CC BY
27небольшом периоде наблюдения накопленные сведения дают наглядную картину того, как в рамках тех или иных процессов перемещаются данные, что позволяет создать группы приоритета [3]. Таким образом, на текущий момент формула доверия выглядит следующим образом [2]:
Doverie = f(S,GRn,DK,t), (1) Где S - количество событий, GRn - распределение событий на множестве групп риска, n -размерность GRn, DK — распределение событий на множестве уровней критичности, К - число уровней критичности (в нашем случае К = 5), t — рассматриваемый момент времени.
Таким образом, используя данную формулу для построения DLP, можно в значительной степени автоматизировать обнаружение нарушителей в системе еще до самого факта нарушения и выстроить политику безопасности исходя из выбранного уровня доверия к конкретному лицу.
Список литературы
1. Выбираем DLP-систему для средней организации. [Электронный ресурс]. Режим доступа: https://habrahabr.ru/post/141000/ (дата обращения: 09.03.2016).
2. Data Leak Prevention (DLP). [Электронный ресурс]. Режим доступа: http://docs.fortinet.com/uploaded/files/2026/inside-fortios-dlp-52.pdf/ (дата обращения: 08.03.2016).
3. UEBA - поведенческий анализ/ Андрей Д. [Электронный ресурс]. Режим доступа: http://80na20.blogspot.ru/2016/12/ueba.html/ (дата обращения: 08.03.2016).
МУЛЬТИАГЕНТНАЯ ИММУННАЯ СИСТЕМА ОБНАРУЖЕНИЯ АНОМАЛИЙ ОБЛАЧНОЙ СРЕДЫ Золотухин А.В.1, Тимохович А.С.2
'Золотухин Алексей Витальевич — специалист, направление: информационная безопасность телекоммуникационных систем; 2Тимохович ААлександр Степанович — кандидат педагогических наук, доцент, кафедра безопасности информационных технологий, Институт информатики и телекоммуникаций, Сибирский государственный аэрокосмический университет им. академика М.Ф. Решетнева,
г. Красноярск
Аннотация: в статье описано одно из перспективных направлений в области информационной безопасности - мультиагентная иммунная система для обнаружения аномалий, а также дано описание одной из перспективных схем построения. Ключевые слова: иммунная сеть, мультиагентность, обнаружение аномалий.
На текущий момент облачные технологии (Cloud Computing) переходят из сферы научных исследований в реальные бизнес-приложения, например, веб-сайты, облачные сервисы (малый бизнес, бухгалтерия). Создание подобных распределенных приложений связывается с необходимостью обеспечения безопасности облачных серверов от различного рода аномалий. Под аномалией понимается любое отклонение от модели (профиля) нормального состояния информационных процессов облачных сервисов. Отклонения вызываются сетевыми вторжениями: отказ обслуживания (DDoS), интернет-черви, сканирование, несанкционированный доступ (спам), а также сбоями (отказами) аппаратного обеспечения сети, некорректными действиями легитимных пользователей.
Из-за постоянного роста числа известных фактов нарушения целостности и доступности информации в облачной среде, возникает необходимость разработки принципиально иных подходов к обеспечению ИБ, позволяющих обнаруживать аномалии неизвестных ранее типов в условиях ограничения на потребляемые ресурсы.
Одним из наиболее перспективных направлений развития систем обнаружения аномалий в условиях новых требований считается использование искусственных иммунных систем (artificial immune system - AIS), основанных на принципах иммунной системы человека. Использование AIS обеспечивает свойства, характерные иммунной системе человека,
которыми должна обладать ANIDS облачной среды: распределенность, самоорганизуемость и ресурсосбережение [1].
Развитие искусственных иммунных систем для обнаружения аномалий облачной среды предлагается реализовать на основе идей мультиагентности. Построение мультиагентной искусственной иммунной системы обнаружения аномалий облачной среды на базе распределенных интеллектуальных агентов (Мультиагентные искусственные иммунные системы, англ. Multi-agent artificial immune system - MAAIS), позволит реализовать распределенность, интеллектуальность, адаптацию к изменяющейся среде и коммуникативные способности компонентов иммунной системы [2].
Основными компонентами MAAIS являются интеллектуальные агенты обнаружения, агенты иммунного ответа (блокировки) и агенты коммуникации.
Модель агента обнаружения. Агенты обнаружения собирают сигналы, агрегируют их и передают агентам коммуникации для дальнейшего анализа и принятия решения о блокировке.
Модель агента коммуникации. Агенты коммуникации, на основании собранной информации от агентов обнаружения и других агентов коммуникации, производят вычисление уровня опасности по каждому IP-адресу и принимают решение о блокировке, соответствующий сигнал передается агентам блокировки, которые в свою очередь управляют сетевыми фильтрами и (или) карантинными зонами. Принятие решения о блокировке источника аномалий происходит на основе модели настраиваемого порога активации. Агент коммуникации, отвечающий за вычисление уровня опасности, накапливает информацию по каждому адресу клиента и сообщает другим агентам об обнаруженных аномалиях. В терминологии MAAIS агент коммуникации представлен BDI-архитектурой и имеет убеждения, желания и намерения.
Модель агента блокировки. Агенты блокировки (иммунного ответа) - реализуют механизмы блокировки клиентов на основе сигнатур, полученных от агентов коммуникации (из базы сигнатур), управляя сетевыми фильтрами. Аналогично агенту обнаружения реализован как реактивный агент, не обладающий внутренним преставлением внешней среды.
На основе представленных моделей разработан прототип системы ANIDS - MAAIS для обеспечения безопасности облачной среды, позволяющей обнаруживать следующие виды аномалий: отказ в обслуживании; обход системы авторизации; повышение привилегий; поиск уязвимостей программного обеспечения [3].
Предложенный прототип MAAIS обеспечивает свойства, характерные иммунной системе человека, которыми должна обладать система обнаружения аномалий облачной среды: распределенность, самоорганизуемость и ресурсосбережение. Решение основано на принципах построения распределенной ANIDS путем интеграции искусственной иммунной системы с мультиагентным подходом. Прототип MAAIS адаптируется под меняющиеся параметры облачной среды и позволяет обнаруживать неизвестные ранее аномалии.
Список литературы
1. Мультиагентная иммунная система обнаружения аномалий облачной среды. [Электронный ресурс]. Режим доступа: http://bit.mephi.ru/wp-content/uploads/2015-4/part_15.pdf/ (дата обращения: 10.03.2017).
2. Multiagent Systems. [Электронный ресурс]. Режим доступа: http://www.masfoundations.org/mas.pdf/ (дата обращения: 10.03.2017).
3. Алгоритм работы искусственной иммунной системы. [Электронный ресурс]. Режим доступа: http://neuronus.com/ais/30-theory/37-algoritm-raboty-iskusstvennoj-immunnoj-sistemy.html/ (дата обращения: 10.03.2017).
