Научная статья на тему 'О концепции создания интеллектуальных систем защиты информации на основе нейросетевых систем обнаружения вторжений в АСОД'

О концепции создания интеллектуальных систем защиты информации на основе нейросетевых систем обнаружения вторжений в АСОД Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY-NC
168
41
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНТЕЛЛЕКТУАЛЬНЫЕ СИСТЕМЫ / ЗАЩИТА ИНФОРМАЦИИ / НЕЙРОННЫЕ СИСТЕМЫ / СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ / СТРАТЕГИИ ЗАЩИТЫ ИНФОРМАЦИИ / АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ДАННЫХ / АДАПТИРУЕМЫЕ СИСТЕМЫ / СИСТЕМА ОБНАРУЖЕНИЕ АТАК / ПРОГРАММНАЯ ЗАЩИТА ИНФОРМАЦИИ / АППАРАТНАЯ ЗАЩИТА ИНФОРМАЦИИ / ATTACK DETECTION SYSTEM / ADAPTABLE SYSTEMS / AUTOMATED DATA PROCESSING / INFORMATION SECURITY STRATEGIES / INTRUSION DETECTION SYSTEMS / NEURAL SYSTEMS / PROTECTION OF INFORMATION / INTELLIGENT SYSTEMS / SOFTWARE INFORMATION PROTECTION / HARDWARE INFORMATION PROTECTION

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Симаворян Симон Жоржевич, Симонян Арсен Рафикович, Улитина Елена Ивановна, Попов Георгий Александрович

Предметом исследования является концепция создания интеллектуальных систем защиты информации на основе нейросетевых систем обнаружения вторжений (СОВ) в автоматизированных системах обработки данных (АСОД), разрабатываемых в рамках финансируемого проекта РФФИ № 19-01-00383. Объектом исследования являются интеллектуальные системы защиты информации в АСОД, построенные на основе нейронных систем обнаружения вторжений, а в дальнейшем и на механизмах искусственных иммунных систем. Авторы рассматривают в качестве основных концептуальных требований к системе СОВ адаптируемость, обучаемость и управляемость. Особое внимание акцентируется на построении гибкой интеллектуальной системы защиты информации, содержащей СОВ как в узлах структурных компонент АСОД, так и в сетях передачи данных между структурными компонентами. Методологические исследования выбранного направления исследований проводятся с использованием методов искусственного интеллекта, системного анализа, теории интеллектуальных информационных систем в области искусственного интеллекта. В работе использованы достижения системно-концептуального подхода к защите информации в АСОД. Основным результатом проведенного исследования является вывод о том, что успешная защита информации в АСОД может быть осуществлена только в сети в виде взаимосвязанных локальных СОВ с использованием нейросетевых технологий, объединенных в единый головной центр на базе системно-концептуального подхода. Для борьбы с несанкционированными вторжениями необходимо принять единый системный подход, основанный на единых правовых, организационных и технических мерах защиты информации. Применение системно-концептуального подхода к созданию СОВ на основе нейросетевых технологий будет способствовать разработке новых средств, методов и мероприятий по интеллектуальному управлению защитой информации в АСОД.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Симаворян Симон Жоржевич, Симонян Арсен Рафикович, Улитина Елена Ивановна, Попов Георгий Александрович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ON THE CONCEPT OF CREATING INTELLIGENT INFORMATION SECURITY SYSTEMS BASED ON NEURAL NETWORK INTRUSION DETECTION SYSTEMS IN AUTOMATED DATA PROCESSING SYSTEMS

The subject of the research is the concept of creating intelligent information protection systems based on neural network intrusion detection systems in automated data processing systems, developed as part of the funded project of the RFBR No. 19-01-00383. The object of the study is the intelligent information protection systems in automated data processing systems, built on the basis of neural intrusion detection systems, and later on the mechanisms of artificial immune systems. The authors consider adaptability, learning ability and controllability as the main conceptual requirements for the intrusion detection systems. Particular attention is focused on the construction of a flexible intelligent information protection system containing intrusion detection systems in both the nodes of the structural components of automated data processing systems, and in data transmission networks between structural components. Methodological studies of the chosen research direction are carried out using the methods of artificial intelligence, system analysis, the theory of intelligent information systems in the field of artificial intelligence. The work uses the achievements of a system-conceptual approach to information protection in automated data processing systems. The main result of the study is the conclusion that successful protection of information in automated data processing systems can only be carried out in a network in the form of interconnected local intrusion detection systems using neural network technologies combined into a single head center based on a system-conceptual approach. To combat unauthorized intrusions, it is necessary to adopt a unified systematic approach based on uniform legal, organizational and technical measures to protect information. The application of a system-conceptual approach to the creation of intrusion detection systems based on neural network technologies will contribute to the development of new tools, methods and activities for the intelligent management of information security in automated data processing systems.

Текст научной работы на тему «О концепции создания интеллектуальных систем защиты информации на основе нейросетевых систем обнаружения вторжений в АСОД»

Программные системы и вычислительные методы

Правильная ссылка на статью:

Симаворян С.Ж., Симонян АР., Улитина Е.И., Попов Г.А — О концепции создания интеллектуальных систем зашиты информации на основе нейросетевых систем обнаружения вторжений в АСОД // Программные системы и вычислительные методы. - 2019. - № 3. DOI: 10.7256/2454-0714.2019.3.30583 URL: https;//nbpublish.com'library_read_article.php?id=30583

О концепции создания интеллектуальных систем защиты информации на основе нейросетевых систем обнаружения вторжений в АСОД

Симаворян Симон Жоржевич

кандидат технических наук

доцент, кафедра Прикладной математики и информатики, Сочинский государственный университет

354003, Россия, Краснодарский край, г. Сочи, ул. Пластунская, 94

И [email protected] Симонян Арсен Рафикович

кандидат физико-математических наук

доцент, кафедра прикладной математики и информатики, ФГБОУ ВО "Сочинский государственный

университет"'

354000, Россия, г. Сочи, ул. Островского, 37, кв. 91 И [email protected] Улитина Елена Ивановна

кандидат физико-математических наук доцент, кафедра Прикладной математики и информатики, Сочинский государственный университет

354003, Россия, Краснодарский край, г. Сочи, ул. Пластунская, 94

И [email protected]

Попов Георгий Александрович

доктор технических наук

Заведующий кафедрой Информационной безопасности, Астраханский государственный технический

университет

414025, Россия, Астраханская область, г. Астрахань, ул. Татищева, 16

И [email protected]

Статья из рубрики "Модели и методы управления информационной безопасностью"

Аннотация.

Предметом исследования является концепция создания интеллектуальных систем защиты информации на основе нейросетевых систем обнаружения вторжений (СОВ) в автоматизированных системах обработки данных (АСОД), разрабатываемых в рамках финансируемого проекта РФФИ № 19-01-00383. Объектом исследования являются интеллектуальные системы защиты информации в АСОД, построенные на основе нейронных систем обнаружения вторжений, а в дальнейшем и на механизмах искусственных иммунных систем. Авторы рассматривают в качестве основных

концептуальных требований к системе СОВ адаптируемость, обучаемость и управляемость. Особое внимание акцентируется на построении гибкой интеллектуальной системы защиты информации, содержащей СОВ как в узлах структурных компонент АСОД, так и в сетях передачи данных между структурными компонентами. Методологические исследования выбранного направления исследований проводятся с использованием методов искусственного интеллекта, системного анализа, теории интеллектуальных информационных систем в области искусственного интеллекта. В работе использованы достижения системно-концептуального подхода к защите информации в АСОД. Основным результатом проведенного исследования является вывод о том, что успешная защита информации в АСОД может быть осуществлена только в сети в виде взаимосвязанных локальных СОВ с использованием нейросетевых технологий, объединенных в единый головной центр на базе системно-концептуального подхода. Для борьбы с несанкционированными вторжениями необходимо принять единый системный подход, основанный на единых правовых, организационных и технических мерах защиты информации. Применение системно-концептуального подхода к созданию СОВ на основе нейросетевых технологий будет способствовать разработке новых средств, методов и мероприятий по интеллектуальному управлению защитой информации в АСОД.

информации, нейронные системы, информации, автоматизированная обнаружение атак, программная

DOI:

10.7256/2454-0714.2019.3.30583

Дата направления в редакцию:

20-08-2019

Ключевые слова: интеллектуальные системы, защита системы обнаружения вторжений, стратегии защиты обработка данных, адаптируемые системы, система защита информации, аппаратная защита информации

Дата рецензирования:

21-08-2019

Работа выполнена при финансовой поддержке гранта РФФИ №19-01-00383.

Введение. Система обнаружения вторжений (СОВ) или система обнаружение атак (СОА) - программное или аппаратное средство защиты информации, предназначенное для предупреждения несанкционированного доступа в автоматизированные системы

обработки данных (АСОД) различного назначения-^. Системы обнаружения вторжений обеспечивают дополнительный уровень защиты информации в АСОД и являются одним из основных компонентов системы защиты информации. Перспективными считаются СОВ построенные на основе нейросетевых технологий, которые способны провести анализ больших потоков данных из сети на наличие угроз и обнаружить их. Особенностью искусственных нейронных сетей является то, что эти сети поддаются обучению, и после обучения способны адаптироваться под новые типы угроз и распознавать их, даже если

они до этого с ними не сталкивались. Сам термин «вторжение», в связи с его многозначностью по-разному трактуется специалистами по безопасности - нарушение безопасности, атака, проникновение, нападение и др. На основании терминологии ГОСТ

^ под атакой на информационную систему следует понимать один или несколько инцидентов информационной безопасности, связанных с человеческим фактором, которые в совокупности могут привести к реализации угроз путем использования уязвимостей этой информационной системы. Инцидент информационной безопасности -это любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

В настоящее время, наиболее серьезные угрозы через Интернет исходят: 1) от атак, построенных на использовании уязвимостей таких приложений как сервисы HTTP (TCP порт 80) и HTTPS (TCP порт 443), которые во многих сетях открыты именно на уровне приложений модели OSI (Open Systems Interconnection), 2) от вирусов, 3) от Spyware и 4) от спама -12, 13].

Задача интеллектуального противоборства злоумышленников и службы защиты информации актуальна и требует регулярного решения [6,7,9]. На сегодняшний день применение нейронных сетей в СОВ является перспективным направлением, и её дальнейшее развитие связано с совершенствованием процедур их обучения [15, 16].

Решение задач по разработке эффективных СОВ может быть осуществлено только на базе системно-концептуального подхода к созданию интеллектуальных систем защиты информации [10, 11 17].

Основная часть

Концепцию создания интеллектуальных систем защиты информации на основе нейросетевых систем обнаружения атак в АСОД можно отнести к концепции создания

систем дистанционной поддержки критических технологий -Ш. Основу концепции составляет построение гибкой системы СОВ в узлах автоматизированных территориально распределенных информационно-вычислительных сетей и в сетях передачи данных между узлами сети. Поскольку компоненты СОВ, построенные на нейросетевых технологиях, а в дальнейшем, с добавлением механизмов искусственных иммунных систем, являются функционально самостоятельными и обучаемыми подсистемами систем защиты информации во всех структурных компонентах АСОД, то согласование их работы требует создания главного центра управления этими системами -Ш. Основными концептуальными требованиями к системе СОВ являются адаптируемость и обучаемость. Адаптируемость достигается основными характеристиками предъявляемым к нейронным системам, а управляемость достигается регламентированным процессам реализации макропроцессов управления защитой информации.

На сегодняшний день, на современном рынке существует множество различных СОВ, например, OSSEC - является масштабируемой, мульти платформенной узловой СОВ, Bro -является сетевой системой обнаружения вторжений с открытым исходным кодом, CATNET - это интеллектуальная система для обнаружения, анализа и регистрации инцидентов в сети, Snort - это продукт с открытым исходным кодом для обнаружения и предотвращения вторжений. Эти СОВ сравниваются между собой по следующим свойствам: бесплатность, открытость исходного кода, мультиплатформенность, простота в настройке, наличие различных сообществ поддерживающих пользователей, включение в себя системы не только определения, но и предотвращения вторжений [12].

Разработкой и созданием современных СОВ занимаются и многие разработчики антивирусных программ, например, такие как: Kaspersky Lab, Dr. Web, McAfee, Nod32, Panda Adaptive Defense 360, Avast и многие другие J13!.

В работе t141 приведен перечень СОВ (СОА), сертифицированных ФСБ или ФСТЭК России: Аргус (версия 1, версия 2), детектор атак «Континент», Рубикон, Ручей-М, Тор, Форпост (версия 1), ViPNet IDS.

Для создания эффективных СОВ на базе системно-концептуального подхода требуется разработать 1) единые требования к анализу больших баз данных на основе единой методики их обработки J41; 2) единые методы классификации вторжений J31; 3) единые схемы технологических маршрутов обработки и анализа поступающей информации в АСОД -151.

Функции защиты от вторжений. Функциональный подход к разработке СОВ заключается в том, что за основу организации защиты принято понятие функции защиты информации, концептуальным требованием к которым является требование полноты. Под функцией защиты понимается однородная в функциональном отношении совокупность мероприятий

и решений, осуществляемых в интересах обеспечения ЗИ t81. Под полнотой функции понимается их свойство, заключающееся в том, что планомерное и регулярное выполнение этих функций помогает достичь требуемый уровень защищенности информации. Сформулируем полное множество функций защиты от вторжений в АСОД: 1) предупреждение условий, порождающих проникновение вторжений в АСОД; 2) предупреждение проникновений зловредного кода в сети АСОД; 3) обнаружение проявившихся вторжений; 4) предупреждение воздействия вторжения на информацию; 5) обнаружение воздействия вторжения на информацию; 6) локализация воздействия вторжения на информацию; 7) ликвидация последствий воздействия вторжения. В зависимости от исхода осуществления каждой из функций защиты от вторжений будет иметь место одно событие из множества итоговых событий по обнаружению, предупреждению воздействий, локализации и ликвидации последствий вторжения, которые в совокупности составляют полное множество несовместных случайных событий. Отсюда следует, что сумма вероятностей благоприятных итоговых событий выражает вероятность надежной защиты информации от вторжений. Этим и создаются объективные предпосылки для оптимального использования ресурсов, выделяемых на защиту информации от несанкционированных вторжений.

Задачи защиты от вторжений. Реализация функций защиты осуществляется решением репрезентативного множества специально разработанных задач защиты от вторжений. Репрезентативность множества задач определяется как такое их свойство, при котором имеются возможности эффективного осуществления всех функций защиты в соответствии с требованиями надежной защиты. Перечень и содержание конкретных задач на каждом структурном компоненте АСОД и каждой технологической схеме обработки информации определяется исходя из потенциально возможных способов защиты, а именно: а) препятствие; б) регламентация; в) управление; г) маскировка; д) принуждение; е) побуждение [8, 11 17]. Перечень задач определяется экспертным путем.

Методы управления деятельностью СОВ. Одно из важнейших требований к системе СОВ заключается в создании в ней механизмов управления процессами защиты. В соответствии с теорией защиты информации СОВ относятся к системам организационно-технологического типа. Основными функциями управления в таких системах являются: а) планирование; б) оперативно-диспетчерское регулирование быстротекущих процессов;

в) календарно- плановое руководство; г) обеспечение повседневной деятельности

органов управления Применительно к СОВ, построенных на нейросетевых

технологиях, необходимо взять за основу централизованно-децентрализованную схему управления защитой информации от вторжений, заключающейся в обеспечении узлов защиты АСОД возможностями осуществлять автономное управление своими средствами защиты от вторжений, а главному центру - централизованное управление всей сетью (всей или ее частью) при обработке информации по единой технологии. В целях обеспечения высокой эффективности оперативно-диспетчерского управления процессами обнаружения быстротекущих процессов вторжений (доля которых в общем объеме процессов управления защитой весьма большая и с течением времени возрастает) необходимо осуществить полную их структуризацию, а именно: а) классифицировать по единой методологии все потенциально возможные вторжения; б) все сообщения о вторжениях строго формализовать и разделить по степени срочности; в) строго регламентировать процесс генерирования, передачи и обработки сообщений о вторжениях как по вертикали, так и по горизонтали в структурных компонентах АСОД; г) разработать четкие алгоритмы работы службы безопасности по борьбе с потенциально возможными вторжениями. Планирование, календарно-плановое руководство о обеспечение повседневной деятельности службы защиты информации также являются неотъемлемой частью общего управления защитой информации от вторжений.

Заключение.

Из краткого изложения сделаны следующие выводы:

- в российских и в зарубежных СОВ используются в основном одни и те же принципы построения СОВ, основанные на сигнатурном, эвристическом и их комбинации анализе;

- сенсоры и детекторы с установленными на них программами анализа первичных источников информации о компьютерных атаках выполняют практически одни и те же функции;

- от сенсоров и детекторов информация о компьютерных атаках поступает в специальный центр, который обеспечивает хранение и обработку информации о вторжениях;

- для борьбы с несанкционированными вторжениями, как со злом в общенациональном и мировом масштабах, необходимо принять единый, системный подход, основанный на единых правовых, организационных и технических мерах защиты информации.

Таким образам, проблема надёжного обеспечения защиты информации с помощью СОВ, на основе нейросетевых систем обнаружения вторжений в АСОД, вытекает из общего фундаментального положения системно-концептуального подхода к защите информации регламентирующего заблаговременную и упреждающую тактику применения эффективных средств, методов и мероприятий по защите информации в АСОД.

Выводы. В концептуальном плане системно-концептуальный подход позволит создавать не просто сеть СОВ, а системы СОВ дистанционного обучения, системы взаимосогласованной (с управляемой) функциональной защитой данных в территориально-распределенных центрах по борьбе с хакерами и мошенниками в сети. Организационно сеть необходимо создавать в виде связанных сетью передачи данных локальных центров СОВ, объединенных с одним головным центром.

Благодарности

Работа выполнена при финансовой поддержке гранта РФФИ №19-01-00383.

Библиография

1. Указ Президента РФ от 15 января 2013 г. N 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

2. ГОСТ Р ИСО/МЭК. 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий / М.: Стандартинформ, 2007. 18 с.

3. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A., Pilosyan E.A., Kornienko N.A. Search fuzzy image of the attacker based on the use of automatic classification methods // Modeling of Artificial Intelligence. 2017. № 4-1. С. 29-38.

4. Kopyrin A.S., Simavoryan S.Zh., Simonyan A.R., Ulitina E.I. The methodology of risk analysis in assessing information security threats // Modeling of Artificial Intelligence. 2017. № 4-2. С. 78-85.

5. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Makarova I.L., Simonyan R.A. The task of determining the optimal technological scheme for the operation of information security systems // European Journal of Computer Science. 2017. № 3 (1). С. 17-22.

6. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Makarova I.L., Simonyan R.A. Creating the conditions for the theoretical and practical solution of the problem of automated intelligent search for the attacker's image in ADPS // Modeling of Artificial Intelligence. 2016. № 3 (11). С. 166-176.

7. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A. Research of the intellectual antagonism of malefactors and service of information security in the ADPS // Modeling of Artificial Intelligence. 2015. № 1 (5). C. 33-41.

8. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A. Projecting intelligent systems to protect information in automated data processing systems (functional approach) // Modeling of Artificial Intelligence. 2015. № 3 (7). С. 212-220.

9. Симаворян С.Ж., Симонян А.Р., Улитина Е.И., Симонян Р.А. Исследование интеллектуального противоборства злоумышленников и службы защиты информации в АСОД // Известия Сочинского государственного университета. 2014. № 4-1 (32). С. 15-23.

10. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A. About one approach to a question of classification of intellectual systems of information security // Modeling of Artificial Intelligence. 2014. № 1 (1). С. 29-44.

11. Симаворян С.Ж., Симонян А.Р., Ивановна У.Е., Симонян Р.А. Системный подход к проектированию интеллектуальных систем защиты информации // Известия Сочинского государственного университета. 2013. № 4-2 (28). С. 128-132.

12. Существующие на рынке системы обнаружения вторжений // http://prog.bobrodobro.ru/106354. - Режим доступа 10.04.2019.

13. Разработчики и производители антивирусных программ // http://www.antivirus-navigator.com/designers_av.htm-Режим доступа 10.05.2019.

14. Бабошин В.А., Васильев В.А., Голубев В.Е. Обзор зарубежных и отечественных систем обнаружения компьютерных атак // Информация и космос. 2015. № 2. С. 3641

15. Симаворян С.Ж., Симонян А.Р., Кочконян Р.Э. Задача обнаружения злоумышленных действий в АСОД с помощью нейронных сетей // В сборнике: Актуальные задачи математического моделирования и информационных технологий Материалы

Международной научно-практической конференции. 2017. С. 94-96.

16. Samarin V.I., Simavoryan S.Zh., Simonyan A.R., Ulitina E.I Information security in neural-networked queuing systems // Russian Journal of Mathematical Research. Series A. 2017. № 3-2. С. 49-61.

17. Герасименко В.А., Малюк А.А. Основы защиты информации / В.А. Герасименко - М.: Известия, 1997.

i Надоели баннеры? Вы всегда можете отключить рекламу.