Научная статья на тему 'О применении нечеткого отрицательного отбора для обнаружения инцидентов информационной безопасности в многопараметрических системах'

О применении нечеткого отрицательного отбора для обнаружения инцидентов информационной безопасности в многопараметрических системах Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
67
20
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИСКУССТВЕННЫЕ ИММУННЫЕ СИСТЕМЫ / ARTIFICIAL IMMUNE SYSTEMS / АЛГОРИТМ ОТРИЦАТЕЛЬНОГО ОТБОРА / NEGATIVE SELECTION ALGORITHM / НЕЧЕТКАЯ ЛОГИКА / FUZZY LOGIC / ЗАЩИТА ИНФОРМАЦИИ / INFORMATION SECURITY

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Коромыслов Н. А.

Рассматриваются модификации алгоритма отрицательного отбора при помощи многоуровневого подхода использования записей об угрозах в качестве детекторов и нечеткой логики для эффективного применения его в системах со многими параметрами.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

APPLICATION OF FUZZY negative selection algorithm to DETECT information Security INCIDENTS in MULTY-PARAMETER systems

The modification of the negative selection algorithm by using a tiered approach the use of records of threats as detectors and fuzzy logic to effective application in systems containing a large number of parameters is researched.

Текст научной работы на тему «О применении нечеткого отрицательного отбора для обнаружения инцидентов информационной безопасности в многопараметрических системах»

ченный орган (УО), администраторы системы. Привилегии ролей сопоставлены различным частям программного интерфейса (API) протокола ptransport. Использование данной модели безопасности позволяет гибко разграничивать права доступа.

Разработанная система имеет клиент-серверную архитектуру. В качестве клиентов используются программное обеспечение АИС «Муниципальный заказчик» и АИС «Мониторинг движения документов», входящие в состав АСП МЗ. Данные программные комплексы обеспечивают подготовку, формирование и согласование документации по закупкам для муниципальных организаций. Программное обеспечение сервера шлюза работает под управлением операционной системы Microsoft Windows Server с использованием Internet Information Services (IIS). Система использует реляционную СУБД PostgreSQL.

Реализованная система успешно решает поставленные задачи. В системе используется комплекс мер для обеспечения информационной безопасности. В настоящее время система ptransport находится в режиме промышленной эксплуатации и используется в составе комплекса АСП МЗ для поддержки процессов планирования и осуществления закупок для муниципальных нужд города Красноярска. За 2013 г. с помощью системы проведено 3 360 процедур на общую сумму более 12 млрд руб., при этом экономия бюджета составила 1,3 млрд руб. Использование системы позволяет повысить эффективность работы органов муниципального управления, а также обеспечивает прозрачность на всех этапах формирования бюджета муниципальных организаций города Красноярска.

Библиографические ссылки

1. Kaspersky Security Bulletin 2013. Основная статистика [Электронный ресурс]. URL: http://media.

kaspersky.com/pdf/KSB_2013_RU.pdf (дата обращения: 10.09.2014).

2. Щербенин В. Ф. [и др.] Комплексная автоматизированная поддержка подготовки, размещения и контроля муниципальных заказов // Проблемы информатизации региона : материалы 10-й Всерос. науч.-практ. конф. В 2 т. Т. 1 / Сиб. федер. ун-т ; Политехн. ин-т. Красноярск, 2007. С. 3-11.

3. Open Web Application Security Project Top 10 2013 [Электронный ресурс]. URL: https://www.owasp.org/ index.php/Top_ 10_2013 (дата обращения: 10.09.2014).

4. Кононов Д. Д., Исаев С. В. Модель безопасности кроссплатформенных веб-сервисов поддержки муниципальных закупок // Прикладная дискретная математика. Приложение. 2011. № 4. С. 48-50.

References

1. Kaspersky Security Bulletin 2013. Overall statistics [Electronic resource]. URL: http://media.kaspersky.com/pdf/KSB_2013_EN.pdf (access date: 10.09.2014).

2. Sherbenin V. F., Luzan N. F., Nozhenkova L. F., Isaeva O. C., Zhuchkov D. V. Integrated automated support for planning, placement and control of municipal orders. Proc. of the 10-th all-Russian scientific practical conference Problems of Informatization of the region in 2 volumes, vol. 1, Krasnoyarsk, Sib. Feder. Un-t, Politech. in-t, 2007, p. 3-11.

3. Open Web Application Security Project Top 10 2013 [Electronic resource]. URL: https://www.owasp.org/ index.php/Top_ 10_2013 (access date: 10.09.2014).

4. Kononov D. D., Isaev S. V. The security model of cross-platform web services for municipal procurement support. Discrete applied mathematics, appendix, 2011, no. 4, p. 48-50.

© Кононов Д. Д., 2014

УДК 004.056

О ПРИМЕНЕНИИ НЕЧЕТКОГО ОТРИЦАТЕЛЬНОГО ОТБОРА ДЛЯ ОБНАРУЖЕНИЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В МНОГОПАРАМЕТРИЧЕСКИХ СИСТЕМАХ*

Н. А. Коромыслов

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31

E-mail: [email protected]

Рассматриваются модификации алгоритма отрицательного отбора при помощи многоуровневого подхода -использования записей об угрозах в качестве детекторов и нечеткой логики для эффективного применения его в системах со многими параметрами.

Ключевые слова: искусственные иммунные системы, алгоритм отрицательного отбора, нечеткая логика, защита информации.

*Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № НК 13-07-00222\14 от 12.03.2014 г.

Методы и средства защиты информации

APPLICATION OF FUZZY NEGATIVE SELECTION ALGORITHM TO DETECT INFORMATION SECURITY INCIDENTS IN MULTY-PARAMETER SYSTEMS

N. A. Koromyslov

Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russian Federation E-mail: [email protected]

The modification of the negative selection algorithm by using a tiered approach - the use of records of threats as detectors and fuzzy logic to effective application in systems containing a large number ofparameters is researched.

Keywords: artificial immune systems, negative selection algorithm, fuzzy logic, information security.

Своевременное обнаружение инцидентов информационной безопасности и оперативное реагирование на них - одна из важнейших задач обеспечения информационной безопасности. Стоит отметить, что глобально все инциденты можно разделить на известные и неизвестные. Таким образом, современная система обнаружения инцидентов должна успешно обнаруживать инциденты обоих типов, т. е. должна сочетать в себе и сигнатурные, и эвристические методы обнаружения.

Иммунная система человека способна обнаруживать как известные патогены, так и новые, информации о которых у системы не было. В основе этой способности лежит механизм отрицательного отбора, суть которого заключается в том, что создаваемые лимфоциты проверяются на соответствие «своим» клеткам и в случае положительного результата уничтожаются. Таким образом, остаются только лимфоциты, которые не реагируют на «свои» клетки, только на «чужие». Этот механизм положен в основу алгоритма отрицательного отбора [1]. Критерием похожести в исходном описании алгоритма выступает частичное соответствие, т. е. соответствие n подряд идущих символов в строках. Случайным образом генерируются детекторы, которые проверяются на «схожесть» с контролируемыми строками и отбрасываются в случае совпадения со «своей» строкой. В ходе проверки, если строка схожа с детектором, регистрируется инцидент. Следует отметить, что алгоритм отрицательного отбора уже успешно применялся в задачах, связанных с информационной безопасностью, например, при обнаружении компьютерных вирусов [1] или мониторинге процессов в операционной системе UNIX [2].

В информационных системах как системах со многими параметрами принцип работы алгоритма отрицательного отбора должен несколько отличаться, так как необходимо работать как с отдельными параметрами, так и со строкой в целом. Исходный алгоритм можно модифицировать следующим образом для многопараметрических систем:

1) строка генерируется случайным образом так, чтобы по структуре соответствовать строке, описывающей штатное или нештатное состояние системы;

2) каждый параметр строки сравнивается с аналогичным параметром в наборе контролируемых данных, описывающих штатное состояние работы систе-

мы. Сравнение происходит по вышеописанному правилу частичного соответствия;

3) детектор признается «схожим» с контролируемыми данными в том случае, если определенный процент параметров этого детектора оказался «схожим» с параметрами какой-либо из контролируемых строк;

4) «схожие» детекторы отбрасываются, остаются только те, что не похожи на штатное состояние работы системы. Таким образом, если новое состояние системы оказывается похоже на какой-либо из детекторов, фиксируется инцидент информационной безопасности.

Такой двухуровневый подход к обнаружению инцидентов позволит:

1) решить проблему порядка параметров, т. е. избежать ситуации, в которой обнаружение инцидента зависит от того, в каком порядке записаны параметры в детекторах и строках, описывающих штатное состояние системы;

2) работать с отдельными параметрами, обнаруживая изменения не только в целой строке состояния, но и в отдельных ее компонентах [3].

Исходное множество (обучающее) может быть двух типов:

1. Множество записей о штатной работе системы и записей об уже известных инцидентах. При этом детекторы для обнаружения инцидентов информационной безопасности могут быть трех типов. Во-первых, детекторы, сгенерированные случайно и не похожие ни на записи о штатной работе, ни на записи об угрозах. Такие детекторы генерируются по вышеописанным правилам и необходимы для обнаружения новых инцидентов, записей о которых нет. Во-вторых, в качестве детекторов могут выступать сами записи о нештатной работе системы. Таким образом, если проверяемые данные окажутся схожими с таким детектором, можно говорить об обнаружении известного инцидента. И, в-третьих, в случае если имеется большое число записей об угрозах определенного типа, в качестве детекторов могут выступать усредненные значения. Если значения сгруппированы возле нескольких центров, то следует разбить множество записей об угрозе на подмножества и усреднять их по отдельности.

2. Множество записей только о штатной работе системы. Детекторы генерируются случайным обра-

зом для обнаружения неизвестных инцидентов, похожие на исходное множество - отбрасываются.

В обоих случаях в качестве детекторов также могут выступать обнаруженные в ходе работы системы инциденты, что позволит приспосабливаться к их изменениям. Таким образом, в ходе работы системы второй тип исходного множества переходит в первый, так как появляются записи о нештатной работе системы.

Аппарат нечеткой логики в системе обнаружения инцидентов, в основу работы которой положен алгоритм отрицательного отбора, предлагается применять для того, чтобы определять степень принадлежности проверяемых данных к инцидентам или информации о штатной работе системы. Особенно актуальным является применение нечеткой логики на уровне параметра, так как в противном случае потребуется много большее количество детекторов для получения приемлемых результатов [4]. Оперирование такими параметрами, как «близко к x», позволит заменить частичное соответствие на уровне параметра для числовых параметров (например, время соединения, количество переданных пакетов и др.).

Для дальнейшего развития этого направления необходимо установить наилучшие значения входных параметров. Для аппарата нечеткой логики таким параметром является мера близости, требуется определить, при каком значении будет достигнуто оптимальное соотношение процента обнаружений и процента ошибок первого / второго рода. Также необходимо установить лучшее соотношение количества детекторов всех типов для максимизации обнаружения инцидентов информационной безопасности.

Библиографические ссылки

1. Forrest S., Perelson A. S., Allen L., Cherukuri R. Self-nonself discrimination in a computer // Proc. of IEEE symposium on Research in Security and Privacy. 1994. P. 202-212.

2. Forrest S., Hofmeyr S. A., Somayaji A., Longstaff T. A. A sense of self for unix processes // Proc. of IEEE symposium on research in security and privacy. 1996. P. 120-128.

3. Коромыслов Н. А. О применении искусственных иммунных систем для обнаружения инцидентов информационной безопасности в системах со многими параметрами // Решетневские чтения : материалы XVII Междунар. науч. конф., посвященной памяти генерального конструктора ракетно-космических систем академика М. Ф. Решетнева (12-14 ноября 2013, г. Красноярск). В 2 ч. Ч. 2, Красноярск, 2013. С. 299-301.

4. Жуков В. Г., Жукова М. Н., Коромыслов Н. А. Применение нечетких искусственных иммунных систем в задаче построения адаптивных самообучающихся средств защиты информации // Вестник СибГАУ. 2012. Вып. 1(41).

References

1. Forrest S., Perelson A. S., Allen L., Cherukuri R. Self-nonself discrimination in a computer, Proc. of IEEE symposium on Research in Security and Privacy, 1994, pp. 202-212.

2. Forrest S., Hofmeyr S.A., Somayaji A., Longstaff T. A. A sense of self for unix processes, Proc. of IEEE symposium on research in security and privacy, 1996, p. 120-128.

3. Koromyslov N. A. O primenenii iskusstvennyh immunnyh sistem dlja obnaruzhenija incidentov informacionnoj bezopasnosti v sistemah so mnogimi parametrami. Reshetnevskie chtenija: Materialy XVII Mezhdunarodnoj nauchnoj konferencii, posvjashhennoj pamjati general'nogo konstruktora raketno-kosmicheskih sistem akademika M. F. Reshetneva (12-14 nojabrja 2013, g. Krasnojarsk). V 2 chastjah. Chast' 2, pp. 299301. Krasnojarsk, 2013.

4. Zhukov V. G., Zhukova M. N., Koromyslov N. A. Primenenie nechetkih iskusstvennyh immunnyh sistem v zadache postroenija adaptivnyh samoobuchajushhihsja sredstv zashhity informacii. Vestnik Sibirskogo gosudarstvennogo ajerokosmicheskogo universiteta. Vypusk 1(41), pp.18-23. Krasnojarsk, 2012.

© Коромыслов Н. А., 2014

УДК 004.056

О ЗАДАЧЕ МОДЕЛИРОВАНИЯ ИНФОРМАЦИОННОГО РИСКА СИСТЕМ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА

Е. В. Лапина

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31

Е-таП: [email protected]

Представлена методика оценки рисков документооборота. Основой подхода является представление документооборота в виде композитной модели. Информационные риски документооборота рассчитываются по трем основным угрозам: конфиденциальность, целостность и доступность.

Ключевые слова: системы электронного документооборота, модель композитного документооборота, графовая модель, анализ риска, информационный риск.

i Надоели баннеры? Вы всегда можете отключить рекламу.