CC BY
30Методы и средства защиты информации
УДК 519.688
В. Г. Жуков, Н. Ю. Паротькин
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
О ПРИМЕНЕНИИ ДИФФЕРЕНЦИРОВАННОГО ГЕНЕТИЧЕСКОГО АЛГОРИТМА ПРИ ОБНАРУЖЕНИИ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Рассматривается процедура автоматизации процесса обнаружения инцидентов информационной безопасности путем решения сложной задачи оптимизации применением дифференцированного генетического алгоритма на базе данных журнала аудита информационной системы.
Современное развитие вычислительной техники и телекоммуникационных технологий делает затруднительным непосредственное отслеживание всех параметров информационной системы, описывающих в режиме реального времени ее защищенность от внешнего информационного пространства и надежность функционирования. Для анализа состояния системы применяется запись динамических изменений всех значений ее параметров функционирования в базу данных или файлы. Вследствие этого для определения состояния системы за некоторый промежуток времени аналитику, отвечающему за ее безопасность, необходимо обработать десятки или сотни мегабайт данных, что является крайне трудной задачей в силу ограниченности временных ресурсов и периодического характера данной процедуры.
Следовательно, необходимо создать систему автоматического анализа событий в журнале аудита для выявления аномалий в сетевом трафике, поведении пользователей и т. п. Другими словами, необходимо реализовать пассивную систему обнаружения инцидентов информационной безопасности на основе журнала аудита.
В качестве концептуальной модели системы обнаружения инцидентов предлагается использовать модель GAS-SATA (Genetic Algorithm as an Alternative Tool for Security Audit Trails Analysis) [1], дающую возможность выявлять инциденты информационной безопасности путем анализа журнала аудита информационной системы. Принцип обнаружения инцидентов в данной модели сводится к решению оптимизационной задачи, которая является NP-полной. Для ее решения автором модели было предложено применение классического генетического алгоритма (ГА). Возможные решения представляют собой индивиды, над которыми осуществляются операции эволюционного поиска, в результате чего происходит целенаправленный поиск оптимального решения в виде вектора H размерностью, равной числу потенциальных инцидентов, которые должна выявлять система обнаружения атак (СОА). В качестве критерия оценки качества найденных решений используется целевая функция F(H) (функция пригодности), чье значение максимально для оптимального решения.
В рассматриваемой модели при ее оптимизации классическим генетическим алгоритмом, как отмечает сам автор, есть ряд недостатков. Для их устранения предлагается в качестве оптимизационной процедуры
использовать дифференцированный ГА [2], который обладает рядом преимуществ по сравнению с классическим.
Во-первых, с увеличением количества возможных инцидентов информационной безопасности свыше 100 скорость работы классического ГА становится низкой [1]. Использование же дифференцированного ГА, чья эффективность по показателю надежности до 6 раз больше, чем у классического ГА [2], позволит нивелировать данную проблему.
Во-вторых, из-за особенностей дифференцированного ГА в конце его работы будут доступны несколько апробированных вариантов значений вектора H, обладающих наибольшей пригодностью. Это позволит оценить различные комбинации предполагаемых инцидентов, наилучшим образом объясняющих набор событий, зарегистрированных в журнале аудита.
В-третьих, дифференциация популяции на два типа позволит также повысить эффективность для данной задачи, поскольку сохранение векторов H, обладающих не максимальной пригодностью, но достаточно долго остающихся в популяции, и использование их для получения новых решений будет приводить к нахождению инцидентов, характеризующихся средним или низким уровнем риска. Это позволит избежать стагнации популяции при обнаружении инцидентов с высоким уровнем риска, что характерно для классического ГА.
Приведенные выше особенности дифференцированного ГА позволяют говорить о создании модели DGAS-SATA (Differentiated Genetic Algorithm as an Alternative Tool for Security Audit Trails Analysis). Обобщенный алгоритм работы предлагаемой системы обнаружения инцидентов информационной безопасности будет сводиться к следующим шагам.
1. Генерируется множество векторов H, содержащих гипотезу о возможных произошедших инцидентах. Данное множество будет являться популяцией решений в дифференцированном ГА.
2. С помощью функции F(H) на основе журнала аудита, преобразованного в матричный вид, для каждого типа инцидента производится оценка пригодности каждого вектора H (качества объяснения событий).
3. С помощью дифференцированного ГА происходит улучшение найденных решений и поиск новых.
4. В результате работы дифференцированного ГА будет найдена группа таких векторов H, которые мак-
Решетневскце чтения
симально соответствуют значениям показателей в журнале аудита.
5. Производится интерпретация векторов H согласно списку произошедших инцидентов и формируется отчет.
Применение дифференцированного ГА позволит повысить размерность решаемой сложной задачи оптимизации, качество и количество типов обнаруживаемых инцидентов и, таким образом, создать интеллектуальную систему обнаружения инцидентов информационной безопасности DGAS-SATA.
Библиографические ссылки
1. Gassata L. M. A Genetic Algorithm as an Alternative Tool for Security Audit Trails Analysis [Электронный ресурс]. URL: http://www.rennes. supelec.fr/ren/rd/ssir/publis/raid98_me.pdf (дата обращения 15.09.2011).
2. Жуков В. Г., Паротькин Н. Ю. Дифференцированный адаптивный генетический алгоритм // Вестник Новосиб. гос. ун-та. Сер. Информ. технологии. 2011. Т. 9. Вып. 1. С. 5-11.
V. G. Zhukov, N. Yu. Parotkin Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
ABOUT APPLICATION OF THE DIFFERENTIATED GENETIC ALGORITHM AT INFORMATION SECURITY INCIDENTS DETECTION
The authors consider a procedure of detection of process of automation of information security incidents by differentiated genetic algorithm on data base analysis of the audit log information system.
© Жуков В. Г., Паротькин Н. Ю., 2011
УДК 004.056
В. Г. Жуков, Т. С. Хеирхабаров
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
О КОНЦЕПТУАЛЬНОЙ МОДЕЛИ МНОГОАГЕНТНОЙ СИСТЕМЫ ФИЛЬТРАЦИИ НЕЗАПРАШИВАЕМОЙ ЭЛЕКТРОННОЙ КОРРЕСПОНДЕНЦИИ
Рассматривается модель многоагентной системы фильтрации незапрашиваемой электронной корреспонденции. Приводится описание уровней фильтрации и методов фильтрации на каждом из уровней.
На сегодняшний день разработано большое количество методов и средств фильтрации незапрашиваемой электронной корреспонденции, или спама. Большинство из них ориентированы на функционирование в автономном режиме, т. е. решение об отнесении электронного письма к спаму принимается исключительно на основе данных из собственной базы знаний программы-фильтра.
Автономная фильтрация незапрашиваемой электронной корреспонденции эффективна до тех пор, пока в базе знаний фильтров имеются сигнатуры для обнаружения спама определенной тематики и содержания. Как только содержимое принимаемых спам-писем становится отличным от того, на котором осуществлялось формирование базы знаний, фильтр начинает ошибаться. Необходимо сформировать новые сигнатуры или правила фильтрации, чтобы подстро-ить/дообучить фильтр под новый тип спам-писем. Следует отметить, что при автономном режиме фильтрации невозможно быстро выработать новые сигнатуры и правила, так как содержимое и тематика спам-писем меняются от рассылки к рассылке.
Предлагаемый многоагентный подход к фильтрации незапрашиваемой электронной корреспонденции позволит избежать подобных ограничений автономных систем фильтрации. Идея данного подхода заключается в том, что агенты обмениваются между собой информацией из своих баз знаний. В качестве агентов могут выступать как программы-фильтры почтовых клиентов, так и программы-фильтры почтовых серверов. Данный подход уже нашел свое применение у крупных провайдеров услуг электронной почты, однако он может быть применим и в корпоративных системах электронной корреспонденции.
В предлагаемом подходе можно выделить два уровня фильтрации: уровень почтового сервера и уровень почтового клиента. На уровне почтового сервера фильтрация осуществляется сигнатурным методом. Сигнатура однозначно идентифицирует электронное письмо как спам. Предлагается метод выработки сигнатур, основанный на алгоритмах поиска нечетких дубликатов текста. Сигнатуры, полученные по таким алгоритмам, устойчивы к небольшим изменениям содержимого электронных писем. Небольши-
