CC BY
50
Актуальные проблемы авиации и космонавтики. Информационные технологии
1. Ручной мониторинг поисковых систем по основным ключам (трудоемкий, трудозатратный и не всегда удобный процесс)
2. Яндекс.Блоги (blogs.yandex.ru), Google Оповещения (google.ru/alerts): удобные и доступные системы отслеживания упоминаний об объекте в поисковых системах. Найденная информация поступает на электронную почту подписчика.
3. Специально разработанные программы, осуществляющие поиск по сайтам в интернете, среди которых, «Крибрум» (kribrum.ru), YouScan (youscan.ru), NetMind.Social Media (netmind.ru), IQBuzz (iqmen.ru), Wobot (wobot.ru), Babkee (babkee.ru) и др.
Для современной крупной компании сохранение положительного образа и заработанного имиджа крайне важно, как было показано выше, негативная информация, распространяемая через Интернет, мо-
жет нанести существенный ущерб репутации компании, а в некоторых случаях даже поставить ее существование под угрозу.
Для управления репутацией службы безопасности должны анализировать информацию для выявления случаев мошенничества, «черного РЯ», а также случаев злоупотребления служебным положением. Своевременный автоматизированный мониторинг информации позволяет оперативно обнаруживать источники распространения информации и, при необходимости, ее блокировать. Также с помощью мониторинга, происходит отслеживание неправомерного распространения корпоративной информации, а также быстрое обнаружение фактов ненадлежащего поведения сотрудников в Интернете.
© Силина И. С., 2013
УДК 004.056
М. М. Соколов Научный руководитель - В. Г. Жуков Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
ИССЛЕДОВАНИЕ ВЛИЯНИЯ ФУНКЦИИ РАССТОЯНИЯ НА ЭФФЕКТИВНОСТЬ РАБОТЫ СИСТЕМЫ ПРЕЦЕДЕНТНОГО ОБНАРУЖЕНИЯ И АНАЛИЗА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Рассматривается влияние функций расстояния на эффективность работы системы прецедентного обнаружения и анализа инцидентов информационной безопасности.
Задача обнаружения инцидентов [1] является задачей классификации - разбиения множества инцидентов на априорно заданные группы, внутри каждой из которых инциденты имеют примерно одинаковые свойства и признаки. Решение данной задачи возможно с помощью прецедентного анализа. В основе метода лежит оценка расстояния между всеми наблюдениями в и-мерном пространстве признаков. Для повышения эффективности алгоритма прецедентного анализа необходимо оценить влияние различных метрик определения расстояний между объектами на его работу.
В целом некоторые инциденты информационной безопасности могут характеризоваться одинаковым набором параметров, но для каждого инцидента он может быть уникален. Инциденты можно классифицировать по своей природе: несанкционированный доступ к информации, атака по сети передачи данных, физический доступ к носителям информации, нарушение целостности информации и т. д. Инциденты, находящиеся в одном классе, имеют определенные интервалы значений параметров. С помощью данных интервалов определяется, к какому классу принадлежит инцидент. Также не исключается вероятность появления аномального инцидента, значения параметров которого лежат в интервалах данного класса.
Для снижения вероятности возможной ошибки в расчетах, метод прецедентного анализа должен состоять в общем случае из двух этапов:
1) определение принадлежности инцидента к классу. С помощью метрики без весовых коэффициентов, рассчитывается расстояние до всех классов инцидентов, и выбирается наиболее близкий.
2) определение наиболее близких прецедентов. С помощью метрики с весовыми коэффициентами, определяется набор похожих прецедентов. Так как класс инцидента известен, использование метрики с весовыми коэффициентами позволяет более точно определить круг близких прецедентов, так можно увеличить или уменьшить значимость конкретных параметров инцидента.
Большое количество функций нахождения расстояния, не позволяет с уверенностью утверждать, что одна конкретная метрика является наилучшей для прецедентного анализа. Так же нельзя утверждать, что классы инцидентов информационной безопасности не могут иметь схожие интервалы параметров инцидента.
Выбор метрики, основывается на результатах статистического анализа. Исходными данными для анализа выступает «КЭБ Dataset», содержащая в себе описание инцидентов информационной безопасности. Схема эксперимента представлена на рисунке. Так как нельзя утверждать, что в базе, содержатся минимальные и максимальные значения всех параметров прецедента, во избежание ошибок используется метод минимаксной нормализации. Для каждого инцидента, рассчитывается расстояние до остальных инцидентов в классе.
Секция «Методы и средства зашиты информации»
Схема эксперимента
Результаты исследования влияния функции расстояния на эффективность работы прецедентного анализа
Класс атаки (количество прецедентов в классе) Количество аномалий, %
Функция Евклида Функция Миньковского Функция Хеминга
back; (715) 28,81 34,83 35,10
buffer_overflow, (30) 10,00 20,00 10,00
guess_passwd; (53) 7,55 5,66 5,66
imap; (12) 8,33 8,33 8,33
ipsweep; (630) 11,59 12,06 12,06
land; (13) 23,08 30,77 30,77
nmap; (156) 21,79 22,44 21,79
pod; (170) 27,65 8,82 17,65
portsweep; (353) 30,03 32,58 28,61
rootkit; (10) 30,00 30,00 30,00
satan; (326) 11,35 29,45 15,03
smurf; (614) 14,17 15,64 13,19
teardrop; (685) 34,16 16,20 25,26
warezclient; (791) 20,35 19,34 20,86
warezmaster; (20) 10,00 20,00 10,00
Посчитав все расстояния для каждого инцидента в классе, рассчитывается среднее расстояние по классу. На основе среднего расстояния высчитывается стандартное отклонение, которое используется при построении верхней и нижней границ расстояния по классу. Далее определяется количество инцидентов входящих в данный интервал - прецедентов. На основе этих данных составляется статистика для каждой метрики, по количеству прецедентов в классе, и количеству инцидентов, не попавших в класс - аномалий. Фрагмент результатов исследования приведены в таблице.
Таким образом, статистический анализ данных об инцидентах информационной безопасности позволит решить проблему выбора метрики для алгоритма прецедентного анализа. Очевидно, более подходящей метрикой считать ту, для которой процентное соот-
ношение аномальных прецедентов в классе минимально по отношению к другим метрикам. Так, выбранная метрика может являться динамическим параметром алгоритма, меняющимся в зависимости от анализируемого класса.
Библиографические ссылки
1. Вагин В. Н., Головина Е. Ю., Загорянская А. А., Фомина М. В. Достоверный и правдоподобный вывод в интеллектуальных системах. 2-е изд. // под ред. В. Н. Вагина, Д.А. Поспелова. М. : Физматлит, 2008.
2. Жуков В. Г., Шаляпин А. А. О прецедентном анализе инцидентов информационной безопасности // Ре-шетневские чтения : материалы XVI Междунар. науч. конф. Ч. 2; СибГАУ. Красноярск, 2012. С. 657-658.
© Соколов М. М., 2013
