Применение методов теории игр в системах обнаружения вторжений Текст научной статьи по специальности «Компьютерные и информационные науки»

ABOUT THE IMPROVEMENT OF THE PREPARATORY PROCESSES

IN THE PRODUCTION AND REPRODUCTION OF MICROFILM COPIES OF THE INSURANCE FUND DOCUMENTA TION

E.E. Evseev, P.E. Zavalishin, S.Y.Borzenkova, B.S. Yakovlev

The analysis of the preparation processes carried out prior to microfilariae documentation or backup roll microfilm, considered the possibility to reduce the number of preparatory operations with the aim of improving the quality of the produced roll of microfilm, increase productivity of personnel and reduce the time to reloadfilm cameras, COM systems or imaging tools.

Key words: insurance Fund of documentation, improvement of the preparatory processes for large volumes of documentation or microfilm copy, roll microfilm

Evseev Evgeniy Evgenievich, candidate of technical sciences, director of development, tula3e@yandex.ru, Russia, Tula, Aurica Ltd

Zavalishin Pavel Evgenievich, candidate of philosophical sciences, head of department, zavalishin@reprograf.ru, Russia, Tula, Tula branch «NIIR» of Fedeeal State Unitary Enterprise Scientific Research Institute of standardization and unification

Borzenkova Svetlana Yurievna, candidate of technical sciences, docent, teh-nol@,rambler. ru, Russia, Tula, Tula State University

Yakovlev Boris Sergeevich, candidate of technical sciences, docent, bor yakamail. ru, Russia, Tula, Tula State University

УДК 004.056.5

ПРИМЕНЕНИЕ МЕТОДОВ ТЕОРИИ ИГР В СИСТЕМАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ

Г.В. Басалова

Анализируется возможность применения методов теории игр для оптимального выбора средств защиты информации от DDoS-атак. Предлагаемый подход позволит эффективнее расходовать ресурсы системы и выбирать наиболее подходящие (эффективные) средства защиты в каждый промежуток времени.

Ключевые слова: информационная безопасность, сетевые атаки, средства обнаружения вторжений, теория игр.

В современных информационно-вычислительных системах проблема защиты информации от различного вида угроз становится все более актуальной. В последние годы распределенные системы предоставления услуг и обработки информации все чаще подвергаются воздействию удаленных атак. Особенно популярными являются DDoS-атаки (Distributed Denial of Service) - распределенные атаки, направленные на создание помех

207

в работе сервиса или полную остановку работы сетевого ресурса. DDoS-атака направлена на исчерпание ограниченных ресурсов системы: пропускной способности канала связи, оперативной памяти, загрузки вычислительной мощности системы и др. Успешные атаки такого типа способы нанести большой материальный и моральный ущерб.

Согласно отчету [1] в 2017 году количество и мощность DDoS-атак значительно возросли. Атакам подвергаются коммерческие и государственные структуры, нередко DDoS-атаки становятся инструментом политической борьбы. Однако основным мотивом атак такого рода являются деньги. Во втором квартале 2017 года специалистами были зафиксированы атаки по целям из 86 стран мира. Рекордная продолжительность атаки составила 277 часов, а пиковая интенсивность атак достигала сотен гигабит в секунду (по некоторым данным терабита в секунду). Атаки такого уровня способы нанести большой материальный и моральный ущерб.

DDoS-атаки проводятся с нескольких (или многих) компьютеров. Атака чаще всего сводится к перегрузке атакуемого ресурса большим количеством запросов. Для атаки обычно используется ботнет, представляющий собой группу зараженных устройств, на которых выполняется вредоносный код. В последнее время к устройствам, с которых проводятся DDoS-атаки, стали все чаще присоединяться так называемые «умные» устройства - члены сообщества «интернета вещей» (IoT - Internet of Things) -объекты, подключенные к Интернету и способные передавать данные: бытовые приборы, камеры видеонаблюдения, различные датчики и т.д. По некоторым подсчетам [2] сейчас в мере насчитывается более 6 миллиардов «умных» устройств. Такое количество потенциально уязвимых устройств не остается незамеченными злоумышленниками. В последнее время одним из направлений развития DDoS-атак является именно использование заражения IoT-устройств, что существенно проще организовать и дешевле реализовать, чем заражение полноценных компьютеров [3].

Несмотря на больше успехи в области информационной безопасности до сих пор существуют трудности распознавания и предотвращения распределенных удаленных атак. Во многих случаях действия по защите сетевых информационных ресурсов предпринимаются уже после того, как проявилось снижение доступности или производительности сервиса. Это происходит вследствие сложности оценивания будущего масштаба атаки и выбора соответствующей меры защиты. DDoS-атаки отличает спонтанный характер, так как они могут начинаться и закачиваться в случайные моменты времени, что в свою очередь также добавляет сложности выработки своевременной адекватной реакции на атаку.

С целью обнаружения фактов неавторизованного доступа в систему, а также других ситуаций, которые могут нарушить безопасность информационной системы, используются системы обнаружения вторжений. Система обнаружения вторжений обычно включает

208

- сенсорную систему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы;

- подсистему анализа, предназначенную для выявления подозрительных действий и атак на основе данных сенсоров;

- хранилище данных, необходимое для накопления первичной информации о событиях и результатов анализа;

- подсистему управления и представления результатов анализа, позволяющую настраивать систему обнаружения вторжений и наблюдать за состоянием защищаемой системы.

Наиболее сложной интеллектуальной частью системы обнаружения вторжений является блок анализа. Входными данными для блока анализа является информация, полученная от сенсоров. В большинстве современных систем такого рода для анализа применяется комбинация нескольких математических методов.

Для повышения точности предсказания и обнаружения атак система обнаружения вторжений должна собирать различную информацию о работе защищаемой системы, а также хранить и обрабатывать большой объем данных. В первую очередь проводятся наблюдения за всеми конечными (исчерпаемыми) ресурсами системы: количеством соединений за разные периоды времени, объемом передаваемого трафика, свободной памятью, загрузкой процессора. Второй тип данных для наблюдения и анализа - поведение пользователей, которое обычно фиксируется в специальных лог-файлах. Результаты анализа должны использоваться для принятия решения о режиме функционирования системы, в частности, о необходимости фильтрации входящего трафика.

Однако использование системы фильтрации с неправильно срабатывающим фильтром в отсутствии атаки влечет за собой снижение производительности системы. Кроме того, достаточно часто создание эффективной системы защиты сталкивается с нехваткой вычислительной мощности. Таким образом, возникает задача оптимизации ресурсов, затрачиваемых на поддержание работоспособности системы защиты от сетевых атак на высоком уровне.

Логичным вариантом решения указанной проблемы является минимизация ресурсов, затрачиваемых на поддержание информационной безопасности в те моменты времени, когда активность атакующей стороны не проявляется или незначительна. С этой целью система защиты информации должна использовать динамические методы, позволяющие оперативно обнаруживать и предотвращать угрозы безопасности. То есть в системе обнаружения вторжений должна быть использована математическая модель, позволяющая в каждый момент времени выбрать необходимый набор средств защиты, обеспечивающий надежную защиту, и при этом требующий минимального количества ресурсов.

В отечественных и зарубежных работах последних лет наблюдается тенденция расширения имеющихся математических подходов к выбору

набора средств системы защиты информации. Так, например, различные авторы предлагают следующие математические методы для анализа и оптимизации системы защиты информации [4-8]:

- методы на основе теории нечетких множеств;

- методы, основанные на использовании нейронных сетей;

- методы экспертных систем;

- методы математической статистики;

- методы, основанные на использовании сетей Петри;

- математический аппарат теории случайных процессов;

- методы, основанные на использовании теории автоматов;

- математический аппарат теории игр.

Статистические методы обнаружения вторжений используют хорошо зарекомендовавший себя аппарат математической статистики к поведению субъектов анализируемой системы. Вначале для всех субъектов формируются статистические модели. Составными элементами такой модели могут быть различные параметры, например, общий трафик в системе, количество отказов в обслуживании, отношение входящего трафика к исходящему, количество уникальных запросов к системе и др. Какое-либо отклонение используемого профиля от эталонного считается нарушением безопасности. Можно отметить следующие недостатки этого подхода. Во-первых, системы обнаружения вторжений на основе статистических методов в большинстве случаев нечувствительны к порядку следования событий в защищаемой системе: в некоторых ситуациях одни и те же события в зависимости от порядка их следования могут быть характерны для аномальной или нормальной деятельности. Во-вторых, в некоторых случаях бывает трудно задать предельные пороговые значения отслеживаемых характеристик для идентификации аномальной деятельности. Занижение порога приводит к ложному срабатыванию, а завышение - к пропуску вторжений. Кроме того, часто атакующая сторона использует индивидуальные подходы для каждой системы защиты, что делает использование статистических методов менее эффективными.

Любую систему обработки информации, состоящую из различных аппаратных и программных средств, можно рассматривать как уникальный комплекс со своими уникальными особенностями. Именно это является объяснением возможности пропуска специфичных для защищаемой системы удаленных атак теми системами обнаружения вторжений, которые используют один и тот же наперед заданный набор параметров мониторинга. Следовательно, более предпочтительным решением будет определение необходимых параметров наблюдения в процессе работы системы. Трудность эффективного динамического формирования параметров оценки состоит в том, что размер области поиска экспоненциально зависит от мощности начального множества наблюдаемых параметров. Для эффективного формирования множества наблюдаемых параметров в системах обнаружения вторжений могут использоваться различные интеллектуальные методы.

Многие современные исследователи предлагают использовать в качестве математической основы при построении и анализе систем защиты информации аппарат теории игр. Теория игр является формальным подходом, предназначенным для анализа взаимодействий между несколькими участниками процесса, имеющими разные интересы и принимающими решения для достижения своих целей. В любой системе защиты информации предполагаются две стороны: сторона нападения и сторона защиты (система защиты информации), имеющие противоположные интересы. В работе [7] предлагается для решения задачи выбора средств защиты от несанкционированного доступа к информации в автоматизированной системе использовать математический аппарат теории игр. Там же выполнена математическая постановка задачи в виде задачи линейного программирования с булевыми переменными. В математической постановке введен показатель стоимости средств защиты. Ограничения задачи учитывают требования классов защищенности от несанкционированного доступа в автоматизированных системах.

В работе [6] проводится обзор теоретико-игровых методов, используемых при решении задач информационной безопасности. В работе рассматривается подход к проектированию систем обнаружения вторжений с использованием математического аппарата матричных игр для двух игроков. В предлагаемой модели учитывается стоимость системных ресурсов для организации защиты.

В [8] рассматриваются возможности использования многошаговых игр с неполной информацией при построении систем защиты от Бо8 атак. Предлагается представить задачу в виде игры двух сторон: обороняющейся (А) и атакующей (В). Задачей обороняющейся стороны является минимизация собственных потерь вследствие действий атакующей стороны. Задача стороны В - получение максимальной прибыли. В статье указывается, что главной особенностью такой игры является то, что в качестве стратегий используются функции, описывающие поведение сторон в краткосрочной перспективе (под краткосрочной перспективой понимается такой промежуток времени, в котором поведение участников игры можно представить детерминировано). Множество функций предлагается подбирать для каждой задачи индивидуально, исходя из статистических данных, внешних ограничений и здравого смысла.

При анализе вопросов защиты от различных угроз безопасности целесообразно рассматривать действия двух сторон: стороны защиты (информационной системы) и стороны нарушителя. В качестве нарушителя можно рассматривать всю совокупность угроз безопасности: действия отдельных лиц, преследующих различные цели, крупномасштабные спланированные атаки, а также случайные воздействия на систему. Для теории игр типичны подобные модели, когда существуют две или более противоборствующие стороны. Если известны варианты действий (стратегии) каждой из сторон, а также выигрыш (или проигрыш) от каждого из вариан-

211

тов действий, то имеется возможность сформулировать математическую модель ситуации в виде модели бескоалиционной антагонистической игры (например, матричной). На основе сформулированной модели можно получить оптимальные стратегии стороны нападения и стороны защиты, дающие максимальный выигрыш или минимальный проигрыш, например, требующие минимума ресурсов при организации действий защиты или позволяющие достичь максимальной вероятности предотвращения атак.

Рассмотрим взаимодействие сторон (нарушителя и системы обнаружения вторжений) как бескоалиционную конечную игру. Пусть сторона защиты А и нарушитель В имеют конечное число стратегий пЛ и пв, что соответствует реальности, так как сторона защиты всегда имеет ограничение по числу возможных вариантов реагирования, а сторона нападения по числу вариантов организации атаки. Например, в работе [7] для стороны защиты предлагается использовать стратегии {«игнорировать подозрительную активность», «усилить мониторинг»}, а для стороны нападения можно рассматривать множество стратегий {«завершить атаку», «продолжить без паузы», «сделать паузу в атаке»}. Набора стратегий игроков = (¿л , яв), Е Б Л, SB е , называется ситуацией. Функции wЛ и wв выигрышей игроков определены на множестве ситуаций £ = Бл х Бв.

Решением бескоалиционной игры являются ситуации равновесия, но не обязательно в чистых стратегиях. Как известно, каждая конечная антагонистическая игра имеет хотя бы одну ситуацию равновесия в смешанных стратегиях. Смешанные стратегии при анализе систем защиты информации имеет смысл рассматривать при допущении, что работа системы продолжается значительное время, то есть итерации атаки и защиты повторяются многократно. При этом стратегии используются сторонами с некоторой недетерминированной закономерностью и затраты/доходы накапливаются с течением времени. Смешанной стратегией игроков А и В будем называть полный набор вероятностей применения их чистых стратегий:

РЛ = \рлъ PЛ2,..., РЛпЛ } рв = \рвъ Рв 2,..., РВпв } В бескоалиционной игре каждый игрок использует свои чистые стратегии независимо от другого участника процесса, поэтому в смешанной ситуации р = {Рл, Рв} вероятность р^) появления ситуации 5 = (sл, sв) равна произведению вероятностей использования обоими игроками своих чистых стратегий, то есть

Р(^ = Р(*Л ,5в ) = РЛ, 5Л • Рв, sв . Найдем средний выигрыш (проигрыш) игроков. В общем случае математическое ожидание выигрыша игрока А в смешанной ситуации Р = {Рл, Рв } определяется следующим образом:

^л (Р) = WЛ (РЛ, Рв ) = X WЛ (5)р(5) = X X WЛ (s1,52 ) ' РЛ,^Л ' Рв,^в ,

где £4, БВ - множества возможных ситуаций игроков А и В соответственно, WA - функция выигрыша (а на самом деле - проигрыша или расходов) системы защиты информации, если система защиты информации выбрала стратегию а нарушитель - стратегию 82.

Выигрыш игрока В (нарушителя системы защиты информации) в общем случае определяется аналогично.

Каким образом можно определить выигрыши игроков в данном случае? Система обнаружения вторжений £ в каждый момент времени наблюдает множество параметров М£ с помощью сенсоров. Каждую атаку можно представить в виде последовательности итераций. После каждого шага система обнаружения вторжений пытается «предсказать» следующие шаги нарушителя. Каждый шаг нарушителя порождает некоторый вид активности, который обнаруживается датчиками системы. Если блок анализа распознает активность как подозрительную, множество базовых наблюдаемых параметров М£ должно быть расширено. Пусть множество дополнительных параметров наблюдения будет доп ={х1, Х2,..., хп }, а стоимость дополнительных ресурсов, затрачиваемых на их наблюдение в течение времени ? - СА^). Предположим, затраты на наблюдение прямо пропорциональны времени наблюдения. Если мониторинг расширенного множества параметров производится в течение времени 11т, то стоимость дополнительных затрат на наблюдение будет равен

п

С А (1) = £ 0^т , 1=1

где п - количество дополнительных параметров наблюдения, о{ - затраты на мониторинг 1-го параметра. При принятии решения игнорировать возможную атаку система защиты информации не несет затрат на дополнительный мониторинг.

Оценим затраты нарушителя системы защиты информации. В случае принятия решения о прекращении атаки нарушитель не несет дополнительных затрат, а в случае принятия решения о продолжении атаки затраты атакующей стороны зависят от количества к генерируемых запросов к защищаемой системе: С в = Ф, где g - стоимость генерации одного запроса.

В случае успешной атаки система защиты информации несет убыт-

* *

ки с а , а нарушитель получает некоторый выигрыш с в .

Затраты системы защиты информации при реализации каждой из

возможных стратегий складываются из затрат на организацию защиты от

*

ББо8-атак С а ^) и убытков от возможных нарушений безопасности с а .

Аналогично выигрыш нарушителя складывается из выигрыша от наруше-

*

ния работы системы защиты информации св и из затрат на проведение атак С в.

Для рассматриваемой системы обнаружения вторжений предполагается, что с увеличением дополнительных параметров наблюдения возрастает вероятность верного определения атаки. Однако определение точной зависимости успешного обнаружения атаки от количества и набора параметров мониторинга, а также от времени наблюдения требует экспериментального исследования для каждого типа систем защиты информации.

Как уже отмечалось, каждая конечная бескоалиционная игра имеет хотя бы одну ситуацию равновесия в смешанных стратегиях Ситуацию равновесия можно найти стандартными методами теории игр, описанными, например в [9].

Хотелось бы отметить некоторые особенности применения данной методики применительно к системам защиты информации.

Прежде всего, выигрыши игроков в смешанной ситуации были определены равными математическим ожиданиям их выигрышей. Это предполагает, что игроки являются нейтральными к риску при многократном повторении игровой ситуации. Однако в случае рассмотрения систем защиты информации это не совсем оправдано. Если нарушителя можно считать нейтральным к риску участником игры, то сторону защиты - скорее всего, нет. Даже однократное нарушение безопасности защищаемой системы может быть критичным для нее, выводя из работоспособного состояния на длительное время.

Во-вторых, модель может использовать те или иные данные в качестве входных параметров. При этом возможности получения различных данных могут быть задачами разной степени сложности. Так, например, если модель использует в качестве входных параметров вероятности использования атакующей стороной отдельных стратегий, характеристики средств защиты, уязвимостей, барьеров и т.д., то оценить все указанные параметры и определить взаимосвязи между ними достаточно сложно, что осложнит практическое применение методики в системе обнаружения вторжений. Несмотря на то, что в отечественных и зарубежных исследованиях предлагаются подходы к построению математических моделей, связывающих все указанные характеристики (в частности, для оценки вероятностей использования стратегий нарушителем в [8] предлагается использование нейронных сетей) выполнение анализа на практике представляется достаточно сложным мероприятием.

Далее, известно, что в обнаружении сетевых вторжений очень значительную роль играет множество параметров оценки. Поэтому в обнаружении аномалий одной из главных задач является выбор оптимального множества параметров оценки, что невозможно выполнить методами теории игр. Поэтому целесообразно применять различные комплексные математические методы при построении систем защиты информации, в частности, систем обнаружения вторжений.

214

В связи с большой частотой ББо8-атак в настоящее время актуальность поиска математических подходов к построению систем обнаружения вторжений будет расти. В целом, математический аппарат теории игр может быть применен для анализа ситуаций с повторяющейся антагонистической природой, что является типичным для задач защиты информации. Предлагаемые методы дают возможность выбрать на начальном этапе работы системы обнаружения вторжений стратегии действий и снизить вычислительные затраты на обработку данных в системе защиты информации.

Данная работа поддержана грантом РФФИ №16-07-01008 (Ц2115.1

ГРФ).

Список литературы

1. Халимоненко А., Купреев О., Ибрагмов Т. ББо8-атаки во втором квартале 2017 года. [Электронный ресурс]. Режим доступа: https://securelist.ru/ddos-attacks-in-q2-2017/79062 (Дата обращения 15.09.2017).

2. Кусков В., Кузин М., Макрушин Д, Шмелев Я., Грачев И. Ловушки «интернета вещей». [Электронный ресурс]. Режим доступа: https://securelist.ru/honeypots-and-the-internet-of-things/30874 (Дата обращения 15.09.2017).

3. Макрушин Д. Сколько стоит DDoS устроить? [Электронный ресурс]. Режим доступа: https://securelist.ru/the-cost-of-launching-a-ddos-аИаск/30366 (Дата обращения 16.09.2017).

4. Новый подход к защите информации - системы обнаружения компьютерных угроз [Электронный ресурс]. Режим доступа: http://www.ietinfo.ru/article/ib/novyi-podkhod-k-zaschite-informatsii-sistemy-obnaruzheniya-kompyuternykh. (Дата обращения 1.10.2016).

5. Технологи обнаружения атак [Электронный ресурс]. Режим доступа: http://ypn.ru/448/intrusion-detection-technologies. (Дата обращения 1.10.2016).

6. Чибиров М.О. Об одной проблеме, возникающей при использовании теории игр в области защиты информации. М.: Проблемы информационной безопасности в системе высшей школы, 2013.

7. Лаврентьев А.В., Зязин В.П. О применении методов теории игр для решения задач компьютеной безопасности // Безопасность информационных технологий. № 3. 2013. С. 19-24.

8. Руднев Д.О., Сычугов А.А. Задача автоматической генерации сигнатур для систем противодействия вторжениям в распределенных информационных системах // Известия Тульского государственного университета. Технические науки. Тула: Изд-во ТулГУ, 2015. Вып. 7. С. 174181

9. Писарук Н.Н. Введение в теорию игр. Минск: БГУ, 2015. 254 с.

215

Басалова Галина Валерьевна, канд. техн. наук, доц., galina_basalova@mail.ru, Россия, Тула, Тульский государственный университет

APPLICATION OF METHODS OF GAME THEORY IN INTRUSION

DETECTION SYSTEMS

G.V. Basalova

The article analyzes the possibility of applying the methods of game theory to optimize the choice of means of information protection. The proposed approach will effectively spend resources of the system and choose the most suitable (effective) means of protection in each time interval.

Key words: information security, network attacks, intrusion detection tools, game

theory.

Basalova Galina Valerievna, candidate of technical science, docent, gali-na_basalova@mail. ru, Russia, Tula, Tula State University

УДК 004.056

ОБНАРУЖЕНИЕ ВРЕДОНОСНОГО ПРОГРАММНОГО

ОБЕСПЕЧЕНИЯ С ИСПОЛЬЗОВАНИЕМ ИММУННЫХ

ДЕТЕКТОРОВ

В. Л. Токарев, А. А. Сычугов

Предлагается вариант эвристического метода обнаружения вредоносных программ, основанный на использовании иммунных детекторов в виде скрытой Марковской модели.Показано, что предлагаемый метод может служить основой для построения эффективных систем обнаружения вредоносных программ.

Ключевые слова: вредоносное программное обеспечение, эвристический метод обнаружения, иммунные детекторы, скрытая Марковская модель, обучение.

Введение. Одну из серьезнейших угроз информационной безопасности автоматизированных систем представляет вредоносное программное обеспечение (ВрПО). Вредоносные программы способны украсть конфиденциальные данные с компьютера, могут заражать файлы один за другим, распространяться по всему компьютеру или по всей локальной сети, могут обеспечить утечки конфиденциальных данных, могут шифровать всю хранящуюся информацию с целью вымогательства выкупа, и многое

216