CC BY
30Решетнеескцие чтения. 2015
3. Wason R., Ahmed P., Rafiq M. Q. Automata-Based Software Reliability Model: The Key to Reliable Software // International J. of Software Engineering and Its Applications. 2013. Vol. 7, no. 6, pp. 111-126.
4. Li Q., Li H. A Software Reliability Evaluation Method // International Conference on Computer and Software Modeling, Proc., IACSIT Press. 2011. Vol. 14.
5. Zhang P., Muccini H., Li B. A Classification and Comparison of Model Checking Software Architecture Techniques // J. of Systems and Software. 2010. Vol. 83, no. 5, pp. 723-744.
© Тестов О. В., Золотарев В. В., 2015
УДК 004.056
МОДЕЛЬНО-АЛГОРИТМИЧЕСКОЕ ОБЕСПЕЧЕНИЕ СИСТЕМЫ ПРЕЦЕДЕНТНОГО АНАЛИЗА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
А. А. Шаляпин
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Е-mail: shaaa.sibsau@mail.ru
Рассматривается применение прецедентного анализа в задаче классификации инцидентов информационной безопасности. Приводится описание модели и алгоритма системы прецедентного анализа.
Ключевые слова: прецедент, инцидент, предельное расстояние, предельное значение аналогий.
MODEL-ALGORITHMIC SUPPORT OF PRECEDENT ANALYSIS OF INFORMATION
SECURITY INCIDENTS
A. A. Shalyapin
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation Е-mail: shaaa.sibsau@mail.ru
The paper deals with case-based analysis in the task of classification of information security incidents. The description of the model and algorithm of case are analysed.
Keywords: case, incident, limiting distance, limit analogies.
Цель процесса управления инцидентами информа- инцидента представляет собой параметрический век-ционной безопасности - применение стратегий реаги- тор, значения параметров которого определяют со-рования для каждого инцидента. Существуют про- стояние информационной системы и однозначно
блемы: идентифицируют инцидент [2].
- не всегда классификация инцидентов средства- Области значений параметра могут совпадать ми защиты производится корректно; в рамках нескольких классов. Для корректного выво-
- не существует единой стратегии реагирования да необходимо ввести процедуру анализа, основан-для инцидентов определенного класса в силу того, что ную не на единичном вычислении меры близости, а каждый инцидент в той или иной мере индивидуален; способную устранять случайные совпадение парамет-
- имеют место не известные ранее инциденты, ров прецедента и учитывать статистические характе-для которых отсутствуют подходящие стратегии реа- ристики класса прецедентов [2]:
гирования.
Применение прецедентного анализа в управлении kj е G 0 lGi I - pHm,
инцидентами позволяет решить задачу оперативного G1 = {gt : F(gt, k ) < dlim}, (1)
реагирования. Повышение эффективности управления
инцидентами достигается, с одной стороны, путем где dlim - максимальное значение функции подобия автоматизации выбора стратегий для инцидентов,
а с другой - за счет обнаружения аномальных инци- прецедентов F(g, kj), при котором g и kj счита-
дентов до попыток их разрешения. ются аналогичными; рЦш - минимальное количество
Прецедентный анализа основан на функции подо- подобных прецедентов в классе, при котором инци-бия (метр™), значение шторм отределяет сходство дент считается нормальным относительно этого прецедента и инцидента [1]. Математическая модель класса.
Методы и средства защиты информации
Сформулированная задача классификации инцидентов определяет алгоритм прецедентного анализа как бинарный классификатор. Анализируемое множество в результате разделяется на два класса. Нормальными инцидентами считаются те, которые однозначно соотносятся с определенным в базе прецедентов классом. Для таких инцидентов возможно автоматическое применение сценария реагирования.
Параметры алгоритма варьируются в ходе функционирования системы, за счет чего, совместно с пополнением базы прецедентов, реализуется обучение системы. При настройке данных параметров алгоритма целесообразно применение ROC-кривой для представления и оценки результатов классификации инцидентов [3]. На рис. 1 приведена схема алгоритма, включающая процедуру настройки.
Реализация системы прецедентного анализа имеет модульную структуру и включает следующие компоненты (рис. 2):
1) база инцидентов, содержащая инциденты, ожидающие дальнейшей обработки;
2) модуль нормализации данных, преобразовывающий базу зарегистрированных инцидентов в соответствии со структурой базы прецедентов;
3) модуль извлечения, реализующий функцию расчета меры сходства инцидентов и прецедентов;
4) модуль принятия решений - определяет результат классификации и ставит «нормальный» инцидент в соответствие одному или нескольким прецедентам;
5) консоль оператора - предназначена для возможности корректировать процесс анализа и адаптации выработанной стратегии под ранее неизвестные условия.
(Началр
I
Регистрация инцидентов ИБ
Предварительная обработка, нормализация
I -
Расчет расстояний
_Ш_
Определение кол-ва аналогий
/ Обучающа У / я выборка /
Расчет классового расстояния >!Пр
I
Выбор наилучшей метрики
Plim = 1
Plim,
Min|Se-Sp|
Расчет расстояний
_Е£Ш_
Детальное изучения
1
Выработка нового сценария
Идентификация сценария
Определение кол-ва аналогий
I ~
Сохранение прецедента
Расчет Se и SP
I ~
Plim
J
(Конец)
Рис. 1. Алгоритм прецедентного анализа
IPD/IDS
DLP
Managment
ЭР!
Antivirus
Средства защиты информации
Отношение
База «подобия База «-
инцидентов прецедентов
Управляющее
воздействие
Модуль нормализации
Модуль извлечения
Анализируем ая выборка
Модуль принятия решения
Управляющее воздействие
Информационная система
Консоль оператора
ч
Сценарий реагирования
Рис. 2. Архитектура системы прецедентного анализа
Решетнееские чтения. 2015
Применение концепции прецедентного анализа в качестве инструмента, совершенствующего процесс управления инцидентами, позволит повысить оперативность реагирования путем многократного применения накопленного опыт. Кроме того, данный подход позволяет решить задачу обнаружения аномальных инцидентов, являющихся наиболее критичными и требующих детального изучения.
Библиографические ссылки
1. Aamodt A., Plaza E. Case-Based reasoning: Foundational issues, methodological variations, and system approaches // AI Communications. 1994. Vol. 7, no. 1. Pp. 39-59.
2. Шаляпин А. А., Жуков В. Г. Прецедентный анализ инцидентов информационной безопасности // Вестник СибГАУ. 2013. № 2(48). С. 19-24.
3. Шаляпин А. А. О настройке параметров алгоритма прецедентного анализа инцидентов информационной безопасности // Решетневские чтения : мате-
риалы XVII Междунар. науч. конф. / СибГАУ. Красноярск, 2013. Ч. 2. С. 166-168.
References
1. Aamodt A., Plaza E. Case-Based reasoning: Foundational issues, methodological variations, and system approaches // AI Communications. 1994. Vol. 7, no. 1, pp. 39-59.
2. Shalyapin A. A., Zhukov V. G. [Case based analysis of information security incidents] // Vestnik SibGAU. 2013. Vol. 2, no. 48, рp. 19-24 (In Russ.).
3. Shalyapin A. A. [About setup algorithm analysis of law case incident information security] // Materialu XVII mezhdunarod. nauch. konf. "Reshetnevskie chtenia" [Proceedings of XVII International. Scientific. Conf. "Reshetnev reading"]. Krasnoyarsk, 2013, Part 2, pp. 166-168 (In Russ.).
© Шаляпин А. А., 2015
