CC BY
48
УДК 004.056
О ПРЕДВАРИТЕЛЬНОМ АНАЛИЗЕ ПАРАМЕТРОВ ДЛЯ ОБНАРУЖЕНИЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СИСТЕМАХ СО МНОГИМИ ПАРАМЕТРАМИ
Н. А. Коромыслов Научный руководитель - В. Г. Жуков
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: koromyslov_nikit@list.ru
Рассматриваются проблемы, возникающие при обнаружении инцидентов информационной безопасности в системах со многими параметрами при помощи алгоритма отрицательного отбора и его модификаций. Предлагается решение в виде предварительного анализа параметров.
Ключевые слова: искусственные иммунные системы, алгоритм отрицательного отбора, защита информации.
PRELIMINARY ANALYSIS OF THE PARAMETERS TO DETECT INFORMATION SECURITY INCIDENTS IN MULTY-PARAMETER SYSTEMS
N. A. Koromyslov Scientific Supervisor - V. G. Zhukov
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: koromyslov_nikit@list.ru
The problems of the detection of information security incidents in multy-parameter systems using negative selection algorithm and its modification is researched. The preliminary analysis of the parameters as solution is offered.
Keywords: artificial immune systems, negative selection algorithm, information security.
Для обеспечения информационной безопасности в системе необходимо своевременное обнаружение и реагирование на инциденты информационной безопасности. Задача обнаружения инцидентов информационной безопасности сводится к задаче классификации: события требуется отнести либо к штатной работе системы, либо к инцидентам информационной безопасности.
Иммунная система человека способна обнаруживать как известные патогены, так и новые, информации о которых у системы не было. В основе этой способности лежит механизм отрицательного отбора, суть которого заключается в том, что создаваемые лимфоциты проверяются на соответствие «своим» клеткам и в случае положительного результата - уничтожаются. Таким образом, остаются только лимфоциты, которые не реагируют на «свои» клетки, только на «чужие». Этот механизм положен в основу алгоритма отрицательного отбора [1]. Критерием похожести в исходном описании алгоритма выступает частичное соответствие, т. е. соответствие n подряд идущих символов в строках. Случайным образом генерируются детекторы, которые проверяются на «схожесть» с контролируемым строками и отбрасываются в случае совпадения со «своей» строкой. В ходе проверки, если строка схожа с детектором, регистрируется инцидент.
Принципы функционирования иммунитета человека уже успешно использовались в задачах классификации, например, в задаче обнаружения «спама» [2].
Для работы со многими параметрами систему необходимо модифицировать [3]. Для успешного обнаружения инцидентов необходимо устранить недостатки, которые «наследуются» от алгоритма отрицательного отбора и которые возникают из-за неоднородности параметров в системах со многими параметрами.
Актуальные проблемы авиации и космонавтики - 2015. Том 1
Главным недостатком, «унаследованным» от базового алгоритма отрицательного отбора, является случайность генерации детекторов. Из-за большого количества возможных вариантов, требуется, соответственно, большое число сгенерированных детекторов для обнаружения инцидентов информационной безопасности. Для уменьшения стохастичности результатов, целесообразно все детекторы поделить на две группы:
1. Детекторы, сгенерированные случайным образом, для обнаружения новых, неизвестных угроз.
2. Детекторы, полученные путем модификации известных записей об инцидентах информационной безопасности. Такие записи могут быть известны в системе изначально или быть обнаружены в ходе работы системы. Применение таких детекторов позволит обнаруживать известные угрозы и их вариации.
Также одним из перспективных подходов к решению проблемы большого количества возможных вариантов является применение аппарата нечеткой логики [4] при генерации детекторов и при работе системы обнаружения инцидентов. Аппарат нечеткой логики в системе обнаружения инцидентов, в основу работы которой положен алгоритм отрицательного отбора, предлагается применять для того, чтобы определять степень принадлежности проверяемых данных к инцидентам или информации о штатной работе системы. Оперирование такими параметрами как «близко к x» позволит заменить частичное соответствие для числовых параметров в системах со многими параметрами (например, время соединения, количество переданных пакетов и др.) [3].
Проблема неоднородности параметров заключается не только и не столько в различных границах и формах представления. Эта часть проблемы успешно решается предварительной нормализацией. Большинство многопараметрических систем описывается различными параметрами, и применение в них алгоритма требует предварительного изучения множества параметров [5]. Без предварительного анализа можно обойтись в системах, где параметры относительно схожи по значимости и распределению. Однако, большинство систем со многими параметрами описывается различными параметрами, и применение в них алгоритма требует предварительного изучения множества параметров.
Во-первых, необходимо учитывать дискретные или непрерывные значения принимает параметр (определяется исходя из описания исходных параметров). Это позволит генерировать детекторы с учетом дискретности и непрерывности параметра, что исключит невалидные значения для дискретных параметров и, соответственно, уменьшит количество возможных вариантов детекторов.
Во-вторых, следует определить средние значения параметров и среднеквадратичное отклонение (вычисляется при использовании доступных записей о штатной работе системы). Таким образом, определяются наилучшие пороговые значения при применении аппарата нечеткой логики.
В-третьих, важно определить насколько сильно отличаются значения параметра у «штатных» записей и у инцидентов (в случае, если таковые имеются, вычисляются «дельты» между нормальными и аномальными записями). Это, в свою очередь, позволяет убрать из перечня контролируемых параметров те, которые не влияют или влияют незначительно на определение события как «штатного» или «нештатного».
Необходимость предварительного анализа исходной системы, добавляет дополнительный шаг при применении искусственных иммунных систем. Этот шаг позволяет гибко настроить систему обнаружения инцидентов информационной безопасности под конкретную систему со многими параметрами.
Таким образом, применение модифицированного алгоритма отрицательного отбора, аппарата нечеткой логики и предварительного анализа контролируемых параметров позволит уменьшить требуемые ресурсы для создания системы обнаружения инцидентов информационной безопасности за счет уменьшения стохастичности при генерации детекторов.
Библиографические ссылки
1. Forrest S., Perelson A. S., Allen L., Cherukuri R. Self-nonself discrimination in a computer (1994), Proc. of IEEE symposium on Research in Security and Privacy, pp. 202-212.
2. Idris I. Model and Algorithm in Artificial Immune System for Spam Detection (2012), International Journal of Artificial Intelligence & Applications (IJAIA), Vol. 3, No. 1, pp. 83-94.
3. Коромыслов Н. А. О применении нечеткого отрицательного отбора для обнаружения инцидентов информационной безопасности в многопараметрических системах // Решетневские чтения : материалы XVIII Междунар. науч. конф. (11-14 ноября 2014, г. Красноярск) : в 3 ч. Ч. 2 / под общ. ред. Ю. Ю. Логинова ; Сиб. гос. аэрокосмич. ун-т. Красноярск, 2014. С. 316-318.
4. Жуков В. Г., Жукова М. Н., Коромыслов Н. А. Применение нечетких искусственных иммунных систем в задаче построения адаптивных самообучающихся средств защиты информации // Вестник СибГАУ. 2012. № 1 (41). С. 18-23.
5. Коромыслов Н. А. Об обнаружении инцидентов информационной безопасности в системах со многими параметрами модифицированным алгоритмом отрицательного отбора // Фундаментальные и прикладные аспекты компьютерных технологий и информационной безопасности : сб. ст. I Всерос. науч.-техн. конф. молодых ученых, аспирантов и студентов ; Южный федер. ун-т, 2015. С.205-208.
© Коромыслов Н. А., 2015
