Научная статья на тему 'О применении искусственных иммунных систем для обнаружения инцидентов информационной безопасности в системах со многими параметрами'

О применении искусственных иммунных систем для обнаружения инцидентов информационной безопасности в системах со многими параметрами Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
242
54
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИСКУССТВЕННЫЕ ИММУННЫЕ СИСТЕМЫ / ARTIFICIAL IMMUNE SYSTEMS / АЛГОРИТМ ОТРИЦАТЕЛЬНОГО ОТБОРА / NEGATIVE SELECTION ALGORITHM / ЗАЩИТА ИНФОРМАЦИИ / INFORMATION SECURITY

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Коромыслов Н. А.

Рассматривается проблема применения принципов иммунитета для обнаружения инцидентов информационной безопасности в системах, содержащих большое количество параметров.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Коромыслов Н. А.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

APPLICATION OF Artificial Immune Systems TO DETECT information Security INCIDENTS in mULTY-parameter systems

The application problem of the immunity principles to detect information security incidents in systems containing a large number of parameters is researched.

Текст научной работы на тему «О применении искусственных иммунных систем для обнаружения инцидентов информационной безопасности в системах со многими параметрами»

Сравнение ПЛИС-реализаций шифра Закревского на основе перестраиваемого автомата и современных блочных и поточных шифров

Шифр Ресурсоёмкость, Slices (S) Производительность, Мбит/с (T) T/S

Закревского (шифрование) 370 298 0,805

Закревского (расшифрование) 365 269 0,737

AES 163 208 1,276

Grain 50 196 3,920

MICKEY 115 233 2,026

Trivium 50 240 4,800

Критерием оценки практической пригодности криптосистемы является эффективность её реализации на ПЛИС в сравнении с ПЛИС-реализациями современных блочных и поточных шифров.

Исследуемая шифросистема была описана на языке VHDL и промоделирована в САПР Xilinx Webpack ISE 14.1 при реализации на ПЛИС Spartan-3 XC3S50, при этом состояния автомата кодировались методом One-Hot.

Оказалось, что процедура расшифрования имеет более низкую производительность, чем процедура шифрования, но при этом также требует несколько меньшего числа ресурсов микросхемы.

В таблице сравниваются результаты реализации шифра Закревского на основе перестраиваемого автомата и современных блочных (представленных шифром AES) и поточных (представленных шифрами-финалистами конкурса eSTREAM, рекомендованными для аппаратной реализации) шифросистем. Результаты реализации AES взяты из работы [2], шифров-финалистов eSTREAM - из работы [3].

Таким образом, шифр Закревского на основе перестраиваемого автомата имеет более высокую производительность, чем блочный шифр AES и аппаратно-ориентированные поточные шифры-финалисты eSTREAM, однако уступает им в ресурсоёмкости. В целом, проведённые исследования показывают, что шифр Закревского на основе перестраиваемого автомата пригоден к использованию на практике.

Библиографические ссылки

1. Тренькаев В. Н. Реализация шифра Закревского на основе перестраиваемого автомата // Прикладная дискретная математика. 2010. № 3. С. 69-77.

2. Rouvroy G., Standaert F. X., Quisquater J. J., Legat J. D. Compact and efficient encryption/decryption module for FPGA implementation of the AES Rijndael very well suited for small embedded applications // Proc. Intern. Conf. Inform. Technology: Coding and Computing. 2004. Vol. 2. P. 583-587.

3. Hwang D., Chaney M., Karanam S., Ton N., Gaj K. Comparison of FPGA-targeted hardware implementations of eSTREAM stream cipher candidates, SASC 2008 Workshop Record. eSTREAM Project. 2008. P. 151-162.

References

1. Trenkaev V. N. // Prikladnaja diskretnaja matematika. 2010, no 3, pр. 69-77.

2. Rouvroy G., Standaert F. X., Quisquater J. J., Legat J. D. Compact and efficient encryption/decryption module for FPGA implementation of the AES Rijndael very well suited for small embedded applications, Proc. Intern. Conf. Inform. Technology: Coding and Computing. 2004, vol. 2, pp. 583-587.

3. Hwang D., Chaney M., Karanam S., Ton N., Gaj K. Comparison of FPGA-targeted hardware implementations of eSTREAM stream cipher candidates, SASC 2008 Workshop Record. eSTREAM Project, 2008, pp. 151-162.

© Ковалев Д. С., 2013

УДК 004.056

О ПРИМЕНЕНИИ ИСКУССТВЕННЫХ ИММУННЫХ СИСТЕМ ДЛЯ ОБНАРУЖЕНИЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СИСТЕМАХ СО МНОГИМИ ПАРАМЕТРАМИ*

Н. А. Коромыслов

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Россия, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31 E-mail: [email protected]

Рассматривается проблема применения принципов иммунитета для обнаружения инцидентов информационной безопасности в системах, содержащих большое количество параметров.

Ключевые слова: искусственные иммунные системы, алгоритм отрицательного отбора, защита информации.

*Работа поддержана грантом Президента молодым кандидатам наук, договор № 14.124.13.473-МК от 04.02.2013.

Решетневскуе чтения. 2013

APPLICATION OF ARTIFICIAL IMMUNE SYSTEMS TO DETECT INFORMATION SECURITY INCIDENTS IN MULTY-PARAMETER SYSTEMS

N. A. Koromyslov

Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russia. E-mail: [email protected]

The application problem of the immunity principles to detect information security incidents in systems containing a large number of parameters is researched.

Keywords: artificial immune systems, negative selection algorithm, information security.

Для обеспечения защиты информации необходимо своевременное обнаружение инцидентов информационной безопасности и реагирование на них. Задача обнаружения инцидентов информационной безопасности сводится к задаче классификации: события требуется отнести либо к штатной работе системы, либо к инцидентам.

Проблема обнаружения инцидентов информационной безопасности заключается в постоянном появлении новых угроз информационной безопасности, которые нельзя выявить сигнатурными методами. Принцип использования поведенческих методов заключается в обнаружении несоответствия между текущим режимом функционирования информационной системы и режимом ее штатной работы. Любое такое несоответствие в рамках поведенческого метода рассматривается как инцидент информационной безопасности. В отличие от сигнатурных, поведенческие методы позволяют выявлять не только известные, но и новые, ранее неизвестные инциденты.

Одним из перспективных подходов в рамках данного направления является разработка алгоритмического обеспечения систем защиты информации, принцип работы которых основан на моделировании механизмов иммунной системы человека, которая обеспечивает защиту организма и представляет собой сложную адаптивную структуру, эффективно использующую различные механизмы защиты от угроз. Основная задача иммунной системы заключается в распознавании молекулярных структур организма и классификации их как «своих» или «чужих». Выявленные чужеродные структуры, в том числе и не существующие в природе, например синтезированные в лаборатории, служат сигналом для активации защитного механизма соответствующего типа [1].

Одним из наиболее распространенных алгоритмов, основанных на принципах функционирования иммунной системы человека, является алгоритм отрицательного отбора, который можно формализовать следующим образом:

1) определим «свое» как совокупность строк длины I над конечным алфавитом, которую необходимо защищать или контролировать. Например, в качестве 5 могут выступать программа, файл данных (любое программное обеспечение) или нормальная форма активности, подразделяемые на подстроки;

2) сгенерируем набор детекторов Я, каждый из которых не должен соответствовать любой строке из 5. Вместо точного, или идеального, соответствия

используем правило частичного соответствия, при котором две строки соответствуют друг другу, если и только если они совпадают, по крайней мере, в г следующих друг за другом позициях, где г - некоторый целочисленный параметр, г < I.

Проверим 5 на предмет изменений путем непрерывного сравнения детекторов из Я с элементами 5. Если хотя бы один из детекторов окажется соответствующим, значит, произошло изменение, поскольку детекторы по определению отобраны так, чтобы не соответствовать любой строке из 5 [2].

В системах со многими параметрами каждое состояние системы (как штатное, так и нештатное) описывается несколькими параметрами. И проблема применения алгоритма отрицательного отбора в том виде, в каком он описан в работе Форрест [2], в том, что нельзя каждое состояние представить в виде строки определенной длины, так как при таком подходе все параметры сливаются в одну строку, и отсутствует работа с отдельными параметрами. Необходимо работать как с каждым параметром по отдельности, так и с их совокупностью.

Предлагается следующая модификация алгоритма для многопараметровых систем:

1) строка генерируется случайным образом так, чтобы по структуре соответствовать строке, описывающей штатное или нештатное состояние системы;

2) каждый параметр строки сравнивается с аналогичным параметром в наборе контролируемых данных, описывающих штатное состояние работы системы. Сравнение происходит по вышеописанному правилу частичного соответствия;

3) детектор признается «схожим» с контролируемыми данными в том случае, если определенный процент параметров этого детектора оказался «схожим» с параметрами какой-либо из контролируемых строк;

4) «схожие» детекторы отбрасываются, остаются только те, что не похожи на штатное состояние работы системы. Таким образом, если новое состояние системы оказывается похожим на какой-либо из детекторов, фиксируется инцидент информационной безопасности.

Такой двухуровневый подход к обнаружению инцидентов позволит:

1) решить проблему порядка параметров, т. е. избежать ситуации, в которой обнаружение инцидента зависит от того, в каком порядке записаны параметры в детекторах и строках, описывающих штатное состояние системы;

2) работать с отдельными параметрами, обнаруживая изменения не только в целой строке состояния, но и в отдельных ее компонентах.

Возможны модификации такой системы на каждом уровне. Целесообразно применять аппарат нечеткой логики [3], весовые коэффициенты [4] и другие приемы для улучшения системы как на уровне отдельных параметров, так и на уровне состояния системы в целом.

Для совмещения сигнатурных и поведенческих методов обнаружения инцидентов информационной безопасности, алгоритм может быть изменен на этапе начального формирования детекторов. Определенный процент строк должен создаваться не случайной генерацией, а модификацией строк, описывающих нештатное поведение системы - инциденты информационной безопасности. Таким образом, часть детекторов будет нацелена на обнаружение уже существующих угроз информационной безопасности, в то время как остальные детекторы будут призваны обнаруживать новые, еще не зафиксированные инциденты. Для внедрения такой модификации необходимо установить процентное соотношение детекторов, использующих сигнатуры известных угроз, и детекторов, сгенерированных, не похожих на стоки, описывающие штатное поведение системы.

Основными действиями для развития этого направления являются установление наилучших пороговых значений при сравнении по правилу частичного соответствия на уровне параметров и при определении процента отличий на уровне состояния системы.

Библиографические ссылки

1. Искусственные иммунные системы и их применение / под ред. Д. Дасгупты ; пер. с англ. под ред. А. А. Романюхи. М. : Физматлит, 2006. 344 с.

2. Forrest S., Perelson A. S., Allen L., Cherukuri R. Self-nonself discrimination in a computer // Proc. of IEEE symposium on Research in Security and Privacy, 1994. pp. 202-212.

3. Коромыслов Н. А., Жуков В. Г., Жукова М. Н. Применение нечетких искусственных иммунных систем в задаче построения адаптивных самообучающихся средств защиты информации // Вестник Сиб-ГАУ. Выпуск 1(41). Красноярск, 2012.

4. Коромыслов Н. А., Жуков В. Г., Жукова М. Н. О применении весовых коэффициентов в задаче повышения эффективности искусственных иммунных систем обнаружения инцидентов информационной безопасности // Решетневские чтения : материалы XVI Междунар. науч. конф., посвященной памяти генерального конструктора ракетно-космических систем академика М. Ф. Решетнева (7-9 ноября 2012, г. Красноярск). Красноярск, 2012.

References

1. Iskusstvennye immunnye sistemy i ih primenenie / Pod red. D. Dasgupty. Per. s angl. pod red. A. A. Romanjuhi. M. : FIZMATLIT, 2006. 344 s.

2. Forrest S., Perelson A. S., Allen L., Cherukuri R. Self-nonself discrimination in a computer // Proc. of IEEE symposium on Research in Security and Privacy, 1994. pp. 202-212.

3. Koromyslov N. A. Primenenie nechetkih iskusstvennyh immunnyh sistem v zadache postroenija adaptivnyh samoobuchajushhihsja sredstv zashhity informacii / Zhukov V. G., Zhukova M. N., Koromyslov N. A. // Vestnik Sibirskogo gosudarstvennogo ajerokosmicheskogo universiteta. Vypusk 1(41). Krasnojarsk: SibGAU, 2012 g.

4. Koromyslov N. A. O primenenii vesovyh kojefficientov v zadache povyshenija jeffektivnosti iskusstvennyh immunnyh sistem obnaruzhenija incidentov informacionnoj bezopasnosti / Zhukov V. G., Zhukova M. N., Koromyslov N. A. // Reshetnevskie chtenija: Materialy XVI Mezhdunarodnoj nauchnoj konferencii, posvjashhennoj pamjati general'nogo konstruktora raketno-kosmicheskih sistem akademika M. F. Reshetneva (7-9 nojabrja 2012, g. Krasnojarsk). Krasnojarsk: SibGAU, 2012 g

© Коромыслов Н. А., 2013

УДК 004.056:378.048.2

ДИФФЕРЕНЦИРОВАННЫЙ ПОДХОД К ПОДГОТОВКЕ СПЕЦИАЛИСТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

И. З. Краснов

ООО «Аутсорс-ИТ» Россия, 660049, г. Красноярск, ул. Урицкого, 61. E-mail: [email protected]

Изложен опыт применения акмеологических технологий в образовательном процессе. Автор приводит теоретическое обоснование, описание методики и результаты использования дифференцированного подхода к обучению специалистов по защите информации.

Ключевые слова: профессиональное обучение, тестирующая программа.

i Надоели баннеры? Вы всегда можете отключить рекламу.