CC BY
41Решетневскце чтения
S. S. Bychkov
Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
MONITORING SYSTEM CLIENT APPLICATIONS IN USAGE OF ELECTRONIC DIGITAL SIGNATURE
When we use cryptographic protection of data, including means of digital signature (hereinafter - EDS), there appears a problem of agent penetration and use of EDS _ for criminal purposes. Certification Authority - a responsible person who must resolve the issues associated with the misuse of EDS, should be the maximum number of detection of possible attacks on digital signature and systems to reduce the risk of clandestine use of electronic signatures. The second problem CA can have a system that provides constant control over the «behavior» of client applications. According to this system of specialists automated certification authority may apply measures to increase/decrease control over the specific client application to the possible revocation or suspension of certificate of EDS.
© ELhKOB C. C., 2011
УДК 004.056
А. И. Верхорубов, В. Г. Жуков
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
О РЕШЕНИИ ЗАДАЧИ КЛАСТЕРНОГО АНАЛИЗА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Рассматривается применение самоорганизующихся карт Кохонена в задаче кластерного анализа инцидентов информационной безопасности.
Инцидентом информационной безопасности называется любое незаконное, неразрешенное (в том числе политикой информационной безопасности) или неприемлемое событие, которое совершается в информационной системе.
Небезопасные события, происходящие внутри информационной системы, фиксируются на уровне приложений или программно-аппаратных средств, и их обнаружение и внесение в единый реестр инцидентов информационной безопасности является на сегодняшний день отлаженной технической процедурой.
Занесение информации о событии в реестр (журнал) информационной безопасности осуществляется в соответствии с регламентом и предполагает хранение исходных данных об инциденте, позволяющих расследовать причины его возникновения. На основе сведений об инциденте осуществляется его категоризация; также инциденту присваивается уровень приоритета, соответствующий значимости события и его возможному влиянию на состояние информационной безопасности.
После обнаружения и регистрации каждый инцидент должен быть подвергнут процедуре анализа. Процедура анализа данных включает анализ файлов протоколов работы, конфигурационных файлов, сообщений электронной почты и прикрепленных файлов, инсталлированных приложений, графических файлов и т. д. Необходимо провести анализ программного обеспечения, поиск по ключевым словам, проверить дату и время регистрации инцидента. Про-
цедура анализа также может включать анализ на «низком» уровне - поиск удаленных файлов и областей, потерянных кластеров, свободного места, а также анализ восстановленных данных с разрушенных носителей (например, по остаточной намагниченности).
При анализе большого количества инцидентов и их совокупности очень трудно быстро выделить аномальные факторы и определить наличие скрытых закономерностей. Организовать многомерные наблюдаемые данные в наглядные структуры возможно с помощью методов кластерного анализа.
Под кластерным анализом понимается задача разбиения исходных данных на поддающиеся интерпретации группы таким образом, чтобы элементы, входящие в одну группу, были максимально «схожи» (по какому-то заранее определенному критерию), а элементы из разных групп были максимально «отличными». При этом число групп может быть заранее неизвестно, также может отсутствовать информация о структуре этих групп.
Для кластерного анализа многомерных данных об инцидентах информационной безопасности предлагается использовать самоорганизующиеся карты Кохо-нена - нейросетевой алгоритм, предполагающий обучение «без учителя». В нейросетевых алгоритмах, предполагающих обучение «с учителем», для нахождения соотношения между данными требуется, чтобы один или более выходов были точно заданы вместе с одним или более входами. Карта, напротив, отображает данные большей размерности на карте меньшей
Методы и средства защиты информации
размерности, состоящей из решетки нейронов. Важным свойством алгоритма самоорганизующихся карт Кохонена является и то, что в нем все нейроны упорядочены в некоторую структуру (обычно двумерную сетку) [1].
У самоорганизующихся карт есть ряд областей применения. Наибольший интерес с практической точки зрения представляет анализ данных с целью поиска закономерностей и проведения кластеризации данных. Анализ данных с помощью самоорганизующихся карт основан на том, что они позволяют представить множество объектов, заданных в многомерном пространстве, в виде двумерных карт, причем близко расположенным в многомерном пространстве объектам соответствуют близко расположенные точки на плоской карте. Если имеется множество из сотен или тысяч объектов, каждый из которых описывается как минимум несколькими свойствами, то проанализировать это множество на наличие закономерностей и аномалий весьма сложно, поэтому можно провести обучение самоорганизующейся карты и получить на выходе достаточно наглядные двумерные карты, которые легко проанализировать визуально.
Отличительные особенности применения самоорганизующихся карт Кохонена в области анализа инцидентов информационной безопасности заключают -ся в следующем:
- обучение нейросети происходит «без учителя» на основе только входных данных, т. е. для проведе-
ния анализа данных не нужно быть специалистом в области искусственного интеллекта;
- наглядное представление результатов осуществляется в виде цветных двумерных карт, на которых схожие в исходном пространстве инциденты оказываются рядом;
- использование нейросетевых алгоритмов позволяет выявлять скрытые закономерности в данных об инцидентах информационной безопасности, которые могут остаться без внимания при использовании только статистических методов.
Таким образом, проведение кластерного анализа инцидентов информационной безопасности с помощью нейросетевых технологий с обучением «без учителя» позволит перейти к интеллектуальному анализу результатов работы средств защиты информации и повысить их эффективность путем отражения найденных скрытых закономерностей в политике их работы. Это означает своевременное нахождение аномалий сетевой активности, ведение поиска следов деятельности «инсайдеров», быстрое реагирование в борьбе с вирусами и незапрашиваемой электронной корреспонденцией.
Библиографическая ссылка
1. Дебок Г., Кохонен Т. Анализ финансовых данных с помощью самоорганизующихся карт : пер. с англ. М. : Альпина, 2001.
A. I. Verkhorubov, V. G. Zhukov Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
ABOUT PROBLEM OF CLUSTER ANALYSIS OF INFORMATION SECURITY INCIDENTS
The authors consider application of self-organizing Kohonen maps for the problem of cluster analysis of information security incidents.
© Верхорубов А. И., Жуков В. Г., 2011
УДК 004.056
Б. В. Волошин, В. Г. Жуков
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
О ПРИМЕНЕНИИ ДЕЦЕНТРАЛИЗОВАННЫХ МНОГОАГЕНТНЫХ СТОХАСТИЧЕСКИХ СИСТЕМ В ЗАДАЧЕ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ
Описывается возможность применения децентрализованных многоагентных стохастических систем для решения задач информационной безопасности автоматизированных систем. Также рассматриваются преимущества, недостатки многоагентных систем и называются проблемы, мешающие их эффективному применению. Предлагаются решения перечисленных проблем.
Многоагентные системы являются одним из перспективных направлений искусственного интеллекта, которые для решения сложной задачи или проблемы используют множества взаимодействующих между
собой агентов. В многоагентных системах весь спектр задач по определенным правилам распределяется между агентами, каждый из которых считается членом организации или группы. Распределение заданий оз-
