Решетневскце чтения
Библиографические ссылки
1. Чалкин Т. А. О перспективах исследований шифрования по алгоритму ГОСТ 28147-89 с использованием подхода, основанного на теории булевых функций // Актуальные проблемы безопасности информационных технологий : материалы IV Междунар.
науч.-практ. конф. / под общ. ред. О. Н. Жданова, В. В. Золотарева ; Сиб гос. аэрокосмич. ун-т. Красноярск, 2011. С. 17-19.
2. Mister S., Adams C. Practical S-box design // Proc. Workshop in selected areas of cryptography. SAC'96. 1996.
A. V. Vashkevich, O. N. Zhdanov Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
MEASURING BOOLEAN FUNCTION NONLINEARITY BY WALSH TRANSFORM
A basic information about affine functions, the method of measuring nonlinearity in a standard way, the method of measuring nonlinearity using fast Walsh transform are considered.
© Вашкевич А. В., Жданов, О. Н., 2012
УДК 004.056
В. Г. Жуков, М. Н. Жукова, Н. А. Коромыслов
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
О ПРИМЕНЕНИИ ВЕСОВЫХ КОЭФФИЦИЕНТОВ В ЗАДАЧЕ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ ИСКУССТВЕННЫХ ИММУННЫХ СИСТЕМ ОБНАРУЖЕНИЯ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Рассматривается проблема создания оптимального набора детекторов для обнаружения инцидентов информационной безопасности и возможность ее решения при помощи введения весовых коэффициентов.
Одним из актуальных и перспективных для разработки алгоритмического обеспечения поведенческих методов, способных обнаруживать инциденты информационной безопасности в рамках автоматизированных систем, являются методы, основанные на принципах работы иммунной системы, так как сам принцип работы иммунной системы и свойства, которыми она характеризуется, максимально ориентированы на решение задачи обнаружения инцидентов информационной безопасности.
Одним из наиболее распространенных алгоритмов, основанных на принципах функционирования иммунной системы человека, является алгоритм отрицательного отбора, построенный на основе принципов распознавания «своего» и «чужого» в системе иммунитета, который можно формализовать следующим образом:
1) определим «свое» как совокупность £ строк длины I над конечным алфавитом, которую необходимо защищать или контролировать. Например, в качестве £ могут выступать программа, файл данных (любое программное обеспечение) или нормальная форма активности, подразделяемые на подстроки;
2) образуем набор детекторов Я, каждый из которых не должен соответствовать любой строке в £. Вместо точного, или идеального, соответствия используем правило частичного соответствия, при котором две строки соответствуют друг другу, если и
только если они совпадают, по крайней мере в г следующих друг за другом позициях, где г - некоторый целочисленный параметр.
Проверим £ на предмет изменений путем непрерывного сравнения детекторов из Я с элементами £. Если хотя бы один из детекторов окажется соответствующим, значит, произошло изменение, поскольку детекторы по определению отобраны так, чтобы не соответствовать любой строке из £ [1].
Система обнаружения инцидентов должна приспосабливаться к изменениям, происходящим в режиме штатной работы автоматизированной системы. Так как количество возможных детекторов велико (напрямую зависит от длины контролируемой строки и используемого алфавита), сгенерированные случайным образом детекторы не обязательно будут лучшим набором для обнаружения инцидентов.
Одним из способов разрешения этой проблемы является применение весовых коэффициентов. Возможность применения весовых коэффициентов в иммунных системах рассматривалась в работе, посвященной применению искусственных иммунных систем в системе фильтрации спама [2]. В ней предлагается каждому детектору присваивать 2 типа значений - количество «спама» и количество легитимных сообщений, соответствующее детектору.
Система, основанная на принципах отрицательного отбора отличается от предложенной тем, что не-
Методы и средства защиты информации
возможно присвоить весовые коэффициенты подобным образом, так как ни один из детекторов не соответствует штатной работе автоматизированной системы (все такие детекторы отброшены на этапе генерации детекторов) и нельзя заранее предсказать, какой из детекторов обнаружит отклонения от штатного режима функционирования.
Предлагается ввести систему весовых коэффициентов, которая будет функционировать следующим образом:
1) при первой генерации детекторов всем детекторам присваивается некий весовой коэффициент;
2) в случае обнаружения инцидента информационной безопасности при помощи детектора весовой коэффициент этого детектора увеличивается;
3) через заданные промежутки времени весовые коэффициенты уменьшаются;
4) в случае, если весовой коэффициент стал ниже порогового значения, этот детектор исключается из набора детекторов;
5) если в наборе детекторов их число становится меньше заданного, то генерируется необходимое для заполнения набора количество детекторов по тем же правилам, что и предыдущие детекторы и
им присваивается начальное значение весового коэффициента.
Таким образом, те детекторы, которые обнаруживают инциденты информационной безопасности, будут дольше оставаться в наборе детекторов, в то время как остальные детекторы будут обновляться. Также возможна вариация такой системы, в которой детекторы, обнаруживающие инциденты информационной безопасности, не будут удаляться из набора вообще.
Основными действиями для развития этого направления являются установление наилучшего начального значения весовых коэффициентов, размеры увеличения и уменьшения весов и временного промежутка, через который будет изменяться весовой коэффициент.
Библиографические ссылки
1. Forrest S., Perelson A. S., Allen L., Cherukuri R. Self-Nonself Discrimination in a Computer // Proc. of IEEE Symp. on Research in Security and Privacy, Oakland
2. Oda T., White T. Spam Detection using an Artificial Immune System // Crossroads Magazine, 2004
V. G. Zhukov, M. N. Zhukova, N. A. Koromyslov Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
TO APPLICATION OF WEIGHTS IN THE PROBLEM OF INCREASE IN EFFICIENCY ARTIFICIAL IMMUNE SYSTEMS OF DETECTION OF INFORMATION SECURITY INCIDENTS
The problem of creating an optimal set of detectors to determine information security incidents and possibility of their solution through the introduction of weights is examined.
© Жуков В. Г., Жукова М. Н., Коромыслов Н. А., 2012
УДК 004.056
В. Г. Жуков, А. А. Шаляпин
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
О ПРЕЦЕДЕНТНОМ АНАЛИЗЕ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Рассматривается применение прецедентного анализа при решении задачи классификации инцидентов информационной безопасности.
В соответствии с международным стандартом 180/1ЕС 27001:2005, а также другими стандартами в области защиты информации, система менеджмента информационной безопасности является важным элементом при обеспечении непрерывности бизнес-процессов организации. Необходимой составляющей системы менеджмента информационной безопасности является процесс управления инцидентами - в общем случае цикличный процесс, основные стадии которого отображает модель РБСА (Р^п-Бо-СИеск-АС:, модель непрерывного улучшения процессов). Согласно
стандарту ISO 27001 классическая модель включает четыре стадии, к которым относятся [1]: идентификация инцидента информационной безопасности, реагирование на инцидент информационной безопасности, расследование, корректирующие и превентивные мероприятия.
На втором этапе данного цикла существует актуальная проблема оперативного реагирования на возникающие инциденты. Необходимо решить, какую стратегию из множества определенных выбрать, либо