В современных условиях кибервойны, особенно для государственных и ведомственных структур, противник чаще всего начинает атаку не с прямого взлома, а с разведки. Он изучает, какие IP-адреса используются, как часто идут пакеты данных, в какой момент сеть наиболее активна. Если сеть статична, ее структуру можно просканировать и нанести точный удар. Исследователь Краснодарского высшего военного училища им. генерала армии С.М. Штеменко Роман Шерстобитов в своей работе предлагает нетривиальный способ обмануть такую разведку: создать у противника ложное впечатление о том, как устроена сеть, какие узлы в ней главные, а какие второстепенные.
Основная идея заключается в том, чтобы сеть сама начала генерировать «шум» — маскирующий трафик, который визуально и статистически неотличим от реального. Злоумышленник видит активность, но не может понять, где проходит настоящий приказ командования, а где просто имитация. Для этого автор использует рекуррентные нейронные сети с ячейками долгой краткосрочной памяти — они способны предсказывать, как будет меняться частота отправки пакетов в реальной сети, даже если эта частота постоянно скачет и не подчиняется простым законам. А сами паузы между ложными пакетами генерируются случайным образом, но так, чтобы их распределение в точности копировало поведение настоящего трафика.
Однако у такой защиты есть цена. Ложные объекты и имитируемые соединения потребляют ресурсы каналов связи и вычислительные мощности. Из-за них реальные данные могут задерживаться в очередях, а доступность узлов связи — снижаться. Кроме того, периодическая смена IP-адресов, необходимая для сохранения маскировки, приводит к кратковременным разрывам соединений. Если менять адреса слишком часто, сеть станет практически недоступной для легитимных пользователей. Если слишком редко — противник успеет раскрыть истинную структуру.
Чтобы найти золотую середину, Роман Шерстобитов создал комплекс математических моделей. Для оценки результативности обмана используется аппарат неоднородных марковских процессов — это позволяет рассчитать вероятность того, что противник рано или поздно раскроет реальную структуру сети, несмотря на все ухищрения. Для анализа доступности и своевременности — полумарковские процессы, учитывающие, как маскирующий трафик забивает каналы и создаёт задержки. В итоге получается система, которая отвечает на главный вопрос: сколько ложных потоков нужно создать, с какой интенсивностью их генерировать и как часто менять адреса, чтобы одновременно и ввести врага в заблуждение, и сохранить работоспособность сети.
Расчеты показывают, что увеличение числа ложных информационных потоков или сокращение времени жизни одного IP-адреса заметно снижает риск компрометации. Например, при смене адресов каждые 0,1 минуты вероятность вскрытия реальной структуры даже за час остаётся ниже 0,3. Но если адрес живёт целый час, то уже через 35 минут вероятность разоблачения достигает 0,98. Своевременность доставки данных тоже страдает: чем больше объём маскирующего трафика, тем дольше обрабатываются реальные пакеты. Так, увеличение числа ложных соединений с 10 до 50 снижает вероятность успешной обработки конструктивного сообщения за 100 миллисекунд с 0,95 до 0,7.
Практическая ценность работы в том, что она дает инженерам не абстрактные советы, а конкретные формулы и численные ориентиры. Становится понятно, как настраивать параметры защиты под конкретную нагрузку, тип каналов и производительность оборудования. А главное — исследование позволяет перейти от интуитивного подбора настроек к научно обоснованной векторной оптимизации, где сразу три цели: результативность обмана, доступность узлов и своевременность доставки данных. В эпоху, когда киберразведка становится все более изощренной, такие модели превращаются в основу для проектирования действительно неуязвимых ведомственных сетей.
Исследование опубликовано в журнале «Системы управления, связи и безопасности»
