CC BY
27Методы и средства защиты информации
возможно присвоить весовые коэффициенты подобным образом, так как ни один из детекторов не соответствует штатной работе автоматизированной системы (все такие детекторы отброшены на этапе генерации детекторов) и нельзя заранее предсказать, какой из детекторов обнаружит отклонения от штатного режима функционирования.
Предлагается ввести систему весовых коэффициентов, которая будет функционировать следующим образом:
1) при первой генерации детекторов всем детекторам присваивается некий весовой коэффициент;
2) в случае обнаружения инцидента информационной безопасности при помощи детектора весовой коэффициент этого детектора увеличивается;
3) через заданные промежутки времени весовые коэффициенты уменьшаются;
4) в случае, если весовой коэффициент стал ниже порогового значения, этот детектор исключается из набора детекторов;
5) если в наборе детекторов их число становится меньше заданного, то генерируется необходимое для заполнения набора количество детекторов по тем же правилам, что и предыдущие детекторы и
им присваивается начальное значение весового коэффициента.
Таким образом, те детекторы, которые обнаруживают инциденты информационной безопасности, будут дольше оставаться в наборе детекторов, в то время как остальные детекторы будут обновляться. Также возможна вариация такой системы, в которой детекторы, обнаруживающие инциденты информационной безопасности, не будут удаляться из набора вообще.
Основными действиями для развития этого направления являются установление наилучшего начального значения весовых коэффициентов, размеры увеличения и уменьшения весов и временного промежутка, через который будет изменяться весовой коэффициент.
Библиографические ссылки
1. Forrest S., Perelson A. S., Allen L., Cherukuri R. Self-Nonself Discrimination in a Computer // Proc. of IEEE Symp. on Research in Security and Privacy, Oakland
2. Oda T., White T. Spam Detection using an Artificial Immune System // Crossroads Magazine, 2004
V. G. Zhukov, M. N. Zhukova, N. A. Koromyslov Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
TO APPLICATION OF WEIGHTS IN THE PROBLEM OF INCREASE IN EFFICIENCY ARTIFICIAL IMMUNE SYSTEMS OF DETECTION OF INFORMATION SECURITY INCIDENTS
The problem of creating an optimal set of detectors to determine information security incidents and possibility of their solution through the introduction of weights is examined.
© Жуков В. Г., Жукова М. Н., Коромыслов Н. А., 2012
УДК 004.056
В. Г. Жуков, А. А. Шаляпин
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
О ПРЕЦЕДЕНТНОМ АНАЛИЗЕ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Рассматривается применение прецедентного анализа при решении задачи классификации инцидентов информационной безопасности.
В соответствии с международным стандартом 180/1ЕС 27001:2005, а также другими стандартами в области защиты информации, система менеджмента информационной безопасности является важным элементом при обеспечении непрерывности бизнес-процессов организации. Необходимой составляющей системы менеджмента информационной безопасности является процесс управления инцидентами - в общем случае цикличный процесс, основные стадии которого отображает модель РБСА (Р^п-Бо-СИеск-АС:, модель непрерывного улучшения процессов). Согласно
стандарту ISO 27001 классическая модель включает четыре стадии, к которым относятся [1]: идентификация инцидента информационной безопасности, реагирование на инцидент информационной безопасности, расследование, корректирующие и превентивные мероприятия.
На втором этапе данного цикла существует актуальная проблема оперативного реагирования на возникающие инциденты. Необходимо решить, какую стратегию из множества определенных выбрать, либо
Решетневскце чтения
определить, что подходящей стратегии не существует и ее необходимо сформировать.
Концепция применения прецедентного анализа для совершенствования процесса управления инцидентами информационной безопасности на этапе принятия решения при определении стратегии реагирования заключается в следующем: имеется множество G известных инцидентов, множество R определенных стратегий реагирования. Отображение G ® R есть прецедент. Суть же прецедентного анализа заключается в поиске решения для нового инцидента по аналогии (от частного к частному).
При регистрации нового инцидента для него находится подобный прецедент, после чего решение прецедента применяется для данного инцидента. Инциденты, которые не были известны ранее и для которых нет определенной стратегии реагирования, будем называть аномальными инцидентами.
В общем случае вывод на основе прецедентов включает четыре основных этапа, образующих цикл рассуждения - CBR-цикл (Case Based Reasoning, вывод на основе прецедентов). Предлагаемая концепция рассматривает сокращенный CBR-цикл, охватывающий первые два этапа [2]: извлечение, т. е. нахождение подобных прецедентов и повторное использование стратегий. С учетом этого прецедентный анализ сводится к классификации инцидентов на «нормальные» и «аномальные» исходя из количества выявленных аналогий, определяемых на основе признака подобия: G = {gi,..., gn} - множество прецедентов; gi = (xj,..., xp,r) - единичный прецедент; k = (xj,..., xp) - зарегистрированный инцидент; F (gi, kj) - функция подобия;
Gi = {gi- : F(gj, kj) < dlim } - множество подобных
прецедентов. Таким образом, условие отнесения инцидента к множеству прецедентов формулируется следующим образом:
kj 6 G « |Gj| > Piim .
Как видно, результат классификации напрямую зависим от предельного расстояния dlim и предельного количества аналогий plim . Выбор данных параметров весьма противоречив. С одной стороны, увеличение предельного числа обнаруженных аналогий повышает достоверность классификации, но при этом границы между классами становятся менее четкими. Уменьшение же предельного расстояния также при-
водит к более точной классификации, но увеличивает вероятность ошибок 2-го рода.
Прецедентный анализ включается в процесс управления инцидентами следующим образом:
1) после регистрации инцидента проводится его нормализация;
2) инициализируются параметры алгоритма. В качестве метрики выбрано расстояние Евклида, т.к. не известно влияние каждого параметра на принадлежность инцидента к определенному классу. Предельное расстояние принято за среднее расстояние по классу. Предельное значение аналогий определено таким образом, чтобы для каждого класса максимальное число распознанных аномалий соответствовало минимальному количеству ошибок 1-го рода;
3) для инцидента определяется количество аналогий в классе; если количество аналогий не меньше предельного значения, то инцидент считается нормальным и к нему применяется стратегия наиболее близкого прецедента;
4) в противном случае, заключается, что инцидент аномальный и он подвергается детальному анализу.
Для исследования эффективности предложенного подхода были использованы данные «Kdd Dataset'99». Анализ различных выборок из базы инцидентов показал эффективность предлагаемого механизма совершенствования процесса управления инцидентами информационной безопасности на этапе принятия решения при определении стратегии реагирования.
Преимущества применения прецедентного анализа заключаются в возможности повторно применять накопленный опыт и в сокращении времени поиска сценариев реагирования для аналогичных инцидентов.
Предложенная концепция позволяет решить задачу обнаружения аномальных инцидентов, требующих детального изучения сложившейся ситуации и автоматизировать процесс получения решения для инцидентов, знания о которых содержатся в базе прецедентов.
Библиографические ссылки
1. Управление событиями и инцидентами ИБ [Электронный ресурс]. URL: http://www.ussc.ru/ services/22/83/ (дата обращения 15.03.2012).
2. Концепция построения прецедентной экспертной системы / А. Ф. Берман [и др.] // Материалы XII междунар. конф. по вычислительной механике и современным прикладным программным системам. М., 2003. Т. 2. С. 110-111.
V. G. Zhukov, A. A. Shalyapin Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
CASE BASED ANALYSIS OF INFORMATION SECURITY INCIDENTS
The applications of case based analysis to solve the problem of information security incident classification are reviewed.
© Жуков В. Г., Шаляпин А. А., 2012
