CC BY
3УДК 004 Никонов В.В., Факалы К.К., Стаценко В.Е., Никитаев В.М.
Никонов В.В.
МИРЭА — Российский технологический университет (г. Москва, Россия)
Факалы К.К.
МИРЭА — Российский технологический университет (г. Москва, Россия)
Стаценко В.Е.
МИРЭА — Российский технологический университет (г. Москва, Россия)
Никитаев В.М.
МИРЭА — Российский технологический университет (г. Москва, Россия)
МНОГОАГЕНТНЫЕ СИСТЕМЫ, АЛГОРИТМ ОБНАРУЖЕНИЯ НАПРАВЛЕННЫХ АТАК
Аннотация: в данной статье рассматриваются многоагентные системы для решения задачи обнаружения направленных атак. Представлены основные принципы работы многоагентных систем и их преимущества. Предлагается алгоритм создания многоагентной системы обнаружения направленных атак. Делается вывод об эффективности многоагентного подхода для решения задач обнаружения направленных атак.
Ключевые слова: многоагентные системы, направленные атаки, обнаружение атак.
Компьютерное пиратство и незаконная эксплуатация программ приносит большой вред экономике, больше всего ее высокотехнологичному аспекту.
Поэтому безопасность и защита программного обеспечения от неавторизованного использования, незаконного вторжения, копирования идей и алгоритмов продукта и программного обеспечения, незаконного распространения программного обеспечения является одной из самых важных проблем нынешних и современных информационно-вычислительных систем.
Тема многоагентных интеллектуальных систем актуальна, поскольку данные системы представляют собой новый подход к решению описанных проблем. Использование многоагентных систем имеет свои преимущества по сравнению с другими подходами в решении сложных задач. Вот несколько причин, почему многоагентные системы могут быть лучшим выбором:
1. Распределенность: Многоагентные системы состоят из набора агентов, каждый из которых имеет свое собственное знание и способности для решения задач, это позволяет более эффективно использовать ресурсы и параллельно решать задачи.
2. Автономность: Каждый агент в многоагентной системе действует автономно и принимает решения на основе своего собственного опыта, знаний и целей. Это позволяет системе быть адаптивной и гибкой.
3. Расширяемость: Многоагентные системы легко масштабируются путем добавления или удаления агентов.
4. Способность к кооперации и взаимодействию: Агенты в многоагентной системе могут взаимодействовать и сотрудничать между собой для достижения общих целей. Это открывает возможности для совместного решения сложных задач или координации действий в динамической среде.
5. Устойчивость к отказам: Благодаря распределенности и автономности агентов, многоагентные системы обладают высокой устойчивостью к отказам. Если один агент выходит из строя, другие агенты могут продолжать работу, даже взять на себя часть выполняемых функций неисправного агента, что позволяет системе сохранять функциональность и производительность.
Конечно, есть и некоторые ограничения или недостатки использования многоагентных систем, например, сложность координации между агентами или
проблемы взаимодействия. Однако, с учетом их преимуществ и возможности эффективного решения сложных задач, многоагентные системы часто являются более предпочтительным выбором.
В данной статье кратко представлены принципы направленных атак, так как при разработке любых СЗИ (средств защиты информации) необходимо изучить спектр атак, против которых система должна работать. Также рассмотрены принципы работы многоагентных систем обнаружения атак и предложен алгоритм для решения задач обнаружения направленных атак.
ПРИНЦИПЫ НАПРАВЛЕННЫХ АТАК.
Направленные атаки - это атаки, специально направлены на конкретную организацию, человека или систему с целью получения конфиденциальной информации, нанесения ущерба или выполнения других злонамеренных действий. Принципы направленных атак включают следующее:
1. Разведка: злоумышленники могут проводить разведку, собирая информацию о цели атаки.
2. Фишинг: атаки фишингом используются для обмана пользователей и получения доступа к их учетным данным и конфиденциальной информации.
3. Внедрение: злоумышленники могут использовать уязвимости в сетевой инфраструктуре для внедрения в систему цели.
4. Установка задней двери: злоумышленники могут устанавливать вредоносное программное обеспечение на целевых системах, чтобы иметь постоянный доступ к информации и контролировать систему.
5. Эксплуатация: после внедрения злоумышленники могут эксплуатировать уязвимости системы для выполнения различных действий, таких как кража данных, уничтожение информации или нанесение ущерба.
ПРИНЦИПЫ РАБОТЫ МНОГОАГЕНТНЫХ СИСТЕМ ОБНАРУЖЕНИЯ НАПРАВЛЕННЫХ АТАК.
Многоагентные системы (MAС) представляют собой комплексное программное обеспечение, состоящее из множества агентов, которые взаимодействуют друг с другом для выполнения определенных задач. В
последние годы ЫЛС широко применяются для обнаружения направленных атак в компьютерных сетях.
МАС обладают рядом преимуществ, делающих их эффективным инструментом для обнаружения направленных атак. Во-первых, ЫЛС способны анализировать большие объемы данных, что позволяет выявлять скрытые угрозы и необычное поведение в сети. Кроме того, благодаря распределенной архитектуре ЫЛС могут быстро реагировать на изменения в сети и адаптироваться к новым видам атак.
МАС для обнаружения направленных атак работают на основе коллективного интеллекта, где каждый агент выполняет определенные функции по анализу данных и выявлению потенциальных угроз. Агенты могут обмениваться информацией и координировать свои действия для выявления сложных и хитрых атак, которые могли бы остаться незамеченными при использовании традиционных методов обнаружения.
МАС для обнаружения направленных атак применяются в различных областях, включая банковское дело, финансы, телекоммуникации и государственные учреждения. Например, в банковской сфере ЫЛС используются для выявления мошеннических операций и защиты финансовых данных клиентов. В телекоммуникационной отрасли ЫЛС помогают обнаруживатьoS-атаки и другие виды кибератак.
РАЗРАБОТКА АЛГОРИТМА ИНТЕЛЕКТУАЛЬНОЙ
МНОГОАГЕНТНОЙ СИСТЕМЫ ОБНАРУЖЕНИЯ АТАК.
Разработка многоагентной интеллектуальной системы обнаружения атак является актуальной и интересной задачей в области информационной безопасности. Такая система может значительно повысить эффективность обнаружения атак и защиты компьютерных сетей.
Многоагентные системы, основанные на искусственном интеллекте, представляют собой сеть взаимодействующих агентов, каждый из которых обладает своей специализацией и выполняет определенные задачи. В контексте обнаружения атак, каждый агент может отслеживать определенный тип
активности или поведения в компьютерной сети, и при обнаружении подозрительной активности сигнализировать о возможной атаке.
Разработка многоагентной интеллектуальной системы обнаружения атак требует систематического и структурированного подхода.
Идея разработки многоагентной интеллектуальной системы, состоящей из агентов, разработанных по паттерну SIEM (Security Information and Event Management) и SOAR (Security Orchestration, Automation, and Response), заключается в создании высокоэффективной системы для обнаружения, анализа и реагирования на угрозы информационной безопасности.
SIEM агенты будут отвечать за сбор, анализ и управление информацией о безопасности, включая события, журналы и уведомления о потенциальных угрозах. Они будут использовать машинное обучение и аналитику для выявления аномалий и распознавания шаблонов поведения злоумышленников.
SOAR агенты будут отвечать за автоматизацию процессов реагирования на угрозы, включая запуск сценариев, управление инцидентами и координацию действий между различными системами безопасности. Они будут использовать интеграцию с другими системами и API для выполнения задач по автоматизации безопасности.
Многоагентная система будет обладать высокой степенью гибкости и масштабируемости, позволяя добавлять новых агентов и интегрировать их с существующими системами безопасности. Она также будет обеспечивать высокую степень надежности и отказоустойчивости, что позволит эффективно защищать информацию от различных угроз.
Такая система будет иметь широкий спектр применения, включая защиту корпоративных сетей, облачных сервисов, критической инфраструктуры и других объектов информационной инфраструктуры. Она также будет способствовать повышению эффективности и оперативности реагирования на угрозы, что позволит минимизировать потенциальные убытки от кибератак.
Ниже представлен план разработки многоагентной интелектуальной системы обнаружения атак:
1. Анализ требований:
- Необходимо изучить типы атак, против которых система должна работать.
- Определить основные требования к системе.
- Установить цели и ожидаемый результат.
- Определить технические и функциональные требования к системе.
2. Подготовка данных:
- Необходимо подготовить данные для обучения и тестирования системы.
- Разделить данные на обучающую, валидационную и тестовую выборки.
3. Выбор архитектуры системы:
- Необходимо изучит различные архитектуры для МАСОА.
- Выбрать подходящую архитектуру, учитывая требования проекта
- Определить количество и типы агентов.
4. Разработка и обучение агентов:
- Разработка и реализация каждого агента, согласно выбранной архитектуре.
- Определить признаки и алгоритмы обучения для каждого агента.
- Обучить агентов, используя подготовленные данные и выбранные методы машинного обучения.
5. Интеграция и тестирование:
- Интеграция агентов в единую систему.
- Проведение тестирования с реальными или синтетическими данными.
- Оценка производительности системы.
6. Оптимизация и улучшение:
- Анализ результатов тестирования и проведение оптимизации.
- Использование методов оптимизации.
7. Документирование и внедрение:
- Создать документацию, описывающую систему, архитектуру и алгоритмы.
- Подготовить инструкции по внедрению системы.
- Осуществить внедрение системы в реальную среду.
На рисунке 1 приведен алгоритм работы одного из интеллектуальных агентов, разрабатываемой многоагентной интеллектуальной системы.
Рис.1 Алгоритм работы интеллектуального агента обнаружения атак.
Данный алгоритм может быть адаптирован для разработки различных средств защиты информации(СЗИ). Отдельные агенты системы будут ответственны за различные методы обнаружения, что делает систему гибкой и эффективной.
ЗАКЛЮЧЕНИЕ.
Таким образом многоагентные интеллектуальные системы обнаружения атак (МИСОА) представляют собой инновационный подход к обеспечению безопасности информационных систем. Они используют несколько агентов, работающих в сети, для обнаружения и предотвращения различных видов кибератак.
Плюсами МИСОА являются:
1. Распределенность.
2. Автономность.
3. Способность к обучению.
4.Улучшение точности.
5. Масштабируемость.
Плюсы многоагентных интеллектуальных систем, делают их привлекательным выбором для защиты от кибератак.
СПИСОК ЛИТЕРАТУРЫ:
1. Девянин П.Н., Михальский А.В., Правиков Д.И. Технологии создания многоагентных систем // М.: Горячая линия-Телеком, 2008. - 559 с;
2. Ричард Бейтлих "Обнаружение вторжений: введение в интернет-наблюдение, корреляцию, ловушки и реагирование", - 2013. - 336 с;
3. Рафик Ур Рехман и Syngress "Обнаружение вторжений с помощью SNORT: продвинутые методы идентификации с использованием SNORT, Apache, MySQL, PHP и ACID", - 2018. - 745 с;
4. Карл Эндорф "Системы обнаружения вторжений", - 2018. - 416 с;
5. Карлос Морено-Гарсия, Ричард Ньюман и Уильям Столлингс "Обнаружение и предотвращение вторжений", - 2014. - 448 с;
6. Эндрю Бейкер, Брайан Касвелла и Джей Бил. "Snort IDS and IPS Toolkit", -2007. - 492 с;
7. Верн Паксон и Робин Соммера "Руководство пользователя Bro IDS", -2013. - 456 с.
Nikonov V. V., Fakaly K.K., Statsenko V.E., Nikitaev V.M.
Nikonov V.V.
MIREA — Russian University of Technology (Moscow, Russia)
Fakaly K.K.
MIREA — Russian University of Technology (Moscow, Russia)
Statsenko V.E.
MIREA — Russian University of Technology (Moscow, Russia)
Nikitaev V.M.
MIREA — Russian University of Technology (Moscow, Russia)
MULTI-AGENT SYSTEMS, ALGORITHM FOR DETECTING TARGETED ATTACKS
Abstract: this article discusses multi-agent systems for solving the problem of detecting directed attacks. The basic principles of operation of multi-agent systems and their advantages are presented. An algorithm for creating a multi-agent system for detecting directed attacks is proposed. The conclusion is made about the effectiveness of the multi-agent approach for solving the problems of detecting directed attacks.
Keywords: multi-agent systems, directed attacks, attack detection.
