Научная статья на тему 'Исследование алгоритма прецедентного анализа в задаче классификации инцидентов информационной безопасности'

Исследование алгоритма прецедентного анализа в задаче классификации инцидентов информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
842
119
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / ИНЦИДЕНТ / ПРЕЦЕДЕНТ / СТРАТЕГИЯ РЕАГИРОВАНИЯ / ПРЕЦЕДЕНТНЫЙ АНАЛИЗ / INFORMATION SECURITY / INCIDENT / CASE / RESPONSE STRATEGY / CASE BASED ANALYSIS

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Жуков В. Г., Шаляпин А. А., Соколов М. М.

Представлено решение актуальной практической задачи определения стратегии реагирования на инциденты информационной безопасности в информационных системах с помощью прецедентного анализа. Рассмотрен процессный подход к управлению инцидентами и его основные стадии. Процесс управления инцидентами, согласно требованиям нормативных документов, включает четыре этапа: обнаружение инцидента, реагирование на инцидент, расследование, корректирующие действия. На втором этапе процесса управления инцидентами существует актуальная проблема оперативного реагирования на инциденты информационной безопасности. Необходимо решить, какую стратегию из множества заданных выбрать, либо определить, что подходящей стратегии не существует и ее необходимо сформировать. В качестве решения проблемы выбора стратегии реагирования предлагается использовать аппарат прецедентного анализа. Для решения данной задачи предполагается применение упрощенного цикла рассуждения на основе прецедентов, который не включает этап адаптации сценариев реагирования. Классификация основана на количестве найденных аналогий и значении степени подобия. Инциденты сопоставляются классам прецедентов на основе найденных аналогий в каждом классе. По значению степени подобия инциденту ставится в соответствие конкретный прецедент из класса и связанная с ним стратегия реагирования. В соответствии с предложенной концепцией анализа инцидентов разработан новый алгоритм классификации инцидентов информационной безопасности в информационных системах на базе прецедентного и статистического анализа. Разработанный алгоритм отличается от известных автоматизированным выбором оптимального порогового значения с помощью ROC-анализа. Алгоритм предусматривает возможность выбора критерия максимального качества классификатора в зависимости от допустимого значения ошибок первого и второго рода. Проведена оценка эффективности разработанного алгоритма на множестве тестовых данных. Предложенная концепция построения системы прецедентного анализа позволяет повысить оперативность реагирования и многократно использовать ранее накопленный опыт в процессе управления инцидентами информационной безопасности.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

RESEARCH OF THE CASE ANALYSIS ALGORITHM IN THE CLASSIFICATION OF PROBLEM OF INFORMATION SECURITY INCIDENTS

The article is devoted to solution of the actual practical task of determining the strategy for responding to information security incidents in information systems with the help of case analysis. The author examines the process approach to incident management and its main stages. Incident management process, according to regulatory requirements, involves four steps: detection of an incident, incident response, investigation, corrective actions. At the second stage there is an urgent problem of a prompt response to information security incidents. It is necessary to decide which strategy should be chosen from a variety of specific strategies or to determine that there is no appropriate strategy and therefore it should be formed. As a solution of the problem of the response strategy selection it is proposed to use the case based analysis apparatus. To solve this problem it is supposed to use a simplified cycle of reasoning based on cases and not including the stage of response scenarios adaptation. The classification is based on the number of found analogies and the value of the similarity degree. Incidents are compared with case classes on the basis of similarities found in each class. According to the degree of similarity an incident corresponds to a specific case in the class and the response strategy associated with it. A new algorithm for classification of information security incidents in information systems based on the case and statistical analysis was worked out in accordance with the proposed concept of incidents analysis. The developed algorithm differs from the well-known ones in automatic selection of the optimal threshold value using ROC-analysis. The algorithm allows the selection of the criterion of classifier maximum quality depending on the permissible value of errors of the first and second kind under the given circumstances. The assessment of the developed algorithm effectiveness was carried out. The proposed concept of building the case based system of information security incidents increases responsiveness and allows repetitive using of the previous experience in the process of information security incidents management.

Текст научной работы на тему «Исследование алгоритма прецедентного анализа в задаче классификации инцидентов информационной безопасности»

УДК 004.56

Вестник СибГАУ Т. 16, № 3. С. 572-579

ИССЛЕДОВАНИЕ АЛГОРИТМА ПРЕЦЕДЕНТНОГО АНАЛИЗА В ЗАДАЧЕ КЛАССИФИКАЦИИ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В. Г. Жуков*, А. А. Шаляпин, М. М. Соколов

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31

E-mail: [email protected]

Представлено решение актуальной практической задачи определения стратегии реагирования на инциденты информационной безопасности в информационных системах с помощью прецедентного анализа. Рассмотрен процессный подход к управлению инцидентами и его основные стадии. Процесс управления инцидентами, согласно требованиям нормативных документов, включает четыре этапа: обнаружение инцидента, реагирование на инцидент, расследование, корректирующие действия. На втором этапе процесса управления инцидентами существует актуальная проблема оперативного реагирования на инциденты информационной безопасности. Необходимо решить, какую стратегию из множества заданных выбрать, либо определить, что подходящей стратегии не существует и ее необходимо сформировать. В качестве решения проблемы выбора стратегии реагирования предлагается использовать аппарат прецедентного анализа. Для решения данной задачи предполагается применение упрощенного цикла рассуждения на основе прецедентов, который не включает этап адаптации сценариев реагирования. Классификация основана на количестве найденных аналогий и значении степени подобия. Инциденты сопоставляются классам прецедентов на основе найденных аналогий в каждом классе. По значению степени подобия инциденту ставится в соответствие конкретный прецедент из класса и связанная с ним стратегия реагирования. В соответствии с предложенной концепцией анализа инцидентов разработан новый алгоритм классификации инцидентов информационной безопасности в информационных системах на базе прецедентного и статистического анализа. Разработанный алгоритм отличается от известных автоматизированным выбором оптимального порогового значения с помощью ROC-анализа. Алгоритм предусматривает возможность выбора критерия максимального качества классификатора в зависимости от допустимого значения ошибок первого и второго рода. Проведена оценка эффективности разработанного алгоритма на множестве тестовых данных. Предложенная концепция построения системы прецедентного анализа позволяет повысить оперативность реагирования и многократно использовать ранее накопленный опыт в процессе управления инцидентами информационной безопасности.

Ключевые слова: информационная безопасность, инцидент, прецедент, стратегия реагирования, прецедентный анализ.

Vestnik SibGAU Vol. 16, No. 3, P. 572-579

RESEARCH OF THE CASE ANALYSIS ALGORITHM IN THE CLASSIFICATION OF PROBLEM OF INFORMATION SECURITY INCIDENTS

V. G. Zhukov*, A. A. Shalyapin, M. M. Sokolov

Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: [email protected]

The article is devoted to solution of the actual practical task of determining the strategy for responding to information security incidents in information systems with the help of case analysis. The author examines the process approach to incident management and its main stages. Incident management process, according to regulatory requirements, involves four steps: detection of an incident, incident response, investigation, corrective actions. At the second stage there is an urgent problem of a prompt response to information security incidents. It is necessary to decide which strategy should be chosen from a variety of specific strategies or to determine that there is no appropriate strategy and therefore it should be formed. As a solution of the problem of the response strategy selection it is proposed to use the case based analysis apparatus. To solve this problem it is supposed to use a simplified cycle of reasoning based on cases and not including the stage of response scenarios adaptation. The classification is based on the number offound analogies and the value of the similarity degree. Incidents are compared with case classes on the basis of similarities found in each

class. According to the degree of similarity an incident corresponds to a specific case in the class and the response strategy associated with it. A new algorithm for classification of information security incidents in information systems based on the case and statistical analysis was worked out in accordance with the proposed concept of incidents analysis. The developed algorithm differs from the well-known ones in automatic selection of the optimal threshold value using ROC-analysis. The algorithm allows the selection of the criterion of classifier maximum quality depending on the permissible value of errors of the first and second kind under the given circumstances. The assessment of the developed algorithm effectiveness was carried out. The proposed concept of building the case based system of information security incidents increases responsiveness and allows repetitive using of the previous experience in the process of information security incidents management.

Keywords: information security, incident, case, response strategy, case based analysis.

Введение. Процесс управления инцидентами информационной безопасности (ИБ) является важным источником данных для анализа эффективности системы защиты информации и планирования улучшений в ее работе. Необходимость управления инцидентами возникает не только в рамках обеспечения ИБ, но и при управлении ИТ-инфраструктурой в целом. Семейство государственных стандартов ГОСТ Р ИСО/МЭК 20000-2005 описывает ряд требований к управлению инцидентами в ИТ-инфраструктуре [1; 2].

В международной практике существует большое количество рекомендаций, рассматривающих специфические вопросы управления инцидентами ИБ. Очевидно, что для конкретной организации существующие методологии имеют различную эффективность. Однако применяемая методология должна быть совместима с основными современными стандартами на системы управления, такими как ISO/IEC 27001 и ISO 20000. В рамках нормативной базы Российской Федерации, устанавливающей требования и рекомендации к реализации процесса управления инцидентами ИБ, основными стандартами являются ГОСТ Р ИСО/МЭК 27001-2006 и ГОСТ Р ИСО/МЭК 180442007. Кроме того, нормативные документы ФСТЭК России определяют базовый перечень мер, которые должны в том числе включать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по реагированию, устранению и предупреждению инцидентов. Данные меры обязательны к реализации в системах защиты информации для информационных систем персональных данных 1 и 2 уровня защищенности, автоматизированных систем управления технологическими процессами, государственных информационных систем различных организаций, в том числе предприятий ракетно-космической отрасли.

Процесс управление инцидентами ИБ, согласно требованиям ГОСТ Р ИСО/МЭК 27001-2013, основывается на цикле Демминга (Plan-Do-Study-Act - PDSA) и включает следующие стадии: обнаружение и регистрация инцидента, реагирование на инцидент, расследование, корректирующие и превентивные мероприятия. С точки зрения функционирования системы защиты информации особый интерес представляют первые две стадии.

В первую очередь необходимо своевременно обнаружить инцидент, иначе невозможно отреагировать на него в кратчайшие сроки. В то же время по инцидентам, которые были обнаружены и зарегистрированы, часто отсутствуют четкие процедуры реагирования. Подобные ситуации требуют значительного вре-

мени для их разрешения. Именно способность системы защиты идентифицировать инцидент и сценарий реагирования определяют ее адаптивность к угрозам и качество функционирования в целом. Таким образом, при автоматизированном управлении инцидентами ИБ существует актуальная проблема - определить, какой сценарий реагирования из множества заранее определенных применить, либо сделать вывод, что подходящего сценария не существует и его необходимо сформировать [3].

Прецедентный анализ инцидентов информационной безопасности. Вывод на основе прецедентов (Case-Based Reasoning - CBR) является подходом, позволяющим решить новую, неизвестную задачу, используя или адаптируя решение уже известной задачи. Таким образом, реализуется многократное использование накопленного опыта. В системах, основанных на прецедентах, поиск решения проблемы базируется на понятии аналогии (поиск от частного к частному). Рассуждение на основе аналогий определяется как метод вывода, позволяющий обнаружить подобие между несколькими заданными объектами и благодаря переносу фактов (знаний), справедливых для одних объектов, на основе этого подобия на другие объекты определить способ решения задачи или предсказать неизвестные факты [4-8].

Метод правдоподобного рассуждения позволит решить проблему реагирования на инциденты ИБ путем применения системы прецедентного анализа в качестве интегрированного средства автоматизации процесса управления инцидентами. Данный подход позволит повысить эффективность поиска сценариев реагирования и более интеллектуально подходить к процессу управления ИБ в целом [9].

Применение прецедентного анализа для совершенствования процесса управления инцидентами ИБ заключается в следующем: имеется множество известных инцидентов К и множество стратегий реагирования R. База прецедентов G представляет собой отображение G: K ^ R , т. е. это информационная структура, состоящая из данных, описывающих инцидент и алгоритм его решения. При возникновении нового инцидента для него ищется прецедент, содержащий описание инцидента, достаточно близкого к текущему. Сценарий реагирования, включённый в найденный прецедент, используется или адаптируется для решения нового инцидента. Логическая структура цикла рассуждения на основе прецедентов (CBR-цикл) приведена на рис. 1. Предложенная концепция показала свою пригодность для решения задачи обнаружения и идентификации инцидентов ИБ [3; 9].

©Выбранные прецеденты

Сохранение в базу нового прецедента

Адаптация стратегии реагирования

Применение стратегии и проверка результата

Предполагаемая стратегия для данного инцидента

Рис. 1. Цикл рассуждения на основе прецедентов

Инциденты, не известные ранее и для которых нет определенной стратегии реагирования, будем называть аномальными инцидентами. Такие инциденты не имеют аналогов в рамках класса, к которому они отнесены средством защиты. Заключение об аномальности инцидента дает повод для его детального анализа.

Основная проблема математического обеспечения -проблема представления прецедента, заключающаяся в определении информации, которую необходимо включать в описание прецедентов, нахождении соответствующей структуры для описания содержания прецедента, а также определения, каким образом должна быть организована и индексирована база знаний прецедентов для эффективного поиска и многократного использования. Возможны различные подходы к представлению прецедентов: от записей в базах данных, древовидных структур, до предикатов и фреймов.

С точки зрения средств защиты информации инцидент ИБ представляет собой многомерный вектор, числовые параметры которого характеризуют состояние информационной системы, сетевого соединения или сервиса. Примерами параметров вектора могут служить время сетевого соединения, тип протокола, количество переданных/отправленных байтов в рамках TCP-соединения и т. д. Исходя из этого, наиболее эффективной структурой представления прецедентов для задачи обнаружения и анализа инцидентов ИБ будет являться параметрическое представление многомерным вектором:

CASE = (x1, x2, ..., xp, R),

где x1, ..., xp - параметры инцидента ИБ, описываемого данным прецедентом; R - одно или множество сценариев реагирования на соответствующий инцидент.

При параметрическом представлении извлечение прецедентов будет основываться на определении функции подобия (метрики) F, значение которой определяет сходство между инцидентом ИБ и прецеден-

том из базы. В пространстве признаков определяется точка, соответствующая целевой проблеме, и в рамках используемой метрики выбирается ближайший прецедент. Формально аналогия прецедента g = (2, ...,X ) и текущей ситуации к = (хк1,

Ч 2'

..., xkp) описывается функцией вида

SIM (g, k ) = F (sim(xg1, xk1),..., sim(xgp, xkp)),

где (х^, хы) - локальная схожесть значений /'-го

признака прецедента g и /-го признака текущей ситуации к. Функция Е выражает схожесть прецедента с текущей ситуацией.

Таким образом, прецедентный анализ сводится к задаче классификации инцидентов на нормальные и аномальные, исходя из количества найденных аналогий [9; 10]. Пусть О = ..., gn} - множество прецедентов; g/ = (х1, ..., хр, г/) - единичный прецедент; К = {к1, ..., кт} - множество зарегистрированных инцидентов; к^ = (х1, ..., хр) - единичный инцидент; Е, к}.) - функция подобия; О1 = : Е(gi, к) < < ё 1ш } - множество подобных прецедентов (ё11т - это

предельное значение расстояния, максимальное значение функции подобия прецедента и инцидента, при котором они считаются аналогичными). Каждый параметр х/ представляет собой некоторую характеристику, описывающую инцидент (длительность сетевого соединения, количество переданных байтов, идентификатор протокола), а г/ - соответствующий ему сценарий реагирования. Тогда условие отнесения инцидента к множеству прецедентов формулируется следующим образом:

к] е G о

G

^ Plim

с другой стороны, условие анормальности есть обратное неравенство

Z dj

k} e G »

G,

< Plim

di =

j=1

n -1

где р11т - это предельное значение количества аналогий найденных в классе прецедентов, при котором инцидент считается нормальным относительно этого класса.

Условие принадлежности инцидента к классу С (т. е. вывод о том, что инцидент является нормальным в рамках данного класса) определяется следующим образом: инцидент принадлежит классу С в том случае, когда существует подмножество С1, элементами которого являются прецеденты, достаточно похожие на инцидент, и количество таких прецедентов не меньше заданного числа.

Сформулированная задача классификации инцидентов ИБ определяет алгоритм прецедентного анализа как бинарный классификатор. Анализируемое множество в результате процесса классификации разделяется на два класса. Нормальными инцидентами считаются те, которые однозначно соотносятся с определенным в базе прецедентов классом. Для таких инцидентов возможно автоматическое применение сценария реагирования.

Эффективность алгоритма анализа напрямую зависит от выбора ключевых параметров и р1ип. Выбор параметров алгоритма весьма противоречив. С одной стороны, увеличение р1ип повышает точность классификации нормальных инцидентов, но при этом границы между классами становятся менее четкими. Уменьшение же параметра й?1ип также приводит к более точной классификации, но увеличивает вероятность ошибок второго рода [11; 12].

Статистический анализ прецедентов. Прецедентный анализ строится на предположении, что в рамках одного класса прецеденты находятся достаточно близко друг к другу. Так, для любых трех прецедентов произвольных классов g1, g2 е С1 и g3 е С2 должны выполняться неравенства Р g2) < < Р (й, gз) и Р (g2) < Р (g2, gз). Однако в ряде случаев данное условие нарушается. Для устранения этого недостатка правдоподобный вывод основывается не только на предельном показателе близости, но и на предельном количестве близких объектов.

Параметр й?1пп является ключевым при определении аномальности. Как показывают предварительные исследования, вариация данного параметра в небольшом диапазоне значительно влияет на качество модели классификации. Исходя из этого, необходимо выявить зависимости предельного расстояния от статистических характеристик класса с целью формализации процедуры расчета предельного расстояния.

Формализуем определение следующих параметров: среднее расстояние прецедента до класса и расстояние класса (классовое расстояние).

Средним расстоянием прецедента до класса будем считать

т. е. среднее от значений расстояний конкретного /-го прецедента до остальных экземпляров сопоставляемого класса. Отсюда классовое расстояние определится как

Z di

d =

" class _

т. е. среднее от расстояний всех прецедентов относительно сопоставляемого класса.

Таким образом, классовое расстояние примем за предельное значение функции аналогии. Для каждого класса прецедентов имеют место свои статистические оценки свойств класса, поэтому для каждого класса рассчитывается классовое расстояние и среднеквадратичное отклонение. При этом в грубом приближении предполагаем, что

F (tj , gi )- dclass + СТ^ eG .

Первичный статистический анализ класса заключается в расчете классового расстояния и среднеквадратичного отклонения. При этом проанализировано количество аномалий в классе, исходя из условия

F (tj, g' ) - dclass

+ e G . Результаты анализа при

расчете по метрике Евклида представлены на рис. 2.

По графическим результатам оценки расстояний прецедентов до класса видно, что расстояния основной массы экземпляров класса укладываются в диапазон верхней границы среднеквадратичного отклонения. В данном примере под аномалией понимается экземпляр класса, расстояние которого до собственного класса превышает dclass +ст.

Полученные показатели позволяют утверждать, что в рамках одного класса прецеденты являются аналогичными, кроме того, расстояния прецедентов до класса варьируются в некотором диапазоне. Идеальный случай - это случай, при котором среднее расстояние и среднеквадратичное отклонение стремятся к нулю. Результаты классификации будут более точные при условиях, для которых в рамках класса существует меньшее количество аномалий. При этом очевидно, Plim для данного класса будет находиться в обратной зависимости со значением аномалий в классе.

Фрагмент проведенной оценки зависимости количества аномалий в классе от выбранной функции подобия для набора данных KDD Cup'99 приведен в табл. 1.

Таким образом, для множества метрик рассчитываются статистические показатели классов. Для конкретного класса применяется та метрика, в рамках которой количество аномалий минимально [13].

Применение ROC-анализа для настройки прецедентного классификатора. При рассчитанном значении dlim и ст выбор предельного значения аналогий Plim прецедентного классификатора может основываться на применении ROC-анализа (Receiver Орегай^ Сharacteristic).

Распределение расстояний до класса

1,8

Номер прецедента

• Расстояние до класса -Линейная (Среднее)

--Линейная (Коридор отклонений)

Рис. 2. Расстояния прецедентов до класса

Зависимость количества аномалий от метрики

Таблица 1

Класс прецедентов (мощность класса, шт.) Количество аномалий, %

Функция Евклида Манхэттенская метрика

Back (715) 19,161 18,881

Ipsweep (630) 12,063 11,587

Portsweep (353) 16,716 12,181

Teardrop (687) 15,451 17,784

Smurf (615) 13,192 14,169

Warezclient (791) 20,859 20,353

ЯОС-анализ является аппаратом для оценки качества моделей классификации. Поскольку прецедентный классификатор является бинарным, то один из классов назовем классом с положительными исходами (аномальные инциденты), второй - с отрицательными исходами (нормальные инциденты) [14; 15].

Предполагается, что у классификатора имеется некоторый порог отсечения - параметр, варьируя который, получаем то или иное разбиение на два класса. В прецедентном анализе инцидентов порог отсечения представляется предельным значением аналогий р1ип и варьируется от 1 до мощности класса. В зависимости от его значения будут получаться различные величины ошибок I и II рода. Необходимо подобрать такое значение точки отсечения (пороговое значение), которое дает наибольшую точность классификации.

Для понимания сути ошибок I и II рода в рамках существующей задачи рассмотрим таблицу сопряженности (табл. 2), которая строится на основе результатов классификации моделью и фактической (объективной) принадлежности инцидентов к классам. При этом за нулевую гипотезу примем Н о : к, г С.

На основании полученных значений ТР и ТМ строится кривая по показателям чувствительности и специфичности, где чувствительность есть доля истинно положительных случаев:

ТР

Se = ■

■ 100 %,

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

ТР + БМ

а специфичность - доля истинно отрицательных случаев, которые были правильно идентифицированы моделью:

ТМ

Sp =

TN + FP

-■100 %.

Модель с высокой чувствительностью часто дает истинный результат при наличии положительного исхода (обнаруживает аномалии). Наоборот, модель с высокой специфичностью чаще дает истинный результат при наличии отрицательного исхода (верно классифицирует нормальные инциденты).

Для апробации предложенного подхода сформируем выборку (табл. з), содержащую паттерны из набора данных КЭБ Сир'99.

Таблица 2

Таблица сопряженности

Модель Фактически

Положительно (аномальный инцидент) Отрицательно (нормальный инцидент)

Положительно (аномальный инцидент) TP (true-positive, истинно положительные случаи) FP (false-positive, ложноположительные случаи) - ошибка II рода

Отрицательно (нормальный инцидент) FN (false-negative, ложноотрицательные примеры) - ошибка I рода TN (true-negative, истинно отрицательные случаи)

Таблица 3

Тестовое множество паттернов

Название выборки Состав Примечание

ds_1000inc 500 - «teardrop» 500 - «neptune» 1800 - «neptune» Содержит 1800 прецедентов «neptune». Инциденты представлены паттернами «teardrop» и «neptune». Все паттерны выбраны случайным образом

Всего 2800

Рис. 3. Точка баланса между Se и Sp

Для каждого значения р1ип, изменяемого с некоторым шагом, на тестовой выборке рассчитываются значения чувствительности и специфичности (рис. 3).

Для определения оптимального порога отсечения нужно задать критерий его определения. Критериями выбора порога отсечения могут выступать требования:

- минимальной величины чувствительности (специфичности) модели. Например, нужно обеспечить чувствительность классификатора не менее 80 %. В этом случае оптимальным порогом будет максимальная специфичность (чувствительность), которая достигается при 80 % (или значение, близкое к нему «справа» из-за дискретности ряда) чувствительности (специфичности);

- максимальной суммарной чувствительности и специфичности модели;

- баланса между чувствительностью и специфичностью.

Таким образом, по рассчитанным значениям чувствительности и специфичности для диапазона значений plim и фиксированном dlim находится то значение plim, для которого выполняется необходимый критерий выбора порога отсечения.

Проведем классификацию новой выборки (табл. 4), используя параметры алгоритма, полученные в результате ROC-анализа.

В качестве критерия выбора порога отсечения воспользуемся требованием баланса min|Se - Sp|, так

как в силу специфики решаемой задачи необходимо учитывать ошибки как 1-го, так и 2-го рода. Примем dlim = 0,7 и plim = 63. В табл. 5 представлены результаты решения задачи классификации.

Таблица 4

Тестовое множество паттернов

Название выборки Состав Примечание

ds_300inc 100 - «teardrop» 100 - «warezclient» 100 - «neptune» 1800 - «neptune» Выборка содержит 1800 прецедентов класса «neptune». Инциденты представлены 200 аномалиями классов «teardrop» и «warezclient» и 100 нормальными паттернами класса «neptune». Все паттерны выбраны случайным образом

Всего 2100

Таблица 5

Результаты классификации тестовой выборки

Модель Фактически

Аномальный Нормальный

Аномальный 95 % (191 шт.) 8 % (8 шт.)

Нормальный 5 % (9 шт.) 92 % (92 шт.)

Заключение. По результатам проведенных исследований можно сделать вывод, что применение прецедентного анализа позволяет усовершенствовать процесс управления инцидентами информационной безопасности при идентификации стратегии реагирования, сделать возможной процедуру автоматического выполнения стратегии реагирования для тех инцидентов, которые по результатам решения задачи классификации были отнесены к классу нормальных, и акцентировать внимание специалистов по защите информации на инцидентах, классифицированных как аномальные. Применение статистического и ROC-анализа позволяет установить оптимальные значения предельных параметров алгоритма прецедентного анализа. Зависимость порога отсечения от показателей Sp и Se предоставляет эксперту возможность принятия допустимой точности классификации с учетом критичности ошибок I и II рода.

Благодарности. Работа поддержана грантом президента молодым кандидатам наук, договор № 14.124.13.473-МК от 04.02.2013 г.

Acknowledgments. This work was supported by a grant from the President of the young PhD, contract № 14.124.13.473-MK on 04/02/2013.

Библиографические ссылки

1. ГОСТ Р ИСО/МЭК 20000-1:2005. Информационная технология. Управление услугами. Ч. 1. Спецификация.

2. ГОСТ Р ИСО/МЭК 20000-2:2005. Информационная технология. Управление услугами. Ч. 2. Практическое руководство.

3. Шаляпин А. А., Жуков В. Г. Алгоритм прецедентного анализа инцидентов информационной безопасности // Информационная безопасность - 2013 : материалы XIII Междунар. науч. конф. ЮФУ. Таганрог, 2013. Ч. 1. С. 96-104.

4. Варшавский П. Р., Еремеев А. П. Методы правдоподобных рассуждений на основе аналогий и прецедентов для интеллектуальных систем поддержки принятия решений // Новости искусственного интеллекта. 2006. Вып. 3. С. 39-62.

5. Концепция построения прецедентной экспертной системы / А. Ф. Берман [и др.] // материалы XII Междунар. науч. конф. по вычислительной механике и современным прикладным программным системам. Владимир, 2003. Ч. 2. С. 110-111.

6. Достоверный и правдоподобный вывод в интеллектуальных системах / В. Н. Вагин [и др.] ; под ред. В. Н. Вагина, Д. А. Поспелова. 2-е изд. М. : Физ-матлит, 2008. 704 с.

7. Варшавский П. Р., Еремеев А. П. Поиск решения на основе структурной аналогии для интеллектуальных систем поддержки принятия решений // Известия РАН. Теория и системы управления. 2005. Вып. 1. С. 97-109.

8. Яхтеева Г. Э., Ясинская О. В. Применение методологии прецедентных моделей в системе риск-менеджмента, направленного на раннюю диагностику компьютерного нападения // Вестник НГУ. Сер. «Информационные технологии». 2012. Вып. 2. С. 106-115.

9. Шаляпин А. А. Применение прецедентного анализа в задаче классификации инцидентов информационной безопасности // Актуальные проблемы авиации и космонавтики : тезисы VIII Всерос. науч.-практ. конф. / Сиб. гос. аэрокосмич. ун-т. Красноярск, 2012. Т. 2. С. 381-382.

10. Шаляпин А. А., Жуков В. Г. О прецедентном анализе инцидентов информационной безопасности // Решетневские чтения : материалы XVI Междунар. науч. конф. / Сиб. гос. аэрокосмич. ун-т. Красноярск, 2012. Ч. 2. С. 213-214.

11. Шаляпин А. А. О настройке параметров алгоритма прецедентного анализа инцидентов информационной безопасности // Решетневские чтения : материалы XVII Междунар. науч. конф. / Сиб. гос. аэро-космич. ун-т. Красноярск, 2013. Ч. 2. С. 166-168.

12. Шаляпин А. А., Жуков В. Г. Прецедентный анализ инцидентов информационной безопасности // Вестник СибГАУ. 2013. № 2 (48). С. 19-24.

13. Соколов М. М. Исследование влияния функций нахождения расстояния на эффективность работы системы прецедентного обнаружения и анализа инцидентов информационной безопасности // Решетнев-ские чтения : материалы XVII Междунар. науч. конф. /

Сиб. гос. аэрокосмич. ун-т. Красноярск, 2013. Ч. 2. С. 317-319.

14. Файнзильберг Л. С., Жук Т. Н. Гарантированная оценка эффективности диагностических тестов на основе усиленного ROC-анализа // Управляющие системы и машины. 2009. Вып. 5. С. 3.

15. Богомолов А. В., Кукушкин Ю. А. Математическое обеспечение метаанализа результатов независимых экспериментальных медико-биологических исследований // Информатика и системы управления. 2011. Вып. 4. С. 65-74.

Reference

1. GOST R ISO/MEK 20000-1:2005. Informatsion-naya tehnologiya. Upravlenie uslugami. Ch. 1. "Spetsifi-katsiya". [State Standard R ISO/MEK 20000-1:2005. Information technology - Service management. Part 1: Specification]. Moscow, Standartinform Publ., 2007, 33 p.

2. GOST R ISO/MEK 20000-2:2005. Informatsion-naya tehnologiya. Upravlenie uslugami. Ch. 2. "Prac-ticheskoe rukovodstvo". [State Standard R ISO/MEK 20000-1:2005. Information technology. Service management. Part 2: Code of practice]. Moscow, Standartinform Publ., 2007, 55 p.

3. Shalyapin A. A., Zhukov V. G. [Algorithm of case-based analysis of information security incidents] Materialu XIII mezhdunarod. nauch. konf. "Informat-sionnaya bezopasnost-2013" [Proceedings of XIII International. Scientific. Conf. "Information Security-2013"]. Taganrog, 2013, Part 1, Р. 96-104 (In Russ.).

4. Varshavskiy P. R., Eremeev A. P. [Methods of plausible reasoning, based on analogies and precedents for intelligent decision support systems]. Novosti iskusst-vennogo intellekta. 2006, Vol. 2, P. 39-62 (In Russ.).

5. Berman A. F., Nikolaichuk O. A., Pavlov A. I., Yurin A. U. [The concept of building a case-expert system] Materialy XII mezhdunarod. nauch. konf. po vyichis-litelnoy mehanike i sovremennyim prikladnym pro-grammnym sistemam [Proceedings of XII International. Scientific. Conf. "Computational Mechanics and Advanced Applied"]. Vladimir, 2003, Part 2, P. 110-111 (In Russ.).

6. Vagin V. N, Golovina E. U., Zagoryanskay A. A., Fomina М. V. Dostovernyiy i pravdopodobnyi vyvodi v intellektualnykh sistemakh. [Credible and plausible conclusion in intelligent systems]. Moscow, Fizmatlit Publ., 2008, 704 p.

7. Varshavskiy P. R., Eremeev A. P. [Search for solutions on the basis of structural analogy for intelligent decision support systems]. Izvestiya RAN. Teoriya I sistemi upravleniya. 2005, Vol. 1, P. 97-109 (In Russ.).

8. Yahteeva V. G., Yasinskaya O. V. [Application of the methodology of precedent models in the risk management system aimed at early detection of computer attacks]. Vestnik NGU. Informatsionnie tehnologii. 2012, Vol. 2, Р. 106-115 (In Russ.).

9. Shalyapin A. A. [Application of case analysis for the problem of classification of information security incidents] Materiali VIII vserossiyskoi nauch-prak. konf. "Aktualnyieproblemy aviatsii i kosmonavtiki". [Proceedings of VIII All-Russian. Scientific. Conf. "Actual problems of aviation and astronautics"]. Krasnoyarsk, 2012, Part 2, Р. 381-382 (In Russ.).

10. Shalyapin A. A., Zhukov V. G. [Case based analysis of information security incidents. Materialy XII mezhdunarod. nauch. konf. "Reshetnevskie chtenia" [Proceedings of XVI International. Scientific. Conf. "Re-shetnev reading"]. Krasnoyarsk, 2012, Part 2, Р. 213-214 (In Russ.).

11. Shalyapin A. A. [About setup algorithm analysis of law case incident information security]. Materialy XVII mezhdunarod. nauch. konf. "Reshetnevskie chtenia" [Proceedings of XVII International. Scientific. Conf. "Re-shetnev reading"]. Krasnoyarsk, 2013, Part 2, Р. 166-168 (In Russ.).

12. Shalyapin A. A., Zhukov V. G. [Case based analysis of information security incidents]. Vestnik SibGAU. 2013, No. 2(48), P. 19-24 (In Russ.).

13. Sokolov M. M. [Investigation of the influence functions for finding the distance to the effectiveness of the system of case detection and analysis of information security incidents]. Materialy XVII mezhdunarod. nauch. konf. "Reshetnevskie chtenia" [Proceedings of XVII International. Scientific. Conf. "Reshetnev reading"]. Krasnoyarsk, 2013, Part 2, Р. 317-319 (In Russ.).

14. Faizilberg L. S., Zhuk T. N. [Guaranteed performance evaluation of diagnostic tests based on enhanced ROC-analysis]. Upravlyayushie sistemi i mashini. 2009, Vol. 5, P. 3-11 (In Russ.).

15. Bogomolov A. V., Kukushkin U. A. [Mathematical software meta-analysis of the results of independent experimental biomedical research]. Informatika I sistemi upravleniya. 2011, Vol. 4, P. 65-74 (In Russ.).

© Жуков В. Г., Шаляпин А. А., Соколов М. М., 2015

i Надоели баннеры? Вы всегда можете отключить рекламу.