CC BY
55HIV-I entry inhibitor and candidate topical micro-bicode. BMC Infection Diseases. 2004, 4: 41. 10.1186/1471-2334-4-41.
9. Naghma K., Naghma H., Farrukh A. et al. Pomegranate fruit extract inhibits prosurvival pathways in human A549 lung carcinoma cells and tumor growth in athymic nude mice. Carcinogenesis. 2007, 28(1): 163173. DOI: 10.1093/ carcin/ bgl145.
10. Basu A. and Penuqonda K. Pomegranate juice: a heart- healthy fruit juice. Nutr Rev, 2009, 67(1): 4956. DOI: 10.1111/j.1753-4887.2008.00133.x.
11. Zarfeshany A., Asqary S., Band S.H. Ja-vanmard. Potent health effects of pomegranate. Adv Biomed Res. 2014, 3:100. URL: http//www.ncbi.nlm.nih. gov/ pmc/ arti-cles/PMC4007340/ (date of treatment: 2014.03.25).
12. Patel C., Asqary S., Javanmard S.H. et al. Safety assessment of pomegranate fruit extract: acute and subchronic toxicity studies. Food Chem Toxicol. 2008, 46(8): 2728-2735. DOI: 10.1016/j.fct.2008.04.035.
13. Seeram N.P., Adams L.S, Henning S.M. In vitro antiproliferative, apoptotic and antioxidant activities of punicalagin, ellagic acid and a total pomegranate tannin extract are - enhanced in combination with other polyphenols as found in pomegranate juice. J. of Nutritional Biochemistry. 2005, 16 (6): 360-367. DOi: 10.1016/j.jnutbio.2005.01.006.
14. Cigir M. V. and Egorova, Z. E. Modification methods for the determination of protein and starch in carrots and juice products. Mat. XV International scientific and practical conference. "Innovative technologies in the food industry", Minsk, 05-06.10. 2016: 344347. URL: https://www.eli-brary.ru/item.asp?id=37614530.
15. Hafizov G. K., Hafizov S.G. Influence of the processing method and storage temperature of pomegranate juice on the safety of anthocyanins. Technical Sciences - from theory to practice. 2015, 2(39): 59-72. URL: https://www. elibrary.ru/item.asp?id=23032492.
16. Ivanova E. V., Luksha E. A., Kalinkina G. A., Pogodin I. S. Determination of catechins and leuco-anthocyanins in the aboveground and underground parts of Aconogonon Divaricatum. Bul. of the Volgograd State Medical University. 2016, 4(60): 118-120. URL: https://cyberleninka. ru/article/n/opredelenie-katehinov-i-leykoantotsianov....
17. Sun B., Ricardo-da-Silva J.M. and Spranger i. Critical factors of vanillin assay for catechins and pro-anthocyanidins. J. Agric. Food Chem. 1998, 46(10): 4267-4274. DOi: 10.1021/jf980366j.
18. Grachev Yu. P., Plaksin Yu. M., 2005. Mathematical methods of planning experiments. Moscow: Deliprint Publishing house.2005, 80 p. URL: https://www. twirpx.com/file/1404271/.
ОСОБЕННОСТИ ИСПОЛЬЗОВАНИЯ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ С СОВРЕМЕННОЙ СИСТЕМОЙ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
Бугорский М.А.,
Воинская часть 33310, офицер службы защиты государственной тайны
Каплин М.А.,
Краснодарское высшее военное училище им. генерала армии С.М. Штеменко, адъюнкт
Остроцкий С.В., Юго-Западный государственный университет
Казакова О.В.,
Юго-Западный государственный университет
Селин В.И.
Юго-Западный государственный университет
FEATURES OF USING CRITICAL INFORMATION INFRASTRUCTURE FACILITIES WITH A
MODERN INTRUSION DETECTION SYSTEM
Bugorsky M.,
Military unit 33310, officer of the state secrets protection service
Kaplin M.,
Krasnodar Higher Military School named after General of the Army S.M. Shtemenko, adjunct
Ostrotsky S., Southwestern State University
Kazakova O.,
Southwestern State University Selin V.
Southwestern State University
АННОТАЦИЯ
Описано состояние защиты объектов критической информационной инфраструктуры, показаны принципы построения комплексной системы обеспечения информационной безопасности, описаны технологии предотвращения вторжений, предложен вариант адаптации системы контроля и предупреждения вредоносной активности на базе нейронной сети.
ABSTRACT
The state of protection of objects of critical information infrastructure is described, the principles of building an integrated system for ensuring information security are shown, technologies for preventing intrusions are described, a variant of adapting a system for monitoring and preventing malicious activity based on a neural network is proposed.
Ключевые слова: информационная безопасность, критические информационные инфраструктуры, нейронные сети, управление и сбор данных, система обнаружения вторжений.
Keywords: information security, critical information infra-structures, neural networks, control and data collection, intrusion detection system.
Защита объектов критической информационной инфраструктуры определяется как стратегия, политика и готовность, необходимые для защиты, предотвращения и реагирования на атаки на эти сектора и ключевые объекты [1]. Эффективная защита критических инфраструктур сегодня имеет решающее значение, ведь кибератак в 2020 году стало больше на 22.5% чем в 2019. За первые два месяца 2021 года число атак увеличилось на 29%.
Критические информационные инфраструктуры (КИИ) - это физические или механические процессы, которые в основном управляются электронным способом системами, обычно называемыми системами диспетчерского управления и сбора данных (SCADA) или системами управления процессами (PCS), состоящими из компьютеров, соединенных сетями [2-5]. В их перечень входят
сети имеющие социальное, политическое, экономическое, промышленное, экологическое или оборонное значение (рисунок 1):
- транспортные системы;
- военно-оборонный комплекс;
- энергетика (в том числе атомная);
- телекоммуникации;
- здравоохранение;
- банковская среда;
- промышленные объекты и др.
Когда критические инфраструктуры были впервые реализованы, безопасность и защита их системы управления не были первоочередными задачами. Но со временем их уязвимость стала очевидной.
6% 7% 7% 10% 10%
Рисунок 1 - распределение кибератак в 2020 году
На сегодняшний день, в Российской Федерации действует закон «О безопасности критической информационной инфраструктуры РФ», который регулирует сферу обеспечения безопасности КИИ. Согласно указанному закону, все критически важные объекты должны быть распределены по категориям и каждой должен быть присвоен класс значимости, определяющий набор мер и методы обеспечения защиты от вторжений [6-9].
Объекты КИИ делятся значимые, первой-тре-тьей степени и незначимые. Незначимые объекты, согласно закону, не требуют дополнительных мер
защиты, не обозначенных в нормативных актах, регулирующих работу конкретных систем.
Кроме того, КИИ классифицируют по трем видам функционирования:
- информационные системы (ИС);
- автоматизированные системы управления (АСУ);
- информационно-телекоммуникационные сети (ИТКС).
Исходя из комбинации этих двух категорий каждый объект подчиняется определенным нормативно-правовым актам. В случае успешной атаки на объекты КИИ уголовная ответственность грозит
как злоумышленнику, так и лицам ответственным за обеспечение безопасности (ст. 274.1 УК РФ).
Критические информационные инфраструктуры сталкиваются со значительными угрозами по мере роста использования диспетчерских систем SCADA и интегрированных сетей. И хотя они обеспечивают большие возможности для работы, управления, бизнеса и анализа, они также увеличивают риски безопасности из-за уязвимостей [10].
Взаимозависимость между компьютерами, коммуникационной и энергетической инфраструктурой увеличила риски из-за сложности интегрированных инфраструктур. Нарушения в одной части инфраструктуры могут распространяться по системе и оказывать каскадное воздействие на другие сектора. Потери от одной критической инфраструктуры могут легко распространяться на все другие зависимые инфраструктуры. Например, прекращение обслуживания инфраструктуры электроэнергетики напрямую повлияет на нефтяную инфраструктуру. Нефтяная инфраструктура в значительной степени зависит от инфраструктуры электроэнергетики для обеспечения работы насосных станций. Если бы эта функция была недоступна, результат был бы плачевным. В результате нефтяная инфраструктура не могла производить горюче-смазочные материалы, необходимые для транспортной инфраструктуры, природного газа, телекоммуникаций,
водоснабжения и электроэнергетической инфраструктуры. Угроза функционирования оборонной или военной промышленности может сделать уязвимой целую страну.
Связь сетей SCADA с внешними сетями продолжает расти, что приводит к увеличению риска кибератак и критической необходимости повышения безопасности этих сетей. Когда в системе SCADA происходит нарушение безопасности, результаты часто отличаются от последствий в традиционных ИТ-системах [11]. Инженеры часто не решаются обновлять или исправлять системы SCADA из-за опасений, что само исправление может потенциально негативно повлиять на работу системы. Распределенные атаки типа «отказ в обслуживании» (DdoS) могут иметь разрушительные последствия для систем управления, трафик может влиять на работу и в некоторых случаях приводить к неправильному управлению физическими устройствами или выходами. Кроме того, для достижения совместимости все чаще используются открытые протоколы связи, такие как Modbus и DNP3, подвергая системы SCADA тем же уязвимостям, которые угрожают ИТ-системам общего назначения. Для повышения уровня безопасности применяют подходы на базе нейронных сетей.
Искусственная нейронная сеть (ИНС) представляет собой совокупность соединенных и взаимодействующих элементов-нейронов (рисунок 2).
Рисунок 2 - Принцип построения нейронной сети
При этом нейроны выполнены в виде процессоров. При подаче входного сигнала на основе существующих правил комбинирования входных сигналов и правила активации на выходе нейрона формируется сигнал, который может отправляться другим нейронам по взвешенным связям. Значение весового коэффициента приводит к усилению или подавлению передаваемого сигнала.
Нейронные сети не программируются в привычном смысле этого слова, они обучаются [12]. Возможность обучения — одно из главных преимуществ нейронных сетей перед традиционными алгоритмами. Технически обучение заключается в нахождении коэффициентов связей между нейронами. В процессе обучения нейронная сеть способна выявлять сложные зависимости между входными данными и выходными, а также выполнять
обобщение. Это значит, что, в случае успешного обучения, сеть сможет вернуть верный результат на основании данных, которые отсутствовали в обучающей выборке.
Классы задач, решаемые ИНС, определяются тем, каким образом сеть работает и как она обучается. В общем случае, для решения любой задачи с использованием теории ИНС необходимо выполнить следующие этапы: выбрать модель и топологию сети (число нейронов и их связи), выбрать метод обучения сети. Система обнаружения вторжений (СОВ\ШS) на базе нейронных сетей отслеживает сеть и /или информационную систему на предмет злонамеренных действий или нарушений политики и реагирует на эту подозрительную
Босш^ of Бигоре # 66, (2021)
45
активность, предупреждая системного администратора, отображая предупреждение и регистрируя событие [13].
Система предотвращения вторжений (СПВ\^) управляет процессом обнаружения вторжений и пытается предотвратить возможные инциденты. Она обладает всеми возможностями СОВ и может также пытаться остановить определенные инциденты. СПВ обеспечивают безопасность на всех уровнях системы, от ядра ОС до сетевых пакетов данных.
Независимо от того, работают ли они в сети, на уровне хоста или приложения, обе системы используют один из двух методов обнаружения: на основе аномалий или сигнатур.
На основе аномалий они выявляют аномальные паттерны, которые отклоняются от того, что считается нормальным поведением. Обнаружение аномалий не требует предварительной информации о вторжении и позволяет обнаруживать новые вторжения. Однако недостатком является то, что они не могут описать, что такое атака, и могут иметь высокий уровень ложных срабатываний.
Системы на основе сигнатур используют известные шаблоны несанкционированного поведения для прогнозирования и обнаружения последующих подобных атак. Они могут точно и эффективно обнаруживать случаи известных атак. Однако им не хватает возможности обнаруживать новые виды вторжений. Базы данных сигнатур должны постоянно обновляться, и СОВ должны иметь возможность сравнивать и сопоставлять действия с большими коллекциями сигнатур атак. Большинство систем используют централизованную архитектуру и обнаруживают вторжения, которые происходят в единой отслеживаемой системе / сети. В централизованных системах обнаружения и предотвращения атак анализ данных выполняется в фиксированном количестве местоположений, тогда
как в нераспределенных - анализ данных выполняется в количестве местоположений, которое пропорционально количеству доступных систем в сети.
Начальная настройка нейросетей производится на наборе известных угроз, составляющих обучающую выборку входных векторов. Интранет-система исследуемых объектов подвержена информационным угрозам, относящимся к таким классам, как: хищение, уничтожение, искажение информации, отрицание ее подлинности, нарушение доступности информации, навязывание ложной информации. Соответственно, для первоначального обучения модулю контроля и предупреждения вредоносной активности необходимо предоставлять обучающие примеры, относящиеся к таким действиям, как прослушивание передаваемых сообщений и анализ трафика, DoS-атакам, атакам, связанным с аутентификацией пользователей, модификацией потоков данных и т.д.
Нейронная сеть производит классификацию известных угроз безопасности научно-методического портала. Входной вектор либо будет отнесен к одному из известных классов угроз (по критерию близости к функциональным параметрам одного из нейронов-прототипов), либо будет произведено расширение классификации за счет добавления нового нейрона-прототипа с параметрами предъявленного вектора.
Настройки (обучение) производятся в режиме адаптации системы при непосредственном участии и под контролем доверенных лиц, в частности, администратора безопасности. Процесс настройки завершается блокировкой режима адаптации и переводом сформированной системы в режим работы. На начальном этапе происходит минимальная активация потенциальных механизмов защиты и максимальное наполнение поля известных угроз.
Рисунок3
- Адаптация системы контроля и предупреждения вредоносной активности на базе нейронной сети
Целью этапа эксплуатации жизненного цикла системы является корректное исполнение системой заданных функций. Основной режим - работа. Важно предусмотреть режим адаптации функций системы защиты информации, который использует механизм адаптации для реагирования на изменение внешних факторов - происходит дальнейший рост, самообучение системы защиты. Как и на предыдущем этапе, процессы коррекции функций системы защиты производятся в режиме адаптации системы при непосредственном участии администратора безопасности. Процесс настройки завершается блокировкой режима адаптации и переводом системы в режим работы.
Несмотря на то, что в интеграции систем обнаружения вторжений для защиты критических информационных инфраструктур был достигнут значительный прогресс, все еще есть несколько слабых мест и проблем безопасности, которые не решаются эффективно. Одной из основных задач является определение и обнаружение аномалий в сетях управления технологическим процессом, которые могут иметь сотни ПЛК (программируемых логических контроллеров). Из-за специализированного характера промышленных систем меры противодействия атакам не могут быть эффективно развернуты во всех средах. Адаптация системы обнаружения вторжений к специфике критических инфраструктур значительно повышает безопасность таких систем. Эффективные системы обнаружения для КИИ имеют возможность соотносить действия и события, не запрещенные формальными или неформальными правилами, в поиске формальных атак. К наиболее распространенным недостаткам относятся низкая эффективность обнаружения, высокий уровень ложных срабатываний и их уязвимость к атакам, основанным на централизованных иерархических структурах. Указанные недостатки являются предметом дальнейших исследований.
Литература
1. Complex evaluation of information security of an object with the application of a mathematical model for calculation of risk indicators. Marukhlenko A.L., Plugatarev A.V., Bobyntsev D.O. Lecture Notes in Electrical Engineering. 2020. Т. 641 LNEE. С. 771778.
2. Вариант организации многопоточной обработки конфиденциальных данных на базе клеточных автоматов. Марухленко А.Л., Плугатарев А.В., Таныгин М.О., Марухленко Л.О., Бобынцев Д.О. Известия Юго-Западного государственного университета. 2019. Т. 23. № 3. С. 100-112.
3. Нейросетевые технологии в безопасности И.И. Писаренко. Журнал "Information Security/ Информационная безопасность" №4, 2009, с.82-86.
4. Шабуров А.С. О разработке модели обнаружения компьютерных атак на объекты критической информационной инфраструктуры //Вестник ПНИПУ. Электротехника, информационные технологии, системы управления. - 2018. - № 26. -
5. Микова С.Ю. Оладько В.С. Модель системы обнаружения аномалий сетевого трафика // Информационные системы и технологии. - 2016. -№ 97(5).
6. Браницкий А.А. Котенко И.В. Анализ и классификация методов обнаружения сетевых атак // Труды СПИИРАН. - 2016. - № 2(45).
7. Разработка высокоскоростного алгоритма кодирования бинарного потока данных. Марухленко А.Л., Лопин В.Н. Известия Курского государственного технического университета. 2007. № 2 (19). С. 48-50.
8. C. W. Ten, G. Manimaran, and C. C. Liu, "Cy-bersecurity for critical infrastructures: attack and defense modeling," Systems and Humans, IEEE Transactions on Systems, Man and Cybernetics, Part A:, vol. 40, no. 4, pp. 853-865, 2010.
9. S. M. Rinaldi, J. P. Peerenboom, and T. K. Kelly, "Identifying, under-standing, and analyzing critical infrastructure interdependencies," IEEE Control Systems Magazine, vol. 21, no. 6, pp. 11-25, 2001.
10. Персонализированная система поиска информации с функцией определения тематики и анализа смысловых значений. Потапенко А.М, Кона-рев Д.И. и др. В сборнике: Инфокоммуникации и информационная безопасность: состояние, проблемы и пути решения. Материалы I Всероссийской научно-практической конференции. 2015. С. 181-187.
11. Вариант разграничения доступа к информационным ресурсам на основе неявной аутентификации. Марухленко А.Л., Плугатарев А.В., Таныгин М.О., Марухленко Л.О., Шашков М.Ю. Известия Юго-Западного государственного университета. 2020. Т. 24. № 2. С. 108-121.
12. Костин Д.В. Шелухин О.И. Сравнительный анализ алгоритмов машинного обучения для проведения классификации сетевого зашифрованного трафика // T-Comm: Телекоммуникации и транспорт. - 2016. - № 9.
13. Multi-threaded data processing system based on cellular automata. Kuleshova E., Dobritsa V., Tany-gin M. В сборнике: CEUR Workshop Proceedings. 11. Сер. "MICSECS 2019 - Proceedings of the 11th Ma-jorov International Conference on Software Engineering and Computer Systems" 2020.
