В современных условиях кибервойны, особенно для государственных и ведомственных структур, противник, как правило, начинает атаку не с прямого взлома, а с разведки. Он анализирует, какие IP-адреса используются, как часто передаются данные, и в какой момент сеть наиболее активна. Если сеть статична, ее структуру можно просканировать и нанести точный удар. Роман Шерстобитов, исследователь Краснодарского высшего военного училища им. генерала армии С.М. Штеменко, в своей работе предлагает оригинальный способ обмануть такую разведку: создать у противника ложное впечатление о структуре сети, различая главные и второстепенные узлы.
Основная идея заключается в том, чтобы сеть генерировала «шум» — маскирующий трафик, визуально и статистически неотличимый от реального. Злоумышленник наблюдает активность, но не может определить, где проходит настоящий приказ, а где всего лишь имитация. Для достижения этой цели автор использует рекуррентные нейронные сети с ячейками долгой краткосрочной памяти. Эти сети могут предсказать, как будет изменяться частота отправки пакетов в реальной сети, даже если она постоянно варьируется и не подчиняется простым закономерностям. Паузы между ложными пакетами формируются случайным образом, но их распределение точно копирует поведение настоящего трафика.
Тем не менее, такая защита требует ресурсов. Ложные объекты и имитируемые соединения используют каналы связи и вычислительные мощности. В результате, реальные данные могут задерживаться в очередях, а доступность узлов связи может снижаться. Кроме того, регулярная смена IP-адресов, необходимая для маскировки, может привести к кратковременным разрывам соединений. Если смена адресов происходит слишком часто, сеть становится практически недоступной для легитимных пользователей, а если слишком редко — противник успевает раскрыть истинную структуру.
Чтобы найти оптимальный баланс, Роман Шерстобитов разработал комплекс математических моделей. Для оценки результативности обмана используется аппарат неоднородных марковских процессов, что позволяет рассчитать вероятность раскрытия реальной структуры сети, несмотря на принимаемые меры. Для анализа доступности и своевременности используются полумарковские процессы, которые учитывают, как маскирующий трафик нагружает каналы и создает задержки. В итоге создается система, которая отвечает на главный вопрос: сколько ложных потоков нужно создать, с какой интенсивностью их генерировать и как часто менять адреса, чтобы одновременно обмануть противника и сохранить работоспособность сети.
Расчеты показывают, что увеличение количества ложных информационных потоков или сокращение времени жизни одного IP-адреса значительно снижает риск компрометации. Например, при смене адресов каждые 0,1 минуты вероятность вскрытия реальной структуры даже за час остается ниже 0,3. Но если адрес живет целый час, то уже через 35 минут вероятность разоблачения достигает 0,98. Своевременность доставки данных также страдает: чем больше объем маскирующего трафика, тем дольше обрабатываются реальные пакеты. Увеличение числа ложных соединений с 10 до 50 снижает вероятность успешной обработки конструктивного сообщения за 100 миллисекунд с 0,95 до 0,7.
Практическая ценность исследования заключается в том, что оно предоставляет инженерам не абстрактные советы, а конкретные формулы и численные ориентиры. Это позволяет настроить параметры защиты под конкретную нагрузку, тип каналов и производительность оборудования. Более того, исследование позволяет перейти от интуитивного подхода к научно обоснованной векторной оптимизации, которая учитывает три цели: результативность обмана, доступность узлов и своевременность доставки данных. В эпоху, когда киберразведка становится все более сложной, такие модели становятся основой для проектирования действительно неуязвимых ведомственных сетей.
Исследование опубликовано в журнале «Системы управления, связи и безопасности».