УДК 621.322
А. В. Суханов, Г. Ф. Нестерук
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СЕТЕЙ
Информационная безопасность (ИБ) телекоммуникационных систем в значительной степени обеспечивается за счет включения интеллектуальных средств в состав систем защиты информации (СЗИ). Придание отдельным механизмам защиты биоподобных свойств, таких как адаптивность и самоорганизация, свидетельствует о новом этапе в развитии СЗИ — автоматизации обеспечения информационной безопасности систем. Предлагается задачу автоматизации обеспечения ИБ корпоративных сетей решать комплексно с позиций биосистемной аналогии, а именно: аналогии в иерархической организации, иерархии механизмов защиты, структурированном полевом представлении информации и эволюционных процессах наследования, развития, адаптации и отбора.
Ключевые слова: система защиты информации, механизм защиты, средство интеллектуальной защиты, нейронная сеть, иммунная система.
К традиционным средствам обеспечения информационной безопасности (ИБ) корпоративных сетей относят антивирусы, детекторы уязвимостей, межсетевые экраны и детекторы вторжений. Функции подобных средств в достаточной мере специфичны и решают отдельные задачи обеспечения ИБ корпоративной сети и, как правило, могут быть преодолены, особенно при командной работе достаточно квалифицированной группы нарушителей. Подобные группы хорошо осведомлены о возможностях средств защиты, используемых в корпоративной сети, реагируют на регулярные обновления базы уязвимостей широко применяемого программного обеспечения (ПО), публикуемые в специальных изданиях и Интернете, оперативно обмениваются результатами зондирования защиты атакуемой корпоративной сети и гибко изменяют тактику осуществления вторжения [1].
Известны примеры применения средств интеллектуальной защиты, которые в меньшей степени уязвимы для тактических приемов нарушителей, поскольку работа подобных средств защиты основана на выявлении в анализируемой информации скрытых закономерностей — интеллектуальном анализе первичных (входных, „сырых") данных. Достоинством интеллектуальных средств защиты является наличие элементов самоорганизации и эволюции, которые используются для оперативных действий в системах защиты информации (СЗИ) по классификации угроз и нейтрализации последствий вторжения [2].
Автоматизация обеспечения ИБ. Для уменьшения вероятности несанкционированных проникновений в корпоративную сеть в последнее время используются средства автоматизации управления СЗИ, к которым относятся корреляторы событий, системы обновлений, средства зА — аутентификации, авторизации и администрирования, а также и системы управления рисками. Корреляторы событий по результатам анализа системных журналов выделяют признаки атак, системы обновления автоматизируют процедуру оперативного устранения выявленных ошибок и поиска скрытых уязвимостей ПО. Средства зА позволяют управлять идентификационной информацией и допуском пользователей к информационным ресурсам, а системы управления рисками — моделировать и оценивать ожидаемый ущерб от атаки на корпоративную среду, что с успехом решается путем использования интеллектуальных средств нейронных сетей, нечеткой логики и генетических алгоритмов.
Отличительной чертой существующих систем защиты информации является наличие средств идентификации (задача классификации) угроз и оперативной реакции на несанкционированные проникновения в корпоративную сеть (которые соответствуют иммунному уровню защиты в биологических системах), а их общим недостатком — отсутствие уровня иерархии в системах защиты, обеспечивающего накопление и обобщение опыта взаимодействия корпоративной сети с внешней средой (соответствует рецепторному уровню защиты в биологических системах).
На наш взгляд, для успешного решения проблемы автоматизации обеспечения ИБ корпоративной сети необходим комплексный, основанный на биосистемной аналогии, подход и прежде всего иерархическая организация СЗИ с применением интеллектуальных средств как на иммунном (автоматическая идентификация угроз), так и на рецепторном уровне защиты (накопление опыта нейтрализации атак на корпоративную сеть).
Интеллектуальные средства анализа данных и самоорганизация в СЗИ. Основными интеллектуальными средствами для автоматизации обеспечения ИБ являются экспертные системы (ЭС), нейронные сети (НС), нечеткие логические системы (НЛ), гибридные решения, например в виде нейро-нечетких сетей, и эволюционные методы оптимизации параметров информационных полей интеллектуальных средств (см. таблицу).
Характеристика Система
ЭС НЛ НС ГА
Представление знания о • ◊ ♦
Допущение неопределенности в данных о • • •
Допущение неточности данных ◊ • • •
Адаптируемость ◊ ♦ • •
Способность обучения ◊ ◊ • •
Способность объяснения результатов • • ◊ ♦
Выявление знаний и анализ данных ◊ ♦ • о
Надежность в эксплуатации ◊ о • о
Уровень: ◊ — плохой, ♦ — скорее плохой, о — довольно хороший, • — хороший
Сравнение возможностей перечисленных средств позволяет при решении задач интеллектуального анализа данных отдать предпочтение нейро-нечетким системам и генетическим алгоритмам (ГА) в качестве оптимизационной методики [3].
Для реализации механизма самоорганизации в иерархии системы защиты можно использовать самообучающиеся НС, которые способны решать задачу кластеризации входных векторов (задачу автоматического расширения классификации, например, угроз по вектору признаков атаки) при изменении поля угроз. Кластеризация и возможность обучения НС и нейро-нечетких систем позволяют реализовать эволюционные процессы адаптации и развития в системах автоматического обеспечения ИБ.
Эволюционные процессы наследования, адаптации и развития непосредственно связаны с формированием и пополнением базы знаний иерархии СЗИ, информация в которой представляется в виде информационных полей нейронных сетей, т. е. в процессе обучения и последующей эксплуатации системы защиты формируются и постоянно корректируются распределенные избыточные информационные поля иммунного и рецепторного уровней защиты, в которых происходит накопление опыта корпоративной сети.
Аналогия в эволюционных процессах. В биосистемах функции защиты реализуются через:
— внутренние механизмы оперативной реакции на угрозы и дестабилизирующие воздействия, распределенные по уровням иерархии СЗИ;
— долговременные процессы накопления жизненного опыта, носящие эволюционный характер.
Аналогия телекоммуникационных систем с биосистемами в эволюционных процессах основана на реализации в корпоративных сетях механизмов наследования, развития, адаптации и отбора, свойственных биосистемам. Известные интеллектуальные СЗИ, как правило, реализуют только механизмы оперативной реакции и нейтрализации угроз, практически не уделяя внимания координирующей роли, которую играет нервная система — верхний уровень иерархии защиты биологических систем в реализации эволюционного процесса накопления жизненного опыта системы (долговременного запоминания системной информации). В биосистемах имеют место процессы постепенной адаптации иерархической системы защиты.
Таким образом, в корпоративной сети необходимо наличие иерархического уровня накопления жизненного опыта по нейтрализации атак, представленного в форме структурированных информационных полей, удобных для наследования в последующих реализациях СЗИ.
Биосистемная аналогия в представлении информации в форме структурированного информационного поля НС позволяет решить комплекс задач повышения информационной безопасности корпоративной сети за счет распределенного избыточного представления информации, избыточного пространственного программирования и реализации информационных процессов. Биосистемная аналогия в программировании реализуется путем формирования и коррекции распределенных избыточных информационных полей НС, что обеспечивает
— универсальный характер описания интеллектуальных механизмов защиты (МЗ) корпоративной сети в виде информационных полей;
— автоматическую коррекцию информационных полей НС адаптивной системы защиты при изменении поля угроз или условий эксплуатации;
— наследование жизненного опыта по нейтрализации атак путем переноса (копирования) информационных полей системы в последующие модификации и родственные корпоративные сети.
Модель адаптивной защиты информации. По аналогии с биосистемой модель адаптивной системы защиты информации должна содержать взаимосвязанные иммунный и ре-цепторный (см. рисунок) уровни иерархической защиты.
Рецепторный уровень СЗИ
На каждом из иерархических уровней решаются задачи кластеризации и классификации входных векторов: иммунный уровень исходя из нечеткого вектора признаков атак формирует нечеткий выходной вектор угроз ИБ корпоративной сети, а рецепторный уровень исходя из нечеткого вектора угроз — выходные векторы достоверности активности механизмов защиты и уровней СЗИ. В организации каждого из иерархических уровней защиты использована иерархия применяемых интеллектуальных средств. Системы экспертных оценок, обобщающие опыт специалистов конкретных прикладных областей (прежде всего, информационной безопасности), относятся к начальному уровню защиты.
Адаптируемые экспертные оценки служат исходным материалом, в соответствии с которым составляются системы нечетких правил вывода, описывающие порядок формирования классификационных заключений исходя из нечетких входных посылок.
Системам нечетких правил вывода однозначно соответствуют структуры специализированных нейро-нечетких сетей, система межнейронных связей которых (образует информационное поле нейро-нечеткого классификатора) доступна для проведения анализа результатов обучения и эксплуатации данного уровня иерархии СЗИ.
Четкий классификатор в виде самообучающейся нейронной сети, который, как было отмечено выше, решая задачу кластеризации входных векторов, реализует важный механизм автоматизации СЗИ — самоорганизацию иерархии уровней защиты корпоративной сети. Механизм самоорганизации относится к завершающемуся уровню защиты, используемому при автоматическом расширении исходной классификации, если вновь поступивший входной вектор (например, нечеткий вектор признаков атаки) не может быть отнесен ни к одному из существующих кластеров (например, соответствующих известным угрозам), т. е. на иммунном уровне СЗИ выявляются факты проявления в корпоративной сети новой угрозы. Наличие новой угрозы приводит к соответствующей коррекции системы нечетких правил вывода и к изменению структуры нечеткой НС. Последующие обучение и анализ структуры нейро-нечеткой сети вызывают расширение и коррекцию адаптируемых экспертных оценок.
Увеличение размерности выходного вектора иммунного уровня (в рассматриваемом случае — нечеткого вектора угроз) вызывает изменения в следующем, рецепторном, иерархическом уровне СЗИ (во всех его интеллектуальных подуровнях, начиная от системы адаптируемых экспертных оценок и заканчивая уровнем четкого нейросетевого классификатора).
Результаты происшедших в корпоративной сети изменений отражаются совокупностью показателей информационной защищенности.
Показатели информационной защищенности, в том числе и рейтинговые оценки корпоративной сети, формируются инструментальными средствами исходя из значений адаптируемых экспертных оценок и распределения используемых механизмов защиты по иерархии корпоративной сети.
Отмечено хорошее соответствие вышеназванных показателей информационной защищенности корпоративной сети известным из литературы оценкам, например рейтинговым оценкам по классам защищенности автоматизированных систем РД ФСТЭК. Параметры могут применяться при оценке защищенности по заданному для анализа подмножеству поля угроз, в частности: нарушения целостности, конфиденциальности, доступности информации.
Заключение. В технических системах, в частности в корпоративных сетях, оправдывает себя использование специфики организации биосистем, которые характеризуются иерархией средств жизнеобеспечения, эволюционными процессами и встроенными механизмами адаптивной памяти, иммунитета, защиты информации и избыточности.
Адаптивные механизмы памяти, позволяющие накапливать жизненный опыт, связаны с распределенными избыточными информационными полями нейронных комплексов нервной системы. Реализация адаптивных механизмов памяти в распределенных информационных полях нейронных сетей является основной предпосылкой эволюции корпоративных и глобальных сетей, т. е. придания им атрибутов наследования, адаптации, развития и отбора.
СПИСОК ЛИТЕРАТУРЫ
1. Коржов В. Автоматизация безопасности // Computerworld Россия. 2004. № 17—18. С. 53.
2. Нестерук Г. Ф., Осовецкий Л. Г., Харченко А. Ф. Информационная безопасность и интеллектуальные средства защиты информационных ресурсов. СПб: Изд-во СПбГУЭФ, 2003.
3. ^g^vris^M. Artificial intelligence: a guide to intelligent systems. Addison-Wesley, 2002.
Сведения об авторах
Андрей Вячеславович Суханов — ЗАО „ЭВРИКА", Санкт-Петербург, E-mail: [email protected]
Геннадий Филиппович Нестерук — НФ ФГУП НИИ „ВЕКТОР", Санкт-Петербург,
E-mail: [email protected]
Рекомендована кафедрой Поступила в редакцию
безопасных информационных 13.05.08 г.
технологий