Bryukhomitsky Yuri Anatol’evich - Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: [email protected]; 2, Chekhova street, Taganrog, 347928, Russia; рhone: +78634371905; the department of security in data processing technologies; associate professor.
УДК 004.056.5 004.89
В.С. Аткина
МОНИТОРИНГ СОСТОЯНИЙ КАТАСТРОФОУСТОЙЧИВОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ С ПОМОЩЬЮ ГИБРИДНОЙ ИММУННОЙ СЕТИ
Цель исследования: разработка методики классификации состояний катастрофоустойчивой системы с использованием гибридной иммунной сети. В рамках данного исследования решены следующие задачи: обоснована значимость обеспечения катастрофо-устойчивости информационной системы в процессе управления информационной безопасностью организации в целом; предложен подход к процессу проведения мониторинга и контроля за показателями катастрофоустойчивости системы. Разработана и формально описана гибридная иммунная сеть, с применением алгоритмов клонального и «положительного» отбора и областью покрытия, образованной двумя типами детекторов. Сделан вывод о возможности применения разработанного подхода в процессе анализа катастро-фоустойчивости информационных систем.
Катастрофоустойчивость; информационные системы; искусственная иммунная сеть; клональный отбор; «положительный» отбор; мониторинг; информационная безопасность.
V.S. Atkina MONITORING THE STATES OF INFORMATION SYSTEM DISASTER RECOVERY WITH A HYBRID IMMUNE NETWORK
The purpose of the study is development of technique classification states of disaster recovery systems using a hybrid immune network. This study addressed the following objectives: to substantiate the importance of ensuring disaster recovery information system in the management of information security in general, the approach to the process of monitoring and performance monitoring disaster recovery system. The hybrid immune network is developed and formally described, using algorithms clonal and "positive" selection and coverage area formed by the two types of detectors. The conclusion about possibility of using the developed approach in the analysis of information systems disaster recovery.
Disaster recovery; information system; artificial immune network; positive selection algorithm; clonal algorithm; monitoring; information security.
На сегодняшний день все более необходимым и актуальным для успешного функционирования любой организации вне зависимости от принадлежности ее к государственному или частному сектору экономики является обеспечение непрерывности выполнения ее бизнес-процессов и защита информации от уничтожения, что достигается с помощью информационных систем (ИС) с высокими показателями доступности и катастрофоустойчивости. При этом важным этапов в процессе управления информационной безопасностью организации в целом будет являться деятельность, направленная на проведение периодического и своевременного контроля над текущим состоянием катастрофоустойчивости ИС и выработки по его результатам своевременных катастрофоустойчивых решений, позволяющих скорректировать текущие показатели катастрофоустойчивости.
Для решения задачи контроля за катастрофоустойчивостью ИС как элемента системы управления информационной безопасностью автором предлагается модель системы мониторинга состояний катастрфоустойчивой ИС (КАИС) построенной на базе гибридной иммунной сети, основными функциями которой являются:
♦ проверка соответствия текущих показателей катастрофоустойчивости КАИС требованиям организации-владельца;
♦ выявление критичных и наиболее опасных потенциальных катастроф и других дестабилизирующих воздействий существенной среды. [І, 2].
В случае удовлетворения значений показателей катастрофоустойчивости КАИС предъявляемым требованиям и отсутствия критичных для существования КАИС дестабилизирующих факторов (ДФ) существенной среды состояние системы считается «нормальным», в противном случае считается «аномальным», что может свидетельствовать о не удовлетворительных показателях катастрофоустой-чивости или низкой способности системы противостоять актуальным для нее ДФ.
В соответствии с подходами к оценки катастрофоустойчивости ИС описанными в работах [3-7] для описания и исследования состояний КАИС предлагается использовать следующие показатели, описанные вектором Sp=( L, Tr, Dclass, NDlost, Z), где L - уровень катастрофустойчивости системы; Tr - время восстановления функционирования; Dclass - класс доступности системы; NDlost - объем потерянных данных; Z - живучесть. Значения данных показателей вычисляются на основе техникоэксплуатационных характеристик КАИС и данных об имеющихся в ней катастрофоустойчивых решениях. Множество ДФ существенной среды задается множеством DF, где Vdfi Є DF описывается вектором df;=(P, U, Risk), где P - вероятность реализации ДФ; U - потенциальный ущерб; Risk - риск.
Формально модель искусственной иммунной сети (ИИС) можно представить следующим образом:
IMNet = {{ANG0},{DETs},{ANGdang},{ANGn0rm},ADF,ADS,Wt}, (І)
где {ANG0} - множество образов «антигенов» двух типов ANG0 = ANG° U ANG°; {DETS} - множество детекторов, представлено двумя типами DETs и DETdf, при этом DET = DETS U DETdf; {ANGdang} - множество потенциально опасных для функционирования системы «антигенов»; {ANGN0RM} - множество безопасных для функционирования «антигенов»; ADF - матрица аффиностей между образом «антигена» и соответствующим ему типом детектора первого типа; ADS - матрица аффиностей между образом «антигена» и соответствующим ему типом детектора второго типа; WT - окно сходства.
«Антигены» первого типа ANG° - представляют собой вектор значений, описывающий показатели катастрофоустойчивости Sp, а ANG° - множество ДФ существенной среды.
Детекторы из подмножества DET предназначены для распознавания «антигенов» первого типа ANG°, детекторы DETdf - для распознавания «антигенов» ANG°. Посредством сопоставления образов «антигенов» с детекторами иммунная сеть производит классификацию состояний системы. При этом классификатором в общем случае называется функция (формула 2), которая по вектору признаков объекта выносит решение о том, к какому именно классу он принадлежит [8].
F: Я" ^ Y . (2)
Функция F отображает пространство векторов признаков в пространство векторов меток Y. В этом случае Y=[04], где 0 соответствует «нормальному» состоянию системы, а І - «аномальному».
В рамках данной работы предлагается следующий набор шаблонов детекторов, представленных на рис. І.
9І
Рис. 1. Формат детекторов иммунной сети
Каждый шаблон детектора имеет следующий формат:
♦ окно сходства (^) - представляет собой пороговое значение чувствительности детектора (кросс-реактивный порог), зависит от значения степени важности каждого атрибута V. Значение окна сходства W показывает, какие атрибуты в детекторе должны совпасть с соответствующими им значениями анализируемого вектора признаков, чтобы можно было сделать вывод о подобии и принадлежности системы к «нормальному» или «аномальному» состоянию. Например, если W=3, то обязательными должны быть совпадения в тех атрибутах детектора и образа «антигена», которые имеют степень важности V=3;
♦ атрибуты - значения, по которым осуществляется сопоставление векторов-признаков описывающих состояние системы. Количество атрибутов в каждом детекторе должно быть равно количеству значений в анализируемом векторе;
♦ степень важности (V) - значение показывающее необходимость совпадения каждого атрибута с соответствующим ему значением в анализируемом векторе признаков.
Детекторы первого типа £ ИЕТ8, 1=1...к, где к - количество детекторов, формируются на основе данных множества требований организации-владельца КАИС ИМЖ={Ь'', Т]у, БсыД N010/, гу, Тв]^, Св]^, ^коу}, и могут быть представлены следующим вектором значений атрибутов йе^=(и, Тьу, Бс1аму, ^>1ойу, 7у).
Детекторы второго типа £ ОЕТ°Е,]=1... (т-к), где (т-к) - количество
детекторов, формируются на основе данных, описывающих ДФ существенной среды и требований организации-владельца КАИС к предельно допустимому уровню риска Ш8коу. Данный тип детекторов может быть представлен следующим вектором атрибутов ёе1|=(Ру, иу, Ш8ку).
При реализации процесса формирования и обучения множества детекторов БЕТ, а так же реализации функции классификации состояний системы, опираясь на решения, описанные в работах [8-10] предлагается использоваться гибридный алгоритм клонального и «положительного отбора».
Детекторы первого и второго типа гибридной иммунной сети осуществляют покрытие множества «своих клеток» при помощи алгоритма клонального «положительного» отбора. В данном случае алгоритм «положительного отбора» предпочтительней использовать по сравнению с «отрицательным» отбором, поскольку он более эффективен в случаях, когда область «чужих клеток» существенно больше области «своих». При этом клональный алгоритм используется в процессе обучения ИИС, а «положительный отбор» - при классификации состояний системы.
При классификации образов «антигенов» первого типа апд° Е ANG° и второго типа апд% Е ANG° в «Т-клетках» с помощью множества детекторов DET производится отнесение «антигенов» к одному из двух классов:
ANG°™eg=1i2 и ANG™prem=1i2 .
При этом состояние исследуемой КАИС будет считаться «нормальным», если все образы «антигенов» ANGjYpe=i,2 будут принадлежать классу безопасных для функционирования «антигенов» ANGtypeLi^, в противном случае состояние системы будет классифицировано как «аномальное», т.е. не советующее требованиям организации-владельца КАИС к показателям катастрофоустойчивости системы и нуждающееся в корректирующих действиях. Используя формулу (2) получим: FfANro ДМГОЛ — ! 0, если (ANG? Е ANG?0RM) и (ANG° Е ANG?orm);
( 1, 2) {1, если (ANG° Е ANG?ang) или (ANG% Е ANG%ang).
В процессе классификации иммунная сеть использует правила сопоставления M. Так, (det М ANG$YpE=i,2) определяет аффинность между det и ANG°YPE=1,2, где det - детектор, ANG°YpE=i,2 - входные данные, представленные в виде образа антигена первого или второго типа, подлежащие классификации. Аффинность в данном случае показывает степень соответствия (подобия) между элементом из множества образов «антигенов» каждого типа и соответствующим ему типом детектора.
В качестве правила М определения подобия образов «антигенов» в данной работе предлагается использовать Евклидово расстояние, возможность применения которого обосновано в работе [11]. Для хранения значений вычисленных аф-финостей между атрибутами каждого образа «антигена» апд° и сопоставляемым с ним детектором dets вводится матрица ADF размерностью kxa, где а=5 - количество атрибутов в образе «антигена» первого типа. Для «антигенов» первого типа а=5, k - число детекторов первого типа DETS. Для хранения аффиностей между «антигенами» второго типа апд% и детекторами detfF Е DETdf, i — 1..z, вводится матрица ADS размерностью zxb, где b=3 - количество атрибутов в образе «антигена» второго типа и детекторе, z - количество детекторов второго типа DETdf.
Каждый элемент матрицы ADFij, представляет собой эвклидово расстояние DE между атрибутами образа «антигена» и детектора (формула 3):
ADFij — De — ^ (ang1j - dettJ j)2. (3)
Каждый элемент матрицы ADSij, вычисляется по аналогии с формулой 3 и равен:
Vang..J ,det.. J j V, > Wr, ADFij = 0;
АОБу =0Е = ^(апд21? - det^j О2 , (4)
где V] - степень важности каждого ] атрибута образа «антигена» и детектора соот-ветсвенно.
Атрибуты считаются совпавшими, если выполняется следующее правило:
ОУ,- ЗУ,
,}
(5)
'Vang°Vi,detDFVi | V, > Ш2,АОБЦ = 0,
А) 17 '
где ^^Т=12 - окно сходства, Шт £ (7). Для определения количества и индексов атрибутов образа «антигена» и детектора, сходство между которыми должно быть обязательным, вводятся множества LenWT=1,2 определяющие размер окна сходства WT, в соответствие со следующим правилом:
Ч] £аЩ>Ш1,1епШ1 = 1епШ1'0(]). (6)
V] £ЬЩ > W2,LenW2 = ЬепШ2 и Ц) . (7)
Таким образом, все элементы ]т Є ЪегМ?1, т = 1.. ^ЬепШ1\ будут указывать на порядковые номера атрибутов в образе «антигена» первого типа апд° и соответствующими атрибутами детектора по которым будет вестись сопоставление, а мощность \1е'пШ1\ < а на количество атрибутов входящих в окно сходства \¥т, см. рис. 2.
Детектор
окно сходства \Л/=2 атр*'1 атр*'3 атру=3 атр7'1 атр4'2
Выбираются атрибуты у который
выполняется условие \/£ \Л/
.тр~ атр*"1 ШЧГ атр"=!
Размер окна сходства
1_егИЛ/=(2,3,5},
мощность
|1.егЛЛ/|=3
Образ «антигена»
Рис. 2. Формирование окна сходства детектора
Аналогичным образом с использованием (7) формируется множество ЬепШ2 определяющее размер окна сходства и его мощность \ЬепШ2\ < Ъ для детекторов второго типа.
Общая аффинность между образом «антигена» и і-м детектором представляет собой сумму аффинностей по каждому атрибуту и вычисляется по формуле (9):
а// (апд°, detf) = =^АРРі]
АРРтах = тіп
Д
Е](к)
7 = 1
(9)
а//(апд^,
Образ «антигена» апд° (апд%) считается подобным детектору detf если выполняется правило максимальной аффиности между образом «антигена» и детектором: 0 < aff(ang°,detf) < АРРтах (0 < а[[(апд%^е1?р) < АРРтах).
Пороговое значение аффинности АРРтах выбирается исходя из условия:
(|!еп^|
у
/—I
к=1
В общем виде процесс классификации состояния КАИС по векторам - признаков двух типов на основе алгоритма «положительного отбора» (см. рис. 3) можно описать в виде следующего алгоритма действий:
1. Инициализируем иммунную память и формируем множество детекторов БЕТ. Детекторы первого типа ОЕТ8 реагируют на образы «антигенов» первого типа ЛМС-р. Детекторы второго типа ОЕТ°р - на «антигены» второго типа . При этом считаем, что ОЕТ=ОЕ'Т’и ВЕТ^р.
2. Для каждого элемента апд° £ и апд% £ выполняем этапы.
3. Вычисляем аффинность между детекторами первого и второго типа и соответствующими им образами «антигенов»: а[[(апд°^еС5), а//( апд%^еСОЕ). Считаем, что правило М выполняется, когда значение аффинности ниже порогового, т.е. когда dets и апд°, detDF и апд% достаточно подобны.
4. Для тех элементов из множества образов «антигенов» первого типа
апд° £ для которых выполняется правило (апд° М йе^~) производим их
включение во множество безопасных для функционирования КАИС антигенов ANG^0RM: ANG^0RM = ANG^0RM и [апд%}, = АИС%\{стд%}, и произво-
дим процедуру обучения ИМС путем расширения множества детекторов DETS: ОЕТ8 = ОЕТ8 и {апд°} и увеличением области покрытия. В противном случае элемент апд° классифицируется как опасный для функционирования и перемещается в множество антигенов ANG®ANG: ANG®ANG = ANG®ANG и [апд°}, ANG° = = ANG?\{angf^l}.
Рис. 3. Схема процедуры классификации гибридной иммунной сети
5. Аналогичным образом, в случае выполнения правила (апд$ МйвРр') произ-
водим перемещение элементов апд% из множества образов «антигенов» второго типа во множество безопасных для состояния КАИС антигенов Л^С|'0ЙМ:
Л^С|,0ЙМ = и (апд°}, = АМС%\{апд%}. Производим процедуру
обучения ИМС путем расширения множества детекторов DETDF: ОЕТ°¥ = ОЕТ°¥ и (апд!^}и увеличением области покрытия. В противном случае элемент апд% классифицируется как опасный для функционирования и перемещается во множество антигенов ANG%ANG: ANG^^ANG = ANG^^ANG и (апд%}, ANG^^ = ANG%\{ang%}.
6. Проверяем множества ANG!^I0RM, ANG^^0RM, ANG^lANG, ANG®ANG на наличие пустых элементов.
7. Если выполняется условие, что множество классов безопасных для функционирования системы «антигенов» не пустые, а классы опасных антигенов не содержат элементов, то характеристическая функция F(.ДNG:p,.Д^VG°) = 0 и состояние системы классифицируется ИИС как «нормальное».
8. Во всех остальных случаях состояние системы классифицируется ИИС как «аномальное» F(ANG° ,ANG^^) = 1.
Предложенный подход реализован программно в составе подсистемы комплекса по управлению процессом анализа катастрофоустойчивости ИС и принятием катастрофустойчивых решений.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Atkina V.S. Semantic model of disaster recovery information system // European Science and Technology: international scientific conference/ Bildungszentrum Rdk e.V. - Wiesbaden, Germany 2012. - P. 162-164.
2. Машкина И.В. Сенцова А.Ю. Гузаиров Р.М. Кладов В.Е. Использование методов системного анализа для решения проблемы обеспечения безопасности современных информационных систем // Известия ЮФУ. Технические науки. - 2011. - № 12 (125). - С. 25-35.
3. Беленков В.Г. Будзко В.И. Синицын И.Н. Катастрофоустойчивость корпоративных информационных систем. Ч. 1. - М.: ИПИ РАН, 2002.
4. Будзко В.И. Количественные оценки отказоустойчивых и катастрофоустойчивых решений // Вопросы защиты информации. - 2003. - № 2. - С. 19-32.
5. Аткина В.С. Живучесть системы как показатель ее катастрофоустойчивости // Проблемы обеспечения информационной безопасности в регионе : материалы III Регион. науч.-практ. конф., г. Волгоград, 20 апр. 2010 г. - Волгоград: Изд-во ВолГУ, 2010. - С. 42-57.
6. Павлов А.Н. , Соколов Б.В. Структурный анализ катастрофоустойчивой информационной системы //Труды СПИИРАН. Вып. 8. - М., 2009. - C. 128-153.
7. Аткина В.С. Подходы к оценке катастрофоустойчивости ИС// Проблемы модернизации региона в исследованиях молодых ученых: Материалы VI Межрегион. науч.-практ. конф., г. Волгоград, 30-31 марта 2010. - Волгоград: Изд-во ВолГУ, 2010. - С. 356-357.
8. Литвиненко В.И., Дидык А.А., Фефелов А.А., Херсон. Модифицированный гибридный иммунный алгоритм на основе теорий отрицательного и клонального отбора для решения задач классификации и его программная реализация // Моделирование информационных технологий. Вып. 62. - Киев, 2011. - С. 86-94.
9. Зайцев С.А., Субботин С.А. Обобщенная модель искусственной иммунной сети // Нейроинформатика. Ч. 2. - 2010. - С. 98-107.
10. Оладько А.Ю. Модель адаптивной многоагентной системы защиты в ОС Solaris 10 // Известия ЮФУ. Технические науки. - 2011. - № 12 (125). - С. 210-217.
11. Bidyuk P.I., Litvinenko V.I., Gasanov A.S. Immune network based method for identification of turbine engine surging // Кафедра математического и системного анализа: [сайт]. URL -http://www.mmsa.kpi.ua. (дата обращения 10.09.2012).
Статью рекомендовал к опубликованию д.т.н., профессор О.Б. Макаревич.
Аткина Владлена Сергеевна - Волгоградский государственный университет; e-mail:
[email protected]; 400062, г. Волгоград, пр-т Университетский, 100; тел.:
88442460368; кафедра информационной безопасности; старший преподаватель.
Atkina Vladlena Sergeevna - Volgograd State University; e-mail: atkina.vlaldlena @ yandex.ru;
100, University avenue, Volgograd, 400062, Russia; phone: +78442460368; the department of
information security; senior lecturer.
УДК 004.942
Д.А. Ляшко, И.В. Аникин
МОДЕЛИРОВАНИЕ АГЕНТА И МЕНЕДЖЕРА СИСТЕМЫ УДАЛЕННОГО АДМИНИСТРИРОВАНИЯ СРЕДСТВАМИ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
Целью работы является повышение эффективности защиты автоматизированных систем от несанкционированного доступа (НСД) за счет централизации управления функциями по защите информации от НСД. В работе определен состав компонентов и разработана структура системы централизованного удаленного администрирования средствами защиты информации от НСД (СУДАД-ЗИ), разработаны формальные математические