison_2013/num_15_2013, свободный._- «агл. с экрана. - яз.
рус.
8. ÷ветков ј. ј. ќбоснование показателей качества активного мониторинга ресурсов информационно-вычислительной сети // Ќаучный поиск, є2.5. 2013. -
C. 70-72.
9. ÷ветков ј. ј. »дентификаци€ профил€ пользовател€ распределенной вычислительной сети на основе активного мониторинга // »нформационна€ среда образовани€ и науки [Ёлектронный ресурс]: Ёлектронное периодическое издание. - ћ. : »»ќ –јќ, 2013. ¬ып. 17. - –ежим доступа: http://www.iiorao.ru/iio
/pages/izdat/ison/publication/ison_2013/num_17_2013, свободный. - «агл. с экрана. - яз. рус.
10. ёдин ƒ.Ѕ., √ольштейн ≈.√. Ћинейное программирование. - ћ. : Ќаука, 1969. -424 с.
–ецензент: Ћогвинов —ергей »ванович, ‘√Ѕќ” ¬ѕќ Ђ“ульский государственный педагогический университет им. Ћ.Ќ. “олскогої, профессор кафедры экономики и управлени€, доктор технических наук, профессор.
Yevgeniy Nadezhdin
State Institute of Information Technologies and Telecommunications
Russia, Moscow. E-Mail: e.nadezhdin@informika.ru
Aleksey Tsvetkov
Shuya branch of Ivanovo State University
Russia, Shuya
The synthesis of the computer network resources monitoring program in educational institution
Abstract. Quick analysis of data about a current status of network resources and unauthorized users actions can be information basis to detect the potential vulnerabilities and computer network insiders, to set up the mechanisms of resource protection and to low the information security risks. In this regard there are actual problems of the active organization and of the intellectual analysis of the data received on monitoring basis. In this paper it is formulated the problem of synthesis of the remote resources monitoring program in the distributed computer network of the educational institution to implement the automated situation-dependent management of information security risks. Thus the problem of synthesis of the remote monitoring program is based on optimization of the diagram of the under control network nodes bypass for achievement the best measure values of resources monitoring efficiency of the distributed computer network. The problem definition of synthesis is transformed to canonical model of the task of the direct-sales representative which was solved by the method of branches and boundaries. Also in the present article there are results of computing experiment where the optimum diagram of the network nodes bypass is defined, this diagram brings to the essential lowering of the time and computing resources expenses that confirms efficiency of the developed technique application.
Keywords: the distributed computer network; educational institution; remote monitoring of resources; the active monitoring of a network; problem of synthesis of the monitoring program; monitoring optimization; task of the direct-sales representative; method of branches and borders; bypass of a computer network nodes; computing experiment.
REFERENCES
1. Vasenin V. A. K sozdaniju sredstv monitoringa rabotosposobnosti jelementov Grid-sistem / V.A. Vasenin, M.A. Zanchurin, A.A. Korshunov // Programmnaja inzhenerija. 2011. - є 6. - S. 36-43.
2. Ljashenko I. N. Linejnoe i nelinejnoe programmirovanie / I.N. Ljashenko, E.A. Karagodova, N.V. Chernikova, N.Z. Shor. - Kiev : Izdat. ob#edinenie ЂVishha shkolaї, 1975. - 372 s.
3. Korneev V. V. Upravlenie setevoj sredoj raspredelennyh vychislenij / V.V. Korneev, A.V. Kiselev, A.V. Baranov i dr. // FGUP ЂNII ЂKvantї, g. Moskva. Rezhim dostupa: http://old.lvk.cs.msu.su/files/mco2003/korneev.pdf , svobodnyj. - Zagl. s jekrana. -Jaz. rus.
4. Nadezhdin E. N. Metody modelirovanija i optimizacii integrirovannyh sistem upravlenija organizacionno-tehnologicheskimi processami v obrazovanii : monografija / E.N. Nadezhdin, E.E. Smirnova. - Tula : Izd-vo TulGU, 2013. - 250 s.
5. Nadezhdin E. N. Matematicheskie osnovy modelirovanija i analiza integrirovannyh sistem zashhity informacii : uchebnoe posobie / E.N. Nadezhdin, E.E. Smirnova, T.L. Shershakova. - Tula : NOU VPO ЂMoskovskij institut kompleksnoj bezopasnostiї. Izd-vo TulGU, 2013. - 206 s.
6. Nadezhdin E. N. Algoritm dekompozicii setevoj infrastruktury sistemy organizacionnogo upravlenija / E.N. Nadezhdin, P.V. Dopira, Negosudarstvennoe obrazovatel'noe uchrezhdenie vysshego professional'nogo obrazovanija (institut) ЂVysshaja shkola biznesa, bezopasnosti i upravlenijaї. - Tula, 2013. - 12 s. 2 il. -Bibliogr. 10 nazv. - Russ. - Dep. v VINITI 03.12.2013 g.; є 352-V2013.
7. Cvetkov A. A. Setevaja model' aktivnogo monitoringa rabochih stancij raspredelennoj informacionno-vychislitel'noj seti // Informacionnaja sreda obrazovanija i nauki [Jelektronnyj resurs]: Jelektronnoe periodicheskoe izdanie. - M. : IIO RAO, 2013. Vyp. 15. - Rezhim dostupa: http://www.iiorao.ru/iio/pages/izdat/ison/publication/ison_2013/num_15_2013, svobodnyj. - Zagl. s jekrana. - Jaz. rus.
8. Cvetkov A. A. Obosnovanie pokazatelej kachestva aktivnogo monitoringa resursov informacionno-vychislitel'noj seti // Nauchnyj poisk, є2.5. 2013. - S. 70-72.
9. Cvetkov A. A. Identifikacija profilja pol'zovatelja raspredelennoj vychislitel'noj seti na osnove aktivnogo monitoringa // Informacionnaja sreda obrazovanija i nauki [Jelektronnyj resurs]: Jelektronnoe periodiche-skoe izdanie. - M. : IIO RAO, 2013. Vyp. 17. - Rezhim dostupa: http://www.iiorao.ru/iio/pages/izdat/ison/publication/ison_2013/num_17_2013, svobodnyj. - Zagl. s jekrana. - Jaz. rus.
10. Judin D.B., Gol'shtejn E.G. Linejnoe programmirovanie. - M. : Nauka, 1969. - 424 s.

пїњ