CC BY
70
К РАЗРАБОТКЕ АЛГОРИТМА АКТИВНОГО ТЕСТИРОВАНИЯ
КОРПОРАТИВНОЙ СЕТИ
Д.В. Звонов, Ф.Г. Нестерук Научный руководитель - доктор технических наук, профессор Л.Г. Осовецкий
Предложен алгоритм активного тестирования информационной сети с использованием адаптивных средств, базирующийся на основных свойствах систем нечеткой логики, нейронных сетей и экспертных систем, связанных с адаптацией и возможностью представления опыта специалистов информационной безопасности в виде системы правил логического вывода.
Введение
Организация опыта квалифицированных специалистов информационной безопасности в виде базы знаний экспертной системы, представляемой системой правил нечеткого логического вывода, и их последующее отображение в виде нейро-нечетких сетей (ННС), входящих в состав классификаторов системы активного тестирования (CAT) позволяет, с одной стороны, объяснить результаты работы системы активного тестирования путем анализ информационных полей ННС, с другой - передавать опыт, накопленный в процессе эксплуатации корпоративные сети аналогичного назначения, путем наследования - перезаписи информационных полей нейро-нечетких сетей [1].
Адаптация к изменению множества уязвимостей корпоративной сети и поля угроз информационной безопасности рассматривается как одно из наиболее важных свойств интеллектуальных систем, которое позволяет корректировать средства активного тестирования при изменении входной информации и внешнего окружения. Обучающими факторами являются избыточность входной информации и скрытые в данных закономерности, которые видоизменяют информационное поле нейро-нечетких сетей в процессе обучения адаптивных классификаторов CAT [1, 2]. Необходимо автоматизировать процесс активного тестирования и коррекции структуры системы защиты информации (СЗИ).
Автоматизация обеспечения информационной безопасности
Для уменьшения вероятности несанкционированного доступа в корпоративную сеть акционерного коммерческого банка (АКБ) в последнее время используют средства автоматизации управления системами защиты информации, к которым относят корреляторы событий, системы обновлений, средства ЗА (аутентификации, авторизации и администрирования) и системы управления рисками [3, 4].
Корреляторы событий по результатам анализа системных журналов выделяют признаки атак, системы обновления автоматизируют процедуру оперативного устранения выявленных ошибок и поиска скрытых уязвимостей программного обеспечения (ПО). Средства ЗА позволяют управлять идентификационной информацией и допуском пользователей к информационным ресурсам, а системы управления рисками - моделировать и оценивать ожидаемый ущерб атаки на корпоративную сеть.
Перечисленные задачи с успехом решаются с использованием интеллектуальных средств нейронных сетей, нечеткой логики и генетических алгоритмов.
Общей чертой существующих систем защиты информации является наличие отдельных средств идентификации (задача классификации) угроз, выявления и устранения уязвимостей и оперативной реакции на несанкционированные проникновения в корпоративную сеть, а общим недостатком - отсутствие в СЗИ средств, обеспечивающих накопление и обобщение опыта взаимодействия корпоративной сети с внешней средой и нейтрализации внутрисистемных угроз.
Для автоматизации обеспечения информационной безопасности корпоративной сети необходим комплексный подход на основе иерархически организованной СЗИ с применением интеллектуальных средств автоматической идентификации угроз и выявления уязвимостей, а также накопления опыта нейтрализации атак и устранения уязви-мостей корпоративной сети АКБ.
Для автоматизации выявления и устранения уязвимостей необходима оценка защищенности корпоративной информационной сети, используемая в качестве целевой функции процесса оптимизации системы активного тестирования. Подобной оценкой защищенности корпоративной информационной сети может являться рейтинг защищенности, который учитывает структуру системы защиты информации [5, 6], качественные показатели работы СЗИ [7] и оценки предотвращенного ущерба [8].
В случае изменения поля угроз в процессе эксплуатации защищаемой корпоративной информационной сети может проявляться ряд новых уязвимостей, не отраженных в исходной модели, и, соответственно, потенциальная возможность реализации новых угроз безопасности информационным ресурсам АКБ. В этой связи целесообразно рассматривать модель системы информационной безопасности в динамике, начиная с начального этапа жизненного цикла системы.
Для оптимизации структуры системы активного тестирования разработан алгоритм тестирования информационной сети АКБ.
Алгоритм активного тестирования информационной сети АКБ
Алгоритм активного тестирования информационной сети АКБ содержит следующую последовательность этапов:
1. решение задачи классификации угроз информационным ресурсам АКБ по вектору известных уязвимостей корпоративной сети; производится соотнесение посылок (вектора известных уязвимостей) с классификационными заключениями (угрозами информационным ресурсам);
2. решение задачи кластеризации угроз информационным ресурсам АКБ по вектору известных уязвимостей корпоративной сети при расширении множества известных уязвимостей корпоративной сети; производится разбиение входных векторов на группы (векторов уязвимостей корпоративной сети) и отнесение вновь поступающего входного вектора к одной из групп либо формирование новой группы (группы уязвимостей корпоративной сети);
3. формирование экспертных оценок для определения степени соответствия угроз информационным ресурсам АКБ векторам известных уязвимостей корпоративной сети;
4. представление результатов решения задач п. 1 и 3 в виде систем правил нечеткого логического вывода;
5. реализация систем правил нечеткого логического вывода в виде нейро-нечетких классификаторов (классификаторов «уязвимости - угрозы»);
6. реализация результатов решения задачи п.2 в виде кластеризаторов на основе самообучающейся НС (кластеризаторов «уязвимости - угрозы»);
7. наследование или передача опыта нейтрализации уязвимостей, приобретенного в процессе эксплуатации CAT корпоративной сети, в проектируемую систему активного тестирования путем перенесения информационных полей четких и нейро-нечетких сетей;
8. обучение классификаторов по п. 5, 6 на обучающей выборке - подмножестве входных векторов (векторов известных уязвимостей) с целью формирования информационных полей четких и нейро-нечетких сетей;
9. адаптация информационных полей четких и нейро-нечетких сетей (классификаторов и кластеризаторов «уязвимости - угрозы») в процессе эксплуатации информационной сети АКБ;
10. коррекция адаптируемых экспертных оценок (п. 3) и систем правил нечеткого логического вывода (п. 4) по результатам адаптации информационных полей нейро-нечетких сетей;
11. формулирование новых правил нечеткого логического вывода в случае расширения классификации (кластеризации) по результатам выполнения п. 9 и 2;
12. формирование оценок защищенности информационной сети АКБ, исходя из результатов выполнения п.10 и распределения механизмов защиты по иерархии системы активного тестирования корпоративной сети;
13. анализ структуры связей нейро-нечетких классификаторов, системы правил нечеткого логического вывода и комплекса оценок защищенности информационной сети АКБ по п. 12 для определения интенсивности использования МЗ в структуре CAT;
14. формирование спецификации на разработку отсутствующих механизмов защиты;
15. коррекция системы активного тестирования корпоративной сети за счет расширения перечня используемых механизмов защиты и их размещения в адаптивной CAT;
16. повторение этапов п. 9-15 в процессе эксплуатации CAT для регулярного обновления базы знаний системы активного тестирования корпоративной сети и накопления опыта по устранению уязвимостей информационной сети АКБ.
Методика построения политики безопасности информационной сети АКБ
В ходе проведения оптимизации корпоративной сети АКБ в соответствии с алгоритмом активного тестирования корпоративной сети происходит выявление ранее неизвестных уязвимостей. Необходимо предпринимать оперативные меры и проводить мероприятия по модернизации СЗИ, направленные на своевременное устранение выявленных уязвимостей.
Критерием необходимости модернизации СЗИ, с одной стороны, являются расчетные показатели качества обеспечения информационной безопасности КИС (рейтинг защищенности корпоративной сети АКБ) [6], а, с другой - такие показатели экономической целесообразности модификации СЗИ, как чистая приведенная стоимость, индекс рентабельности и срок окупаемости инвестиций [9].
Рисунок иллюстрирует основные этапы методики построения политики безопасности, которая позволяет сформулировать практические рекомендации по внесению изменений в действующую политику безопасности АКБ.
Заключение
Предложенный алгоритм за счет регулярного тестирования корпоративной сети АКБ производит оптимизацию размещения механизмов защиты в структуре системы активного тестирования по критерию максимизации уровня защищенности. Наличие адаптивных средств позволяет циклическим выполнением процедур обучения и последующего анализа информационных полей нейро-нечетких сетей обеспечить постоянный мониторинг уязвимостей корпоративной сети АКБ.
Рис. Основные этапы методики построения политики безопасности
Литература
1. Нестерук Г.Ф., Осовецкий Л.Г., Нестерук Ф.Г. О применении нейро-нечетких сетей в адаптивных системах информационной защиты. // Нейроинформатика-2005: Материалы VII всероссийской научно-технической конференции. М.: МИФИ (ТУ), 2005. 4.1. С. 163-171.
2. Negnevitsky M. Artificial intelligence: a guide to intelligent systems. // Addison-Wesley, 2002. 394 p.
3. Коржов В. Моделирование угроз. // Computerword Россия. 2005, № 18. С. 34.
4. Звонов Д.В. Системы активного тестирования при построении комплексных систем обеспечения безопасности корпоративных сетевых технологий. // Материалы 2-го международного научно-практического семинара «Безопасные информационные технологии - XXI». СПб, 2000.
5. Осовецкий Л., Шевченко В. Оценка защищенности сетей и систем. // Экспресс-электроника. 2002. № 2-3. С. 20-24.
6. Нестерук Ф.Г., Осовецкий Л.Г., Штрик A.A., Жигулин Г.П. К оценке информационных ресурсов и безопасности глобальных компьютерных систем. // Перспективные информационные технологии и интеллектуальные системы. 2004. № 4.
7. Карпычев В.Ю., Минаев В.А. Цена информационной безопасности. // Системы безопасности. 2003. № 5. С. 128-130.
8. Жижелев A.B., Панфилов А.П., Язов Ю.К., Батищев Р.В. К оценке эффективности защиты информации в телекоммуникационных системах посредством нечетких множеств // Изв. вузов. Приборостроение. 2003. Т. 46. № 7. С. 22-29.
9. Инвестиции: Учебник / Под ред. В.В. Ковалева, В.В. Иванова, В.А. Лялина // М.: ТК Велби, 2003. 440 с.
