CC BY
14Методы и средства защиты информации
размерности, состоящей из решетки нейронов. Важным свойством алгоритма самоорганизующихся карт Кохонена является и то, что в нем все нейроны упорядочены в некоторую структуру (обычно двумерную сетку) [1].
У самоорганизующихся карт есть ряд областей применения. Наибольший интерес с практической точки зрения представляет анализ данных с целью поиска закономерностей и проведения кластеризации данных. Анализ данных с помощью самоорганизующихся карт основан на том, что они позволяют представить множество объектов, заданных в многомерном пространстве, в виде двумерных карт, причем близко расположенным в многомерном пространстве объектам соответствуют близко расположенные точки на плоской карте. Если имеется множество из сотен или тысяч объектов, каждый из которых описывается как минимум несколькими свойствами, то проанализировать это множество на наличие закономерностей и аномалий весьма сложно, поэтому можно провести обучение самоорганизующейся карты и получить на выходе достаточно наглядные двумерные карты, которые легко проанализировать визуально.
Отличительные особенности применения самоорганизующихся карт Кохонена в области анализа инцидентов информационной безопасности заключают -ся в следующем:
- обучение нейросети происходит «без учителя» на основе только входных данных, т. е. для проведе-
ния анализа данных не нужно быть специалистом в области искусственного интеллекта;
- наглядное представление результатов осуществляется в виде цветных двумерных карт, на которых схожие в исходном пространстве инциденты оказываются рядом;
- использование нейросетевых алгоритмов позволяет выявлять скрытые закономерности в данных об инцидентах информационной безопасности, которые могут остаться без внимания при использовании только статистических методов.
Таким образом, проведение кластерного анализа инцидентов информационной безопасности с помощью нейросетевых технологий с обучением «без учителя» позволит перейти к интеллектуальному анализу результатов работы средств защиты информации и повысить их эффективность путем отражения найденных скрытых закономерностей в политике их работы. Это означает своевременное нахождение аномалий сетевой активности, ведение поиска следов деятельности «инсайдеров», быстрое реагирование в борьбе с вирусами и незапрашиваемой электронной корреспонденцией.
Библиографическая ссылка
1. Дебок Г., Кохонен Т. Анализ финансовых данных с помощью самоорганизующихся карт : пер. с англ. М. : Альпина, 2001.
A. I. Verkhorubov, V. G. Zhukov Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
ABOUT PROBLEM OF CLUSTER ANALYSIS OF INFORMATION SECURITY INCIDENTS
The authors consider application of self-organizing Kohonen maps for the problem of cluster analysis of information security incidents.
© Верхорубов А. И., Жуков В. Г., 2011
УДК 004.056
Б. В. Волошин, В. Г. Жуков
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
О ПРИМЕНЕНИИ ДЕЦЕНТРАЛИЗОВАННЫХ МНОГОАГЕНТНЫХ СТОХАСТИЧЕСКИХ СИСТЕМ В ЗАДАЧЕ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ
Описывается возможность применения децентрализованных многоагентных стохастических систем для решения задач информационной безопасности автоматизированных систем. Также рассматриваются преимущества, недостатки многоагентных систем и называются проблемы, мешающие их эффективному применению. Предлагаются решения перечисленных проблем.
Многоагентные системы являются одним из перспективных направлений искусственного интеллекта, которые для решения сложной задачи или проблемы используют множества взаимодействующих между
собой агентов. В многоагентных системах весь спектр задач по определенным правилам распределяется между агентами, каждый из которых считается членом организации или группы. Распределение заданий оз-
Решетневскце чтения
начает присвоение каждому агенту некоторой роли, сложность которой определяется исходя из возможностей и характеристик агента.
В данной работе рассматривается задача обнаружения инцидентов информационной безопасности и своевременного адекватного реагирования на них в рамках решения более общей задачи обеспечения информационной безопасности автоматизированных систем.
В предлагаемом подходе на каждую автоматизированную систему устанавливаются агенты, осуществляющие контроль над параметрами, которые характеризуют состояние информационной безопасности. Контролируемые параметры предполагается разделить на три уровня: сетевой, системный и уровень приложений. В зависимости от того, на каком уровне контролируемых параметров происходит инцидент, принимается решение об адекватном блокировании, соответственно хоста сети, системы или приложения.
Агенты также отвечают за безопасность друг друга, отслеживая происходящие в системе события, взаимодействуя между собой и внешней средой [1]. Автоматизированные системы в процессе функционирования обмениваются специальными сообщениями, которые несут в себе информацию о состояниях известных им агентов и возможных угрозах с их стороны либо со стороны узлов сети. Обмен сообщениями должен происходит периодически в штатных ситуациях и немедленно при возникновении аномальных.
Каждый агент должен иметь возможность модифицировать свое поведение в зависимости от характера и содержания анализируемой им информации. Кроме того, необходимо реализовать собственные механизмы коммуникации с другими агентами на базе существующих.
Для эффективной работы системы защиты информации, функционирующей вышеописанным образом, необходимо решить следующие проблемы:
- проблему обеспечения целостности и непротиворечивости информации, которой обмениваются агенты в процессе функционирования;
- проблему защиты агента от навязывания ложной информации агентом-шпионом либо некорректно функционирующим агентом;
- проблему разрешения возникающих между агентами конфликтов.
В рамках решения проблемы целостности и непротиворечивости информации, которой обмениваются агенты, предлагается использовать защищенные версии коммуникационных протоколов на базе крипто-
стойких алгоритмов шифрования. Для решения проблем навязывания ложной информации и разрешения конфликтов между агентами предлагается производить опрос о наличии неподтвержденной информации у агентов-соседей, в случае подтверждения данной информации она переходит в категорию достоверной, иначе актуальной считается информация, помеченная более поздним временем.
Так как агенты используют программно-аппаратное обеспечение пользователей организации, то необходимо вести контроль используемых ресурсов. В противном случае деятельность агентов может препятствовать комфортной работе пользователей.
Отметим преимущества децентрализованных мно-гоагентных систем защиты информации:
- отсутствие центрального узла;
- возможность реагирования на изменения внешних факторов; приоритет принятия решений теми агентами, которые владеют более актуальной и достоверной информацией; устранение различных согласований и утверждений;
- распад системы на несколько независимо функционирующих сегментов при выходе из строя промежуточных узлов сети;
- отсутствие необходимости приобретения специализированного аппаратного обеспечения, так как используются ресурсы автоматизированных систем.
Системы данного класса обладают и недостатками, к которым относятся:
- сложность реализации взаимодействия агентов и разрешения конфликтов;
- возможность возникновения ошибок первого и второго рода;
- нагрузка на аппаратное обеспечение автоматизированных систем.
Таким образом, предложено решение задачи обнаружения инцидентов информационной безопасности путем применения децентрализованных многоагент-ных стохастических систем, рассмотрены пути решения проблем, возникающих при функционировании систем защиты информации данного класса.
Библиографическая ссылка
1. Маслобоев А. В., Путилов В. А. Разработка и реализация механизмов управления информационной безопасностью мобильных агентов в распределенных мультиагентных информационных системах // Вестник МГТУ. 2010. Т. 13. № 4/2. С. 1015-1032.
B. V. Voloshin, V. G. Zhukov Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
APPLICATION OF STOCHASTIC DECENTRALIZED MULTIAGENT SYSTEMS IN ENSURING THE INFORMATION SECURITY AUTOMATED SYSTEMS
The authors describe the possibility of decentralized multi-agent stochastic systems for solution of automated systems information security tasks, consider their advantages, disadvantages and problems to be solved for effective application. And propose .solutions of these problems.
© Волошин Б. В., Жуков В. Г., 2011
