Решетневскуе чтения. 2014
УДК 004.056
О ВЫБОРЕ ВЕСОВЫХ КОЭФФИЦИЕНТОВ ПАРАМЕТРОВ ПРЕЦЕДЕНТОВ В ЗАДАЧЕ ПРЕЦЕДЕНТНОГО АНАЛИЗА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ*
А. А. Шаляпин, М. М. Соколов
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Е-mail: [email protected], [email protected]
Рассматривается влияние коэффициентов параметров прецедента на эффективность работы системы прецедентного обнаружения и анализа инцидентов информационной безопасности.
Ключевые слова: прецедент, инцидент, предельное расстояние, предельное значение аналогий.
THE CHOICE OF PRECEDENT PARAMETERS IN THE PROBLEM OF PRECEDENT ANALYSIS INFORMATION SECURITY INCIDENTS
A. A. Shalyapin, M. M. Sokolov
Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russian Federation Е-mail: [email protected], [email protected]
The influence of coefficient parameter precedent on the system effectiveness of case detection and analysis of information security incidents are considered.
Keywords: case, incident, limiting distance, limit analogies.
Первым шагом управления инцидентами информационной безопасности, в соответствии с ГОСТ Р ИСО/МЭК 27001-2006 и другими стандартами, является непосредственно регистрация инцидентов. Дальнейшие действия предполагают применение стратегий реагирования для каждого инцидента с учетом класса. На данном этапе можно выделить проблемные ситуация:
- не всегда классификация инцидентов производится корректно;
- не существует единой стратегии реагирования для инцидентов определенного класса в силу того, что каждый инцидент в той или иной мере индивидуален;
- имеют место инциденты, не имевшие место ранее, и, следовательно, для таких инцидентов отсутствуют подходящие стратегии реагирования.
Применение прецедентного анализа позволяет повысить эффективность управления инцидентами при реализации системы менеджмента информационной безопасности, Предложенная концепция позволяет решить главным образом две задачи [1]:
- автоматизируется деятельность лиц, ответственных за управление инцидентами информационной безопасности при определении стратегии реагирования, что позволяет повысить эффективность и ускорить реакцию на возникающие инциденты;
- позволяет обнаружить аномальные инциденты, для которых не существует аналогов в классе и тем самым дать повод для детального анализа таких инцидентов.
Прецедентный анализ основывается на определении функции подобия (метрики) ¥, значение которой определяет сходство прецедента и текущей ситуации [2]:
81М (я, к ) = ^ (в1т( х^ хи),...,81т( х&г, хкр)).
Однако при реализации алгоритмического обеспечения прецедентного анализа, существует не только проблема выбора метрики. Для повышения эффективности алгоритма необходимо учитывать весовые коэффициенты параметров прецедента в процедуре прецедентного анализа инцидентов информационной безопасности. Тогда функция подобия примет вид
ZjwJ ■sim(, xk3)
где ^^ - вес у-го признака; Б1т - локальная функция
подобия у-го признака i-й целевой ситуации и к-го прецедента.
*Работа поддержана грантом Президента РФ молодым кандидатам наук, договор № 14.124.13.473-МК от 04.02.2013 г.
Методы и средства защиты информации
Для расчета коэффициентов параметров прецедента применяется алгоритм на основе регрессионного анализа в матричной форме. Данный подход рассчитывает коэффициенты линейной связи ^^ в (1),
где х^ - значения признаков прецедента; у - рассчитываемая функция. Её матричное уравнение имеет вид (2). Основной недостаток такой методики заключается в том, что метод отыскивает только линейные связи.
п
у = хо + ^1х1 + ^2х2 + • • • + ™пхп = X 3 ; (1)
3=0
В = (хТ х X X Хт X У . (2)
Если для (1) в качестве переменных х^ взять
функцию / (хз), то система матричных уравнений
будет отличаться от исходной только столбцом, изменённым функцией. Тогда в системе уравнений получим константы вместо самих значений х3 .
Таким образом, возможно использовать линейный анализ для нелинейных зависимостей, не зависящих от ^з. Это позволяет значительно усилить метод
анализа.
Таким образом, задача разработки алгоритмического обеспечения системы прецедентного анализа инцидентов информационной безопасности является
более обширной, чем кажется на первый взгляд, и включает локальные подзадачи, такие как:
- нормализация параметров прецедента;
- выбор функции подобия (метрики);
- расчета коэффициентов параметров прецедента;
- выбор предельных значений (расстояния и аналогий) [1], напрямую определяющих результаты классификации.
Библиографические ссылки
1. Шаляпин А. А., Жуков В. Г. Прецедентный анализ инцидентов информационной безопасности // Вестник СибГАУ. 2013. Вып. 2 (48) С. 19-24.
2. Вагин В. Н., Головина Е. Ю., Загорянская А. А., Фомина М. В. Достоверный и правдоподобный вывод в интеллектуальных системах. 2-е изд. / под ред. В. Н. Вагина, Д. А. Поспелова. М. : Физматлит, 2008.
References
1. Shalyapin A. A. Case based analysis of information security incidents [Precedentnyj analiz incidentov informacionnoj bezopasnosti]. Vestnik SibGAU, 2013. Vypusk 2 (48), p. 19-24.
2. Vagin V. N., Golovina E. Ju., Zagorjanskaja A. A., Fomina M. V. Dostovernyj i pravdopodobnyj vyvod v intellektual'nyh sistemah. 2-e izdanie // Pod redakciej V. N. Vagina, D. A. Pospelova. M. : Fizmatlit, 2008.
© Шаляпин А. А., Соколов М. М., 2014