Научная статья на тему 'О настройке параметров алгоритма прецедентного анализа инцидентов информационной безопасности'

О настройке параметров алгоритма прецедентного анализа инцидентов информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
93
23
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ПРЕЦЕДЕНТ / ИНЦИДЕНТ / INCIDENT / ПРЕДЕЛЬНОЕ РАССТОЯНИЕ / LIMITING DISTANCE / ПРЕДЕЛЬНОЕ ЗНАЧЕНИЕ АНАЛОГИЙ / LIMIT ANALOGIES / CASE

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Шаляпин А. А.

Рассматривается алгоритмическое обеспечение прецедентного анализа инцидентов информационной безопасности и настройка параметров алгоритма.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ABOUT CONFIGURING THE PRECEDENT ANALYSIS ALGORITHM OF INFORMATION SECURITY INCIDENTS

The precedent analysis algorithmic support of information security incidents and setting the algorithm parameters is considered.

Текст научной работы на тему «О настройке параметров алгоритма прецедентного анализа инцидентов информационной безопасности»

Решетневскуе чтения. 2013

УДК 004.056

О НАСТРОЙКЕ ПАРАМЕТРОВ АЛГОРИТМА ПРЕЦЕДЕНТНОГО АНАЛИЗА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ*

А. А. Шаляпин

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Россия, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31. Е-mail: [email protected]

Рассматривается алгоритмическое обеспечение прецедентного анализа инцидентов информационной безопасности и настройка параметров алгоритма.

Ключевые слова: прецедент, инцидент, предельное расстояние, предельное значение аналогий.

ABOUT CONFIGURING THE PRECEDENT ANALYSIS ALGORITHM OF INFORMATION SECURITY INCIDENTS

A. A. Shalyapin

Siberian State Aerospace University named after academician M. F. Reshetnev 31, "Krasnoyarsky Rabochy" Av., Krasnoyarsk, 660014, Russia. Е-mail: [email protected]

The precedent analysis algorithmic support of information security incidents and setting the algorithm parameters is considered.

Keywords: case, incident, limiting distance, limit analogies.

Применение концепции прецедентного анализа в рамках системы менеджмента информационной безопасности, отвечающей требованиям международного стандарта ISO/IEC 27001:2005, позволяет решить задачу оперативного реагирования на инциденты информационной безопасности. Повышение эффективности на этапе реагирования на инциденты информационной безопасности достигается, с одной стороны, путем автоматизации выбора стратегий для известных инцидентов, а с другой - за счет обнаружения аномальных инцидентов до попыток их разрешения [1].

Аппарат прецедентного анализа базируется на функции подобия (метрики), значение которой определяет сходство прецедента и текущей ситуации (зарегистрированного инцидента):

SIM (g,k) = F(sim(Xgi, хи),..., sim(xgp, xp)) .

Также могут учитываться коэффициенты параметров прецедента, в силу неравнозначности вклада каждого параметра в результат расчета по выбранной метрике [2]:

Sjwj .sim (xtJ,xkj ) .

Так, при реализации алгоритмического обеспечения прецедентного анализа возникают задачи определения:

1) метода нормирования исходных векторов, параметры которых отображают характеристики информационной системы в явном виде;

2) функции подобия;

3) коэффициентов параметров алгоритма;

4) предельных значений расстояния и количества аналогий.

Исходя из этого, алгоритм прецедентного анализа включает четыре основных настраиваемых параметра: функция нормирования, функция подобия, предельные значения расстояний и количества аналогий.

Результаты статистического анализа инцидентов из тестовой выборки «Kdd Dataset'99» показали, что в силу различного распределения инцидентов в отдельных классах, для каждого из них функция подобия принимает определенный вид. Кроме этого, большая доля прецедентов класса относительно среднего расстояния по классу распределяются в пределах среднеквадратичного отклонения (рис. 1).

Предельные значения расстояния и количества аналогий являются ключевыми величинами, влияющими на конечный результат классификации инцидента. Теоретически, расстояние нормального инцидента до класса не должно превышать dср ±ст .

При настройке данных параметров алгоритма целесообразно применение ROC-анализа для представления и оценки результатов классификации инцидентов.

При постоянном значении среднего расстояния по классу с некоторым шагом варьируется предельное значение в диапазоне [0; 100] в процентах, и для каждого результата классификации подсчитываются следующие показатели:

1) TP (True Positives) - верно классифицированные положительные примеры;

2) TN (True Negatives) - верно классифицированные отрицательные примеры;

3) FN (False Negatives) - положительные примеры, классифицированные как отрицательные;

4) FP (False Positives) - отрицательные примеры, классифицированные как положительные.

*Работа поддержана грантом президента молодым кандидатам наук, договор № 14.124.13.473-МК от 04.02.2013.

Информационно-управляющие системы

Рис. 1. Распределение прецедентов в классе по расстояниям

Рис. 2. Определение оптимального предельного значения

Далее для каждого предельного значения аналогий рассчитываются показатели чувствительности (Sensitivity) и специфичности (Specificity):

TP TN Se =--100% Sp =--100%.

TP + FN TN + FP

Под чувствительностью понимается доля истинно положительных примеров, а под специфичностью -доля истинно отрицательных примеров, которые были правильно идентифицированы моделью. После этого строятся две кривые в координатах (чувствительность; предельное значение аналогий и специфичность; предельное значение аналогий). Точка пересечения двух кривых даст оптимальное предельное значение (рис. 2).

Таким образом, применение ROC-анализа для определения значений предельных параметров позволя-

ет эффективно настроить алгоритм прецедентного анализа.

Библиографические ссылки

1. Жуков В. Г., Шаляпин А. А. О прецедентном анализе инцидентов информационной безопасности // Решетневские чтения : материалы XVI Междунар. науч. конф. Ч. 2 / СибГАУ. Красноярск, 2012. С. 657-658.

2. Вагин В. Н., Головина Е. Ю., Загорянская А. А., Фомина М. В. Достоверный и правдоподобный вывод в интеллектуальных системах / под ред. В. Н. Вагина, Д. А. Поспелова. 2-е изд. М. : Физматлит, 2008.

References

1. Zhukov V. G., Shalyapin A. A. Case based analysis of information security incidents

Решетневские чтения. 2013

[O precedentnom analize incidentov informacionnoj bezopasnosti] II Tezisy mezhdunarodnoj nauchnoj konferencii "Reshetnevskie chtenija" (Thesis of international conference "Reshetnev Rerading"). Krasnoyarsk, 2013, pp. 657-658.

2. Vagin V. N., Golovina E. Ju., Zagorjanskaja A. A., Fomina M. V. Dostovernyj i pravdopodobnyj vyvod v intellektual'nyh sistemah II Pod redakciej V. N. Vagina, D. A. Pospelova. M2-e izdanie. : Fizmatlit, 2008.

© Шаляпин А. А., 2013

УДК 004.051

ЕДИНОЕ ИНФОРМАЦИОННОЕ ПРОСТРАНСТВО УНИВЕРСИТЕТА

О. А. Эмилова, М. В. Сержантова

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Россия, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31

Е-mail:[email protected]

Рассмотрены существующие системы электронного документооборота (СЭД) в подразделениях Сибирского государственного аэрокосмического университета (СибГАУ). Проведен анализ работы этих систем. Выделены три группы документов, обращающихся в подразделениях университета: институт/факультет, кафедра, отделы. Предложена частичная автоматизация документооборота на кафедре института.

Ключевые слова: документооборот, системы электронного документооборота, автоматизация, университет, институт, кафедра.

UNIVERSITY SINGLE INFORMATION SPACE

O. A. Emilova, M. V. Serzhantova

Siberian State Aerospace University named after academician M. F. Reshetnev 31, "Krasnoyarsky Rabochy" Av., Krasnoyarsk, 660014, Russia Е-mail:[email protected]

The existing electronic document management system at the university is studied. The analysis of the systems is performed. Three groups of instruments applied at the university subdivisions: college / faculty, departments are determined. Partial automation of workflow in the institute department is proposed.

Keywords: document management, electronic document management systems, automation, division, university, department.

Документооборот существует в любой организации: от самой аскетичной формы между бухгалтером и директором в бумажном виде, до сложной цепочки параллельных и последовательных действий в рамках работ с электронным документом. Для любой относительно крупной компании ведение документооборота является сложной задачей: систематизировать все документы в организации, описать движение этих документов, особенно при большом количестве документов, очень сложно [1].

Для решения задачи систематизации документов в организации, увеличения эффективности работы с документами применяются системы электронного документооборота.

Тема автоматизации процессов документооборота в настоящее время является актуальной. Все больше компаний достигают необходимого уровня зрелости и приходят к необходимости формализации бизнес-процессов и внедрения средств для их автоматизации.

С другой стороны, компании прошли длительный путь по созданию своих информационных систем, что обеспечивает потенциальные возможности для реализации задач подобного уровня сложности. Однако специалисты информационных систем сталкиваются с большими проблемами при определении методики и выборе программного обеспечения, которое было бы способно обеспечить адекватные средства для решения задач данного класса [2].

В ходе проведения исследования документооборота в СибГАУ были составлены схемы движения документов и информационные потоки в учебно-научном подразделении.

На рисунке представлена общая организационная структура университета, которая отражает иерархию подразделений в вузе.

Во главе всего вуза стоит ректор, который является высшим звеном управления в информационных потоках университета.

i Надоели баннеры? Вы всегда можете отключить рекламу.