CC BY
14Решетневскце чтения
УДК 004.056
М. Н. Жукова, Н. А. Коромыслов
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
О ПРИМЕНЕНИИ НЕЧЕТКИХ ИСКУССТВЕННЫХ ИММУННЫХ СИСТЕМ В ЗАДАЧЕ ПОСТРОЕНИЯ АДАПТИВНЫХ САМООБУЧАЮЩИХСЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ
Рассматриваются недостатки адаптивных самообучающихся систем защиты информации, основанных на принципах функционирования иммунной системы, и возможность их решения при помощи нечеткой логики.
Одним из способов проектирования системы защиты является поиск существующих аналогов, изучение и применение принципов, на которых они строятся. Таким аналогом является иммунная система человека, принципы которой уже использовались в задачах, связанных с информационной безопасностью, таких как обнаружение компьютерных вирусов [1] или мониторинг процессов в системе UNIX [2].
Иммунная система является самообучающейся и адаптивной, поэтому применение ее принципов для построения системы защиты представляет особый интерес.
Адаптивная самообучающаяся система защиты информации на базе принципов работы иммунной системы будет иметь следующие компоненты: во-первых, модули-датчики, которые с определенной периодичностью собирают информацию о текущем состоянии системы; во-вторых, модуль выявления угроз, который при помощи аппарата искусственных иммунных систем определяет, являются ли события, полученные от модулей-датчиков, инцидентами информационной безопасности [3]; в-третьих, модуль хранения данных, который содержит информацию о параметрах штатной работы автоматизированной системы, сведения об инцидентах информационной безопасности и хранит протокол журнала с записями о произошедших инцидентах; в-четвертых, модуль реагирования, который инициирует ответное действие системы при обнаружении инцидента информационной безопасности. Ответное действие определяется в зависимости от политики безопасности и степени опасности инцидента. Это может быть оповещение об инциденте, блокирование части функций системы, прекращение работы системы и другие действия, а также их совокупность.
Модуль выявления угроз, как правило, основан на алгоритме отрицательного отбора или его модификациях [1]. В классическом описании алгоритма детекторы генерируются случайным образом. Из-за большого числа возможных вариантов требуется большое количество детекторов для обеспечения заданного уровня надежности, что приводит к большим затратам ресурсов системы.
Решение этой проблемы можно искать в применении нечеткой логики. Как на этапе генерации детекторов, так и на этапе проверки соответствия можно дополнительно проверять, насколько сильно разли-
чаются детекторы. Настраиваемый параметр будет указывать на то, в каких пределах детекторы будут считаться схожими. В зависимости от свободных (или доступных) ресурсов система настраивается таким образом, чтобы два детектора (или детектор и данные о системе) считались схожими при различных отличиях. Если система обладает малыми ресурсами, то довольно большое число детекторов будет призна-ваться «близкими» друг к другу и отбрасываться на этапе генерации. Это позволит уменьшить число детекторов. Чем больше детекторов имеется возможность сгенерировать, тем меньшие отличия признаются серьезными. Таким образом, система становится гибкой и настраиваемой в зависимости от доступных ресурсов.
Дискретная функция принадлежности для «х близко к 1», основную идею которой планируется использовать, представлена на рисунке.
-2-1 0 1 2 3 4 Дискретная функция принадлежности для «х близко к 1»
Для быстрого реагирования на угрозы, которые уже возникали в прошлом, система защиты должна содержать базу данных, хранящую сведения об инцидентах безопасности. В этом случае целесообразно применение понятий нечеткой логики для описания угроз, «похожих» на те, записи о которых уже находятся в базе. Это позволит ускорить их распознавание. Помимо скорости реагирования, применение нечеткой логики в данном случае полезно и для экономии ресурсов, так как требуется хранить меньше записей за счет того, что часть из них описывается как «близкие» к тем, которые уже находятся в базе.
Таким образом, применение нечеткой логики в дополнение к искусственным иммунным системам позволит существенно улучшить создаваемую адаптивную самообучающуюся систему защиты информации.
Методы и средства защиты информации
Библиографические ссылки
1. Self-nonself discrimination in a computer / S. Forrest, A. S. Perelson, L. Allen, R. Cherukuri // Proc. of IEEE symp. on Research in security and privacy. Oakland, 1994. P. 202-212.
2. A sense of self for unix processes / S. Forrest, S. A. Hofmeyr, A. Somayaji, T. A. Longstaff // Proc. of IEEE
symp. on Research in security and privacy. Oakland, 1996. P. 120-129.
3. Коромыслов Н. А., Жуков В. Г., Жукова М. Н. О применении искусственных иммунных систем в задаче обнаружения инцидентов информационной безопасности // Решетневские чтения : сб. тр. XIV Между-нар. науч. конф. Красноярск, 2010. С. 548-549.
M. N. Zhukova, N. A. Koromyslov Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
APPLICATION OF FUZZY ARTIFICIAL IMMUNE SYSTEMS IN THE PROBLEM OF CONSTRUCTION OF ADAPTIVE SELF-LEARNING INFORMATION SECURITY SYSTEM
We consider the disadvantages of self-learning adaptive security systems based on the principles of the immune system and possibility of their solution through the use offuzzy logic.
© Жукова М. Н., Коромыслов Н. А., 2011
УДК 002.5:004
А. В. Поварницына, Е. В. Лапина, Е. А. Данилова, В. В. Золотарев
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
РАЗРАБОТКА МЕТОДИКИ ОЦЕНКИ ЭФФЕКТИВНОСТИ ДОКУМЕНТООБОРОТА
Рассматривается методика анализа системы документооборота, рассчитываются показатели эффективности работы с документами и на основе этих данных разрабатывается комплекс мероприятий по оптимизации документооборота.
Сегодня задача организации эффективной работы с документами актуальна как для государственных и крупных коммерческих структур, так и для организаций малого и среднего бизнеса. Большинство предприятий за время своей деятельности накопили приличный архив документов, которым нужно управлять, что при постоянном росте документооборота становится делать все сложнее. В то же время не существует хорошо формализованных доступных методов оценки влияния организации документооборота на эффективность бизнеса (деятельности). Руководители предприятий вынуждены ограничиваться качественными характеристиками, не столь удобными и привычными для анализа. Получение количественных характеристик эффективности документооборота -трудоемкий процесс, который требует участия многих сотрудников предприятия и привлечения внешних консультантов. На практике его реализуют лишь в некоторых крупных организациях, так как стоимость подобного исследования для среднего и малого бизнеса часто сопоставима с общей стоимостью внедрения системы электронного документооборота.
Целью данной работы является повышение эффективности системы документооборота.
Эффективность работы с документами можно рассматривать как с точки зрения количественных пока-
зателей (экономической эффективности), так и с точки зрения качественных показателей, просчитать и спрогнозировать которые гораздо сложнее. На данном этапе не существует единого подхода и доступной методики оценки эффективности работы с документами. Эффективность работы с документами оценивается либо экспертами, либо на основе анкетирования. В обоих случаях результаты оценки могут быть неточными, а в некоторых случаях - неприменимыми на практике. Поэтому актуальность данной темы очевидна.
Идея заключается в том, чтобы разработать методику, с помощью которой производится анализ системы документооборота, рассчитываются показатели эффективности работы с документами и на основе этих данных предлагается комплекс мероприятий по оптимизации документооборота.
Новизна данной методики заключается в том, что производится оценка эффективности не только существующего, но и внедряемого документооборота; ранжирование ресурсов происходит по категориям ценности информации; прямых аналогов методики на данный момент не существует.
Разработанная методика включает три этапа.
Первый этап предполагает сбор и обработку информации. Система рассматривается в виде ориенти-
