CC BY
168
УДК 519.71
В.И. Городецкий, И.В. Котенко
АРХИТЕКТУРА БАЗОВЫХ АГЕНТОВ МНОГОАГЕНТНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СЕТЯХ
Среди множества проблем создания и использования современных информационных технологий проблема защиты информации в компьютерных сетях становится первоочередной. Сложность этой проблемы вызывается рядом причин, среди которых - возрастание масштабов корпоративных компьютерных сетей, высокая динамика их реконфигурации, рост количества возможных объектов вторжений (атак) на информационные системы (сетевых протоколов, операционных систем, прикладных программ), постоянное появление новых, изощренных и ранее неизвестных типов атак. Проблема защиты информации в настоящее время решается на аппаратном и программном уровне, как правило, за счет построения “монолитных” . -временных распределенных информационных систем. Действительно, традиционные системы защиты становятся слишком "тяжелыми" для хостов с миллионами соединений в сутки, с десятками различных серверов и сотнями возможных типов атак. Они требуют ведения огромных баз данных, частично дублирующих друг , , реконфигурации аппаратного и программного обеспечения компьютерных сетей, не способны адаптироваться к неизвестным типам атак.
Современные взгляды на проблему защиты информации характеризуются тенденцией комплексирования различных задач защиты в рамках распределенной по хостам программной среды. Компоненты такой системы должны быть специализированы по типам решаемых задач, взаимодействовать друг с другом с целью обмена информацией и принятия согласованных решений, адаптироваться к реконфигурации аппаратного и программного обеспечения сети, изменению трафика, новым видам атак [1, 3, 4, 10, 12-15]. Среди возможных технологий реализации такого подхода в качестве наиболее перспективного рассматривается технология интеллектуальных многоагентных систем [1-4, 15]. В работе рассматривается обобщенная архитектура базовых агентов системы комплексной защиты информа-
[4].
Концептуально многоагентная система защиты информации (СЗИ) представляется в виде множества взаимодействующих между собой агентов, размещенных на хостах компьютерной сети. Выделяются агенты следующих типов [4]: 1) агенты обнаружения вторжения, которые предназначены для предупреждения соответствующих агентов о возможном наличии нарушения защиты. Эти агенты используют доступную информацию о процессах нормального функционирования,
( ),
(НСД) и возможных сценариях атак; 2) агенты разгрантения доступа, которые ограничивают доступ к информации в соответствии с правами отдельных пользователей путем реализации дискреционных правил разграничения доступа (ПРД), задающих каждой паре “субъект-объект” разрешенные виды сообщений (чтение,
запись, выполнение и др.). Потоки информации различной степени конфиденциальности контролируются путем реализации .мандатных ПРД, не допускающих утечку конфиденциальной информации; 3) агенты идентификации и аутентифи-, -ние их подлинности. Они осуществляют обеспечение соответствия между функциональными процессами и инициировавшими их субъектами; 4) агенты подавления атакующего, ответственные за "преследование", идентификацию и обезвреживание атакующего; 5) агенты оценки повреждений и восстановления целостности данных; 6) агенты криптографической и стеганографической защиты, осуществляющие создание безопасных каналов обмена информацией между узлами компьютерной сети (хостами, серверами); 7) агенты обучения, которые ответственны за адаптацию агентов СЗИ к реконфигурации компьютерной сети и новым типам атак; 8) мета-агенты, которые выполняют управление процессами защиты ин-,
решении задач защиты информации, а также ответственны за поддержание требуемого уровня защиты информации в соответствии с некоторым глобальным критерием; 9) агенты-демоны (агенты восприятия), предназначенные для анализа обрабатываемых в защищаемой информационной системе сообщений.
Предполагается, что компонент архитектуры многоагентной СЗИ, ассоциированный с некоторым хостом, может состоять из одного или нескольких экземпляров агентов каждого типа, специализированного на решение некоторой подзадачи общей задачи защиты. Агенты-демоны анализируют трафик обрабатываемых сообщений, фиксируя элементарные компоненты входного сообщения (например,
- ( ). Они играют роль сенсоров для СЗИ, информируя о поступающих сообщениях и выполняя их первичную обработку. Информация от демонов поступает к одному из агентов защиты, которые обрабатывают эти сообщения и, решая свою задачу,
( , - ), -. , защищаемой распределенной информационной системы, образует многоагентную СЗИ в целом.
Агенты обнаружения вторжения (АОВ) предназначены для идентификации вторжения в информационную систему извне, определения отклонений действий зарегистрированных пользователей от предписанного порядка, последствием которых может стать НСД к информации, нарушение ее целостности и доступно, -ратного и программного обеспечения. Эти агенты должны выполнять все функции системы регистрации и учета, идентифицировать наличие сценариев атак и, кроме ,
отношению к объектам, в соответствии с которой определяются отклонения от нормального поведения и признаки НСД [4, 6, 7, 9, 11-15]. Реализуемые этими агентами модели обнаружения атак описывают процесс сбора данных о поведении пользователей и всех функциональных компонент защищаемой информацион-, , -стической обработки для получения характеристик нормального и аномального , , -.
эти агенты применяют правила обнаружения вторжения, которые позволяют вести поиск и устранение каналов вторжения в реальном времени и детализировать ПРД.
, -, -ружение атак как на уровне сети, так и на уровне хоста. Совместно -
подсистему обнаружения вторжения и решают задачи обнаружения вторжений на основании ин-, -- , -
ными с входами различных компонент программного обеспече-, -тов аутентификации и агентов . -
наружении вторжения АОВ
должны передать соответствующую информацию другим аген-, , -
, -
жания целостности данных и/или мета-агенту хоста. Каждый из этих агентов ответственен за ис-
-
стратегии обезвреживания атакующей программы и устранения .
Типовая архитектура АОВ
представлена на рис.1,2.
Центральными компонентами АОВ являются база знаний и данных о типах ( , -
), , в основу которого в целях повышения вычислительной эффективности положено бинарное дерево решений. Корню этого дерева ставится в соответствие все множество возможных типов вторжений, за обнаружение которых ответственен конкретный агент. Каждому другому узлу дерева отвечает подмножество таких вторжений. Каждый шаг по дереву принятия решений - это альтернативный выбор одного , ,
. -рядоченное множество локальных баз знаний. Каждому АОВ хоста поставлено в соответствие свое подмножество возможных атак, которые он в состоянии обна-, .
К агентам К мета-
обучения
К агентам |£ аГе„. агенту подавлешія
К агентам обнаружения вторжения
Демон 2
От агентов иіеншфшаїцші
Рис.1. Архитектура агентов обнаружения вторжения
От агентов-демонов
От
агентов
разграни-
чения
лосп’па
От агентов аутентификации
К сетевому -
-
ности данных
Рис.2. Архитектура и взаимодействие компотт системы обнаружения
Специализация агентов по возможным типам атак и включение в число возможных решений исхода "unknown" позволяют обеспечить гибкость реконфигурации и расширения множества агентов обнаружения вторжения по отношению к новым видам атак. Действительно, если агент принимает решение "unknown", то он должен передать необходимую информацию мета-агенту и через него - агентам обучения. В результате обучения генерируется новый агент. Последний встраивается в общую модель системы обнаружения вторжения.
Агенты разграничения доступа (АРД) выполняют две основные функции [4, 9]: 1) управляют потоками информации с различными степенями конфиденциальности, не допуская утечки категорированной информации по каналам НСД; 2) обеспечивают доступ пользователей к информационным ресурсам в строгом соответствии с их функциональной ролью. Первая функция реализуется посредством обеспечения выполнения мандатных ПРД, а вторая - дискреционных ПРД. Поэтому в основу построения АРД должны быть положены модели реализации мандатных и дискреционных ПРД. Модель реализации мандатных ПРД должна устанавливать соответствие между фактическими степенями конфиденциальности информации и их внутренним представлением в защищаемой информационной системе и определять процедуры реализации мандатных ПРД. Модель реализации дискреционных ПРД должна позволять определять для конкретных субъектов и объектов , , -жду ПРД различной глубины.
Опишем модель реализации АРД мандатных ПРД. Мандатные ПРД, реализуемые АРД, формулируются в терминах субъекта, объекта, иерархических кате,
информации в объекте, а также операций записи и чтения [9], в частности: а) субъект может читать объект, только если иерархическая категория субъекта не меньше, чем классификационный уровень объекта; б) субъект может осуществлять запись в объект, только если иерархическая категория субъекта не больше, чем классификационный уровень объекта.
При реализации мандатных ПРД процесс функционирования защищаемой информационной системы задается в виде множества процессов и каналов обмена сообщениями между ними. При этом процесс-источник сообщения рассматривается в роли субъекта, а процесс-приемник - в роли объекта. Каждому процессу присваивается определенный уровень, под которым понимается численное значение, однозначно определяющее степень конфиденциальности, с которой процесс опе-.
Полностью реализовать такой порядок взаимодействия процессов, при котором осуществляется разделение потоков информации и разрешаются потоки только от процессов низина уровней к выспит и между процессами одного уровня, невозможно. Это обусловлено следующими причинами: 1) возможность обработки информации различных степеней конфиденциальности должна быть предоставлена каждому пользователю: 2) для реализации отдельных функциональных процессов необходимо наличие информационных потоков вне зависимости от уровня: 3) существует потребность в совместном использовании одних и тех же ресурсов процессами различных уровней.
Поэтому возникает потребность в доверенных процессах, которым разрешена обработка информации различных степеней конфиденциальности и создание информационных потоков во всех направлениях вне зависимости от уровня информации. Таким образом, процесс функционирования защищаемой информационной системы в аспекте реализации мандатных ПРД можно представить доверенными и обычными процессами. Разработка программного обеспечения (ПО) для доверенных процессов отличается от разработки обычного ПО увеличением объема работ по спецификации и верификации [9]. Аппаратная часть и программы, реализующие , ,
. ,
принадлежность процесса защиты информации, несмотря на то, что они реализуют
.
Доверенному процессу присваивается уровень, соответствующий максимальной степени конфиденциальности информации, которую процесс может .
уровня своих сообщений. Использование доверенных процессов позволяет отказаться от реализации информационных потоков между обычными процессами , -мации, и полностью осуществить мультиплексирование потоков различных уровней через доверенные процессы.
Пример реализации мандатных ПРД представлен на рис.3. На этом рисунке уровни Ь1-Ь5 соответствуют степеням конфиденциальности обрабатываемой информации L1<L2<L3<L4<L5, Р1-Р9 - обычные процессы, БР1-БР3 - доверенные процессы. Показаны только разрешенные потоки сообщений между процессами.
Обычные процессы могут непосредственно обмениваться сообщениями, только действуя на одном уровне (процессы Р2 и Р3 на уровне Ь2). Обмен сообщениями между обычными процессами различных уровней осуществляется только через доверенные процессы в соответствии с их максимальным уровнем: для процесса БР1 максимальный уровень равен 13, для процесса БР2 - Ь4, для БР3 -15. В соответствии с этими уровнями обычные процессы Р3 и Р6 могут обмениваться сообщениями через все доверенные процессы БР1-БР3, а процессы Р1 и Р9 только через процесс БР3. Поскольку доверенные процессы самостоятельно определяют уровень своих сообщений, при обмене доверенных процессов между собой разрешенные потоки сообщений определяются максимальными уровнями процессов. Так, процессу БР2 разрешена передача процессу БР1 сообщений с уровнем не выше 13 и получение от процесса БР3 сообщений уровня не выше 14. При таком взаимодействии доверенные процессы инициализируют обычные процессы и определяют им уровень функционирования.
| Р11 — Обычные процессы ЩрЦ — Доверенные процессы
Рис.3. Реализация мандатных ПРД АРД контролируют отмеченные потоки информации, предотвращая запре.
Опишем модель реализации АРД дискреционных ПРД. С целью пояснения процесса реализации дискреционных ПРД представим функциональные процессы в защищаемой информационной системе через совокупность субъектов. Субъекты определяются активными элементами (пользователями, реализуемыми задачами,
),
( ) -
, , прикладных процессов к системным, обращениям пользователей к серверам и т.д.
Каждый субъект представим как генератор сообщений по разрешенным каналам и каналам НСД (рис.4). У субъекта имеется свой локальный объект, который является хранилищем данных и имеет .множество методов их обработки.
Выбор субъектом канала для передачи сообщения выполняется на основе состояния своего локального объекта. Получателем сообщения является объект или субъект. Если получателем сообщения является субъект, то фактическим получателем является локальный объект субъекта. Если получатель сообщения - объ-, -общения для обработки полученного сообщения (например, запрос пользователя к интерфейсу прикладной программы может инициализировать множество процессов на хостах и серверах).
Рис. 4. Модель субъекта доступа
Получаемые объектами сообщения, так же как и сообщения, передаваемые субъектами, могут поступать по разрешенным каналам и каналам НСД (рис.5). Все объекты системы полностью соответствуют понятию объекта, определяемому объектно-ориентированным подходом. Объект системы инкапсулирует данные и методы обработки сообщений. Пользователь воспринимает меню задачи как объект, видит методы объекта как пункты меню и посылает сообщения для инициализации методов выбором пунктов меню.
Для каждого субъекта дискреционные ПРД определяют разрешенные каналы.
Для этого исполь-,
задающие классы получателей и классы видов сообщений. Получатели-
субъекты задаются в виде идентификаторов своих ло.
Дискреционные
ПРД действуют до заданной глубины, которая определяется последним каналом, объектом-получателем сообщения, по которому он не рассматривается как субъект. Для объектов, на базе которых могут инициализироваться субъекты, дискреционные ПРД задают разрешенные классы каналов и последовательности их выбора. Например, программе обработки текстов могут быть определены классы со, . последовательность выбора каналов для программы отражает ее спецификацию, а для пользователя - предписанный порядок работы.
Рис.5. Модель объекта доступа
При инициализации субъекта дискреционные правила для него детализируются в соответствии с каналом, по которому получено сообщение его базовым объектом. Например, программе обработки текстов разрешаются сообщения к одному классу файлов при инициализации одной задачей, и к другому классу - при инициализации другой задачей. Поскольку выбор субъектом канала для генерации сообщения осуществляется только на основании состояния локального объекта, НСД к информации трактуется как несоответствие между действительным состоянием локального объекта и состоянием, которое определено дискреционными ПРД. Примером такого несоответствия является существование логических усло-, , наличие у пользователей мотивов для осуществления запрещенной последователь.
Для реализации описанного порядка взаимодействия субъектов и объектов доступа необходимо выполнить две стадии синтеза процедур дискреционного разграничения доступа: 1) задать множество разрешенных каналов для субъектов и объектов; 2) обеспечить передачу и прием сообщений субъектов и объектов только по разрешенным каналам.
Задание дискреционных ПРД предлагается осуществлять в виде множества
- , -ных субъектов и объектов и их классов, выводить одни правила из других, задавать соответствие между ПРД различной глубины. Традиционно дискреционные ПРД реализуются с помощью матрицы доступа, профилей полномочий субъектов, списков доступа объектов или комбинированно. Реализация ПРД возможна также путем присвоения субъектам и объектам категорий доступа, которые позволяют задавать как профили полномочий, так и списки доступа.
Подсистема разграничения доступа СЗИ (рис.6) состоит из подсистем мандатного и дискреционного разграничения доступа, включающих агентов проверки мандатных и дискреционных ПРД соответственно, и агентов обеспечения непротиворечивости мандатных и дискреционных ПРД. Агенты проверки .мандатных ПРД выполняют контроль значимых событий (таких как инициализация, завершение , )
ПРД на основе своего внутреннего представления информационной системы в виде баз идентификаторов доверенных и активных процессов, логическая структура которых представляет собой матрицу соответствия идентификатора процесса и его уровня. Агенты проверки дискреционных ПРД контролируют соответствие сообщений от субъектов к объектам на основе базы дискреционных ПРД, которая представляет собой многоуровневую структуру данных, где каждому уровню соответствуют правила конкретной глубины разграничения доступа. Агенты обеспечения непротиворечивости .мандатных и дискреционных ПРД в процессе ввода администратором защиты дискреционных ПРД контролируют их на соответствие .
-
)
МЕТА-
АГЕНТЫ
-
ратор
защиты
Функциональные компоненты информационной системы
-
наружения
вторжения
-
фикации и аутентификации
Рис.6. Архитектура АРД
Агенты идентификации и аутентификации (АИА), так же, как и агенты реализации мандатного разграничения доступа, рассматривают информационную систему в виде процессов, каналов и сообщений, преследуя при этом, однако, дру.
представлением защищаемой информационной системы в подсистемах дискреционного разграничения доступа и обнаружения вторжения, отображающих функциональные компоненты информационной системы в виде субъектов и объектов, и фактическими процессами передачи и обработки информации. АИА разрешают выполнение процессов только заданному множеству активных компонентов (поль, ), -ждение информационного обмена, предоставляют функциональным процессам каналы для обмена сообщениями, для чего выполняют мультиплексирование кана, .
Необходимость АИА обусловлена следующими причинами: 1) потребностью освободить агентов реализации дискреционных ПРД, как наиболее критичных с точки зрения снижения оперативности функциональных процессов, от до, -
лей субъектов; 2) необходимостью предоставить агентам реализации дискреционных ПРД идентификаторы субъектов, ответственных за генерацию сообщений в процессе распределенной обработки информации; 3) необходимостью предоставить процессам каналы, обеспечивающие целостность и конфиденциальность пе-; 4) ,
посредством которого должна быть разрешена инициализация субъектов только на базе заданного множества активных компонентов. По перечисленным причинам предлагается положить в основу построения АИА следующую модель аутентифи-.
Для аутентификации используются услуги, предоставляемые агентами крипто: - -графического канала. Хэш-функция позволяет вычислить код аутентификации сообще-( ), . -метричный криптографический канал предполагает наличие у источника сообщения пары ключей - секретного ключа, известного только источнику, и открытого ключа, известного всем получателям. Сообщение, зашифрованное с помощью секретного , .
Рассмотрим обобщенный алгоритм аутентификации источника и получателя сообщений [16 и др.], используемый АИА. 1. Действия агента-источника: а) вычисление КАС передаваемого сообщения; б) расчет электронной подписи сообщения путем шифрования вычисленного КАС с помощью секретного ключа источника; в) передача
. 2. - : )
; ) , - , -ки электронной подписи с помощью открытого ключа источника; в) сравнение двух полученных КАС и при их совпадении установление факта подлинности источника (поскольку только источнику может быть известен секретный ключ, используемый для ) . -тозащиты сообщений данный алгоритм дополняется или передачей отметки времени в сообщении или схемой запрос^твет, в соответствии с которой агент-получатель генерирует случайное число и отправляет его агенту-источнику, а агент-источник возвращает это число в сообщении.
Этот алгоритм используется для предоставления функциональным процессам , -принципалов, к которым должны применяться дискреционные ПРД. Принципалы являются носителями ответственности (НО) за реализуемые функциональные процес. -чать за множество процессов. Например, для процесса редактирования текста НО будут являться: пользователи, осуществляющее ввод команд редактора, исполняемый модуль редактирования, реализующий интерпретацию этих команд, операционная система, обеспечивающая загрузку программы редактора и обработку системных вызовов. Множество процессов на различных хостах может выполняться в интересах одного , .
В целях определения НО для каждого процесса строится отображение выполняемых функциональных процессов на множество НО путем аутентификации субъектов (в том числе пользователей) и аутентификации сообщений.
Аутентификация субъекта состоит в доказательстве АИА перед инициализацией процесса этим субъектом, что субъект является НО. Право реализации процессов предоставляется субъекту только в случае положительного результата аутентификации. Функция аутентификации включается в процессы начальной загрузки, загрузки программ при функционировании, входа в систему пользователя. При начальной загрузке выполняется проверка соответствия конфигурации всех хостов и серверов той, которая установлена для реализации на данную операцию. Функции АИА в этом случае состоят в определении конфигурации аппаратного обеспечения, КАС программ ПЗУ, операционной системы и прикладных программ, сравнении вычисленных данных с данными аутентификации и разрешении функционирования только при положительном резуль-. -ционирования идентичен процессу аутентификации при начальной загрузке. Установление подлинности пользователей может выполняться с помощью смарт-карт. Смарт-карта содержит в памяти секретный ключ пользователя, его персональный идентифика-
тор и имеет процессор для выполнения асимметричного шифрования. После установки пользователем смарт-карты в считывающее устройство и ввода персонального идентификатора, если введенный идентификатор правильный, выполняется описанный выше алгоритм аутентификации, где сообщением является случайное число, источником -смарт-карта, а получателем - АИА.
Помимо установления факта соответствия субъекта НО при аутентификации субъектов происходит передача полномочий одних НО другим. Когда пользователь аутентифицирует себя на хосте, тем самым он делегирует хосту право генерировать сообщения от его имени. В процесс обработки сообщения от пользователя может быть вовлечена последовательность подсистем информационной системы, где каждая система делегирует следующей системе право действовать от своего имени, распространяя тем самым полномочия представлять оригинальный источник сообщения. Для того, чтобы повторно не проводить аутентификацию субъектов при таком делегировании , , которые удостоверяют право одних НО представлять другие. Каждому протекающему функциональному процессу выдается свой сертификат. Наличие сертификата у процесса означает подтверждение его права выполнять действия от имени заданных НО.
Аутентификация сообщения означает не только определение непосредственного , ,
. , различных узлах сети, создается канал процесс-^оцесс путем мультиплексирования каналов между узлами сети. При этом для полученного сообщения становится известен , . ,
, , .
Подсистема идентификации и аутентификации СЗИ объединяет множество следующих АИА (рис.7). Агенты загрузки обеспечивают разрешение инициализации функциональных процессов только из заданного множества программных средств. Для каждого процесса агентами формирования сертификатов на основании используемой базы сертификатов создается свой сертификат, который записывается агентами сертификации процессов в базу сертификатов активных процессов. При каждом обращении процесса к другому процессу агент сертификации определяет из сертификата процесса имена ответственных за него принципалов и передает их агентам реализации дискреционного разграничения доступа.
Рис. 7. Архитектура АИА
Принципалы внутри подсистемы аутентификации представлены в виде открытого ключа из пары ключей асимметричного шифрования, поэтому для установления соответствия ключа и логического имени принципала имеется база ключей и имен принци. -
катами процессов, то есть, если процесс генерирует сообщение процессу на другом , -
.
сети агентами управления каналами создаются каналы процесс-процесс путем мультиплексирования криптографического канала между хостами.
Мета-агенты. Координация деятельности агентов каждого хоста сети частично осуществляется мета-шентом соответствующего хоста. Для организации взаимодействия агентов, расположенных на различных хостах, в случае обнаружения сетевых атак используется мета-шент системы защиты в целом. Основные функции мета-^ента хоста связаны с управлением системой защиты хоста на основе инфор-, -сети в целом. Его взаимодействие с компонентами системы защиты сети и своего хоста осуществляется на основе обмена сообщениями. Сообщения посылаемые ме-та-шентом хоста могут формироваться по инициативе администратора хоста или быть реакцией мета-^ента на сообщения, полученные от агентов хоста метаагентов других хостов, мета-^ента системы обучения и мета-^ента сети в целом. Мета-агенты должны обеспечить гибкость распределения функций защиты, в ча-, ,
снижать необходимое для защиты время на критичных к оперативности участках функционирования информационной системы (за счет "повышения нагрузки" на АОВ), а также минимизировать затрачиваемые на обнаружение НСД ресурсы, например, увеличением глубины разграничения доступа для менее критичных ко времени функцио-([4]).
В многоагентной СЗИ при решении общей задачи защиты информации функционирование агентов носит распределенный и кооперативный характер. Поэтому агенты должны взаимодействовать с помощью обмена сообщениями. Обмен сообщениями предполагает, что агенты способны “понимать” друг друга. Такое взаимное понимание агентов означает следующее: 1) каждый агент "знает", какие задачи он должен и способен решать сам, 2) каждый агент "знает", какому агенту он должен адресовать свой запрос на информацию или решение подзадачи с целью получения такой информации, если это вне его компетенции, и 3) сообщения агента должны быть представлены в такой форме и в таких терминах, которые понятны получателю. Последнее принято еще характеризовать как наличие общего контекста или разделяемых знаний в многоагент-. -
, , моделях функционирования других агентов. Вообще говоря, это общее требование к , .
, -
пределенных баз знаний такого типа, является использование онтологий [5]. Онтологии характеризуют предметные знания сами по себе, вне связи с конкретными структурами, используемыми для га представления, алгоритмами вывода или эври-. -
ти защиты информации представляет собой описание частично упорядоченного
множества понятий защиты информации, которые должны использоваться соответствующими агентами защиты. Кроме отношения частичного порядка, на узлы этой структуры накладываются и другие отношения свойственные предметной об-
ласти защиты информации, получаемые в результате ее изучения специалистами предметниками. Это различного рода ограничения правила и количественные и качественные отношения, связывающие понятия защиты и т.п. Данная онтология определяет подмножества понятий, которые используют различные агенты СЗИ для кооперативного решения поставленных задач без необходимости использования каждым агентом всей онтологии предметной области.
Специализация каждого агента СЗИ определяется некоторым подмножеством узлов онтологии. Некоторые узлы онтологии являются общими для пары или большего количества агентов. И только один из них имеет более глубокое, более детально структурированное описание этого узла. Именно этот агент содержит соответствующую мо. ,
для всех агентов, в частности, для мета-агента и именно эта часть знаний является тем, что играет роль общего контекста. Этот контекст позволяет, с одной стороны, определять, какой именно агент ответственен за некоторые знания, задачи, процедуры, а с , -, -
.
В заключение отметим, что данной работе предложена архитектура базовых агентов многоагентной системы комплексной защиты информации в компьютерных .
системы защиты информации, реализующего предложенный в данной работе подход. Программное обеспечение разрабатывается в среде JAVA и Visual C++. В рамках будущих работ предполагается сосредоточить внимание на задачах детализации архитектуры и механизмов взаимодействия агентов защиты, построения онтологии предметной области защиты информации, а также на задачах обучения агентов для обеспечения адаптации к новым видам атак и расширяемости системы защиты.
ЛИТЕРАТУРА
1. J.Balasubramaniyan, J. Garcia-Fernandez, D. Isakoff, E. Spafford, D. Zamboni. An Architecture for Intrusion Detection using Autonomous Agents // In Proceedings of the 14th Annual Computer Security Applications Conference. Phoenix, Arizona. December 7-11, 1998.
2. W. Brenner, R. Zarnekow, H. Wittig. Intelligent Software Agents // Foundations and Applications. -Springer-Verlag, 1998.
3. M. Crosbie, E. Spafford. Defending a computer system using autonomous agents // In Proceedings of the 18th National Information Systems Security Conference. - 1995.
4. V.I.Gorodetski, I.V.Kotenko, V.A.Skormin, L.J.Popyack. Agent-based model of Information Security Systems: Architecture and Framework for Behavior Coordination // Proceedings of the I International Workshop of Central and Eastern Europe on Multi-agent Systems. - St. Petersburg, 1999. - C. 113-123.
5. N. Guarino. Formal ontology, conceptual analysis and knowledge representation // In Int. J. Human-Computer Studies. -1995. - №43. - C. 625-640.
6. Hochberg et al. "NADIR": An Automated System for Detecting Network Intrusion and Misuse // In Computers and Security, Vol.12. - 1993. - №3. - C. 235-248.
7. K. Ilgun, R.A. Kemmerer, P.A. Porras. State transition analysis: A rule-based intrusion detection approach // In IEEE Transactions on Software Engineering, March 1995. - 1995. - 21,
3. - . 181-199.
8. Inc. Network Flight Recorder. Network flight recorder. http://www.nfr.com. - 1997.
9. . . . -
онной и вычислительной поддержки процессов планирования связи на основе новых
. - - : , 1998.
10. S. Kumar, E.H. Spafford. A software architecture to support misuse intrusion detection // In Proceedings of the 18th National Information Security Conference. - 1995. - C. 194-204.
11. T. Lunt et al. Knowledge-based Intrusion Detection // In Proceedings of 1989 Governmental Conference Artificial Intelligence Systems / March, 1989.
12. V. Paxon. Bro: A system for detecting network intruders in real-time // In Proceedings of the 7th USENIXSecurity Symposium. - San Antonio, TX, 1998.
13. P.A. Porras, P.G. Neumann. EMERALD: Event monitoring enabling responses to anomalous live disturbances // In National Information Systems Security Conference / Baltimore MD, October 1997.
14. S. Stainford-Chen, S. Cheung, R. Crawford, et. al. GrIDS: A Graph-based Intrusion Detection System for Large Networks // In Proceedings of the 19-th National Information System Security Conference. Vol.1, National Institute of Standards and Technology, October, 1996. - C. 361-370.
15. G. White, E. Fish, U. Pooch. Cooperating Security Managers: A Peer-Based Intrusion Detection System // In IEEE Network, January/February 1996. - C. 20-23.
16. E. Wobber, M. Abadi, M. Burrows. Authentication in the Taos Operating System // In ACM Transactions on Computer Systems. - 1994. - 12, №1. - C.3-32.
