CC BY
165
В.С. Дунин,
Дальневосточный юридический институт МВД России
О.И. Бокова,
доктор технических наук, профессор
ОЦЕНКА ЭФФЕКТИВНОСТИ СИСТЕМЫ ИНТЕЛЛЕКТУАЛЬНОГО УПРАВЛЕНИЯ ЗАЩИТОЙ ИНФОРМАЦИИ В ИНФОКОММУНИКАЦИОННЫХ СИСТЕМАХ ОВД
EVALUATION OF THE EFFICIENCY OF THE SYSTEM OF INTELLECTUAL MANAGEMENT OF SECURITY INFORMATION IN THE INFOCOMMUNICATION SYSTEMS OF THE LAW ENFORCEMENT AGENCIES
Представлена методика оценки эффективности адаптивной интеллектуальной системы защиты информации, модель которой основана на свойствах нечетких и нейронных сетей и имеет иерархическое построение по уровням и механизмам защиты.
The article presents a method of the evaluation of the efficiency of the adaptive intelligent system of information security,whose model is based on the properties of fuzzy and neural networks and has a hierarchical structure of the levels andprotection mechanisms.
Для придания необходимых качеств современной системе управления информационной безопасностью в ряде работ [5] предложено создавать интеллектуальные адаптивные системы защиты информации (СЗИ), основывающиеся на свойствах нейронных и нечетких сетей.
Модель адаптивной системы защиты информации в интеллектуальных системах управления характеризуется тем, что это многоуровневая обучаемая иерархическая структура, которая использует экспертные оценки для привнесения априорного опыта в СЗИ в виде системы нечетких продукционных правил. Рассмотрим построение такой структуры на примере разработанной модели (см. рис. 1, 2).
П
р
и
з
н
а —к
к
и
а
т
а
к
и
Оіай 1
Хі
іСпой 2 Спой 3 Спой 4
Спои 5
У і
У 2
X,
с<*
|__фаззификация
)дефаззифихация
Нечеткая нейронная продукционная сеть (система нечетких пр одукционных пр авил)
I. Время сессии полы ователя 3. Время доступа к объектам
5. Продолжительность ¡а1уцо^их приложений
6. Общее использование процессорного в^вмо1н
7. Использование физической памяти
8. Использование виртуальной памяти
9. Использование памяти ядра операционной системы
Ю.Сведвшя о сетевых подключениях (состояние, номер порта, талпротокола)
II. Тип соединения (локальная, удаленная)
12. Длительность соединения
13. Число соединений
14 Список запущенныхпроцессов
15. Состояние процесса
16. Число запущенных в процессе потоков
Нижний ур овень иер архии механизма зашиты
У
г
р
о
з
ы
X
2
Рис. 1. Модель адаптивной системы защиты информации комплексной автоматизированной интеллектуальной системы «Безопасный город», нижний уровень иерархии защиты
Верхний уровень иерархии] механизма зашиты
Спои^ I- Слой 3
1 I
Iх і
У і
У 1 1 .
г 1 ..
Р і; -
о з 1 ; М Г ІА1п 1 іічіхі
ы Iх тЧ VІОО, 1 •^^іАЗт ■ ^С*т)
введение
У2
Механизмы
защиты
I М'кЛасс 2
Класс п
нечеткии
Гибридная нейро-нечеткая сеть классификации механизмов защиты (система нечетких продукционна IX правил)
Коррекция парамеТров
Кл^сс 1
Экспертные оценки угроз в разрезе механизмов защиты и уровней СЗИ
етр
Уровни СЗИ
Механизмы
защиты
Структурная модель системы информационной безопасности
1. Блокированне доступа пользователя к ресурсу
2. Поннженнепркоритетапользователя
3. Блокирование ресурса ПК
4 Остемное уничтожениепрограммы
5. Блнкнрованне порта
6. Блнкнрованне ГГ-адреса
7. Блокирование процесса
8. Снижение уровня доступа
9. Оі^жен^п^н^^ттетапроцесса
10 Отженнеквоты задействованияпроцесса
£
т
£
т
£
т
Рис. 2. Модель адаптивной системы защиты информации комплексной автоматизированной интеллектуальной системы «Безопасный город», верхний уровень иерархии защиты
Данная модель показывает архитектуру построения СЗИ такой инфокоммуника-ционной системы ОВД, как комплексная автоматизированная интеллектуальная система (КАИС) «Безопасный город», в соответствии с которой определяется структурная модель системы информационной безопасности в виде иерархии уровней механизмов защиты. Априорный опыт экспертов представляется массивами экспертных оценок, на базе которых формируются системы нечетких продукционных правил для идентификации (класси-
фикации) угроз по признакам атак и классификации механизмов защиты на поле угроз.
Необходимость выявлять максимально возможное число атак требует использования в системах защиты подсистем обнаружения аномалий, функционирующих на разных уровнях КАИС [2]. Анализаторы подсистем обнаружения используют исходные данные от сетевых и хостовых сенсоров. На сетевом уровне сетевые датчики (сенсоры) устанавливаются в сегментах сети ЕИТКС ОВД и хостах КАИС. Источниками информации о сетевом трафике являются также встроенные в коммутаторы и маршрутизаторы SNМР-агенты.
Внизу иерархии СЗИ решается задача идентификации (классификации) атак по совокупности признаков, носящих неполный и не вполне достоверный характер. Нечеткая нейронная сеть нижнего уровня СЗИ, исходя из опыта экспертов информационной безопасности, реализует систему нечетких правил типа Такаги-Сугено [1], которая описывает процесс логического вывода получения заключения (тип атаки), используя в качестве нечетких посылок векторы входных признаков (данные от сетевых и хостовых сенсоров).
Предлагаемая нечеткая нейронная продукционная сеть (ANFIS — Adaptive Network-based Fuzzy Inference System) на нижнем уровне может одновременно формировать нечеткие правила и адаптировать функции принадлежности путем модификации весов связей в процессе обучения, и — что самое важное — для этого может применяться классический алгоритм обратного распространения ошибки.
На верхних уровнях иерархии защиты для каждого эшелона многоуровневой СЗИ средства защиты информации используют результаты идентификации (классификации) нижних уровней иерархии в виде посылок системы нечетких продукционных правил для формирования заключений соответствий «угрозы-механизмы защиты». То есть решается задача классификации механизмов защиты (нечеткие заключения) по вектору нечетких признаков угроз, для нейтрализации последствий которых данные механизмы защиты предназначены [4]. Нейронная сеть данного уровня СЗИ представляет собой гибридную нейронную нечеткую сеть (HFNN — Hybrid Fuzzy Neural Networks), являющуюся универсальным аппроксиматором для разных функций принадлежности входных и выходных данных к нечеткому полю множеств [3]. После обучения классическим методом обратного распространения ошибки, схожим с методом обучения сети ANFIS, она будет отражать достоверность нейтрализации заданного в отдельном правиле набора угроз соответствующим механизмом защиты (механизм системного уничтожения программ, механизм блокирования доступа к ресурсу, механизм понижения приоритета пользователя, механизм идентификации и аутентификации и т.д.) определенного эшелона многоуровневой СЗИ.
Верхний уровень иерархии СЗИ также необходим для обобщения результатов (посылок) в виде активности механизмов защиты, частоты реализации и ущерба от угрозы с целью формирования системы нечетких продукционных правил — заключений о целесообразности расширения состава активированных механизмов защиты по отдельным эшелонам СЗИ [4]. Активация механизмов защиты производится, если интегральные оценки, учитывающие величину потенциального ущерба, частоту реализации угроз и достоверность нейтрализации угроз данным механизмом защиты, превышают заданные пороговые значения.
Многоуровневая модель информационной безопасности данной системы на первом этапе соответствует минимальной активации потенциальных механизмов защиты и полноте информационного поля известных угроз.
На втором этапе модель динамически пополняется путем перевода механизмов защиты из статуса «потенциальный» в статус «активированный» и привязки активированного механизма к соответствующему эшелону модели СЗИ. Увеличивается число элементов в подмножестве заданных угроз, как за счет включения
элементов из множества известных угроз, так и за счет пополнения самого множества известных угроз ранее неизвестными угрозами. Далее возможно расширение множества потенциальных механизмов защиты за счет описания в виде нечетких продукционных правил и последующей реализации ранее отсутствующих механизмов защиты.
При последующей адаптации произойдет обучение СЗИ под отсутствующий механизм защиты информации, направленный на нейтрализацию неспецифицированной угрозы. Анализ дополнительного нечеткого продукционного правила позволяет сформировать спецификацию на проектирование отсутствующего в системе средства или механ из ма з ащиты инфор мац и и.
Задавая пороговые значения для величины нечеткого заключения продукционных правил, определяющего степень использования /-го механизма защиты в формировании значения итоговой защищенности системы, можно определять как наименее задействованные, так и эффективно используемые механизмы в обеспечении безопасности защищаемой системы.
Решение о расширении классификаций атак и механизмов защиты производится в соответствии с системой оценок достоверности нейтрализации угроз в разрезе отдельных механизмов защиты или отдельных эшелонов СЗИ и аналогичных оценок потенциального ущерба, также соотносимых с отдельными механизмами защиты или отдельными эшелонами СЗИ [9].
Если рассматривать информационно-телекоммуникационные подсистемы КАИС «Безопасный город», являющиеся сегментами инфокоммуникационной интеграции ЕИТКС ОВД, как совокупность рабочих станций, серверов, межсетевых шлюзов, маршрутизаторов, аппаратуры и каналов связи, то при создании СЗИ следует использовать ключевые принципы ее построения, которые обобщают основные положения современной концепции ЗИ:
комплексность и согласованность использования широкого спектра методов и средств защиты при построении целостной системы защиты, не содержащей слабых мест на стыках ее компонентов;
дифференциацию мер защиты в зависимости от критичности (важности) информации и потенциально возможных угроз информационным ресурсам;
разумную достаточность механизмов защиты, что означает правильность выбора достаточного уровня защиты, при котором затраты на СЗИ и размер возможного ущерба (риск) были бы приемлемыми.
На основе анализа всех возможных каналов несанкционированного доступа к информационной среде КАИС «Безопасный город» и в соответствии с основными принципами построения системы защиты предлагается трехрубежная модель СЗИ [3] (см. рис. 3).
Первый рубеж — это периметр объекта защиты, набор функциональных подсистем, включающих средства и механизмы системной защиты от внешних угроз злоумышленника и потенциально возможных деструктивных воздействий удаленного пользователя.
Второй рубеж — набор функциональных подсистем защиты сетевого сегмента от потенциально возможных межсегментных и удаленных атак.
Третий рубеж включает в себя набор функциональных подсистем, обеспечивающих защиту информационной среды отдельного персонального компьютера, сервера.
В некоторых работах отмечается, что гибридные атаки, использующие множество стратегий нападения, могут быть остановлены только многоуровневой, эшелонированной линией обороны (см. рис. 4).
1 Механкш №1
2 Механкм №2 т Мехалнм т
1 аппаратный уровень
2 іфоіеньВІОЯ еиь ОС
5 уроиень СУБД
6 уровень ПО
Рис. 4. Распределение механизмов защиты по эшелонам СЗИ
Таким образом, модель СЗИ включает в себя три компонента: модель защиты периметра объекта защиты, модель защиты сетевого сегмента, модель защиты ПК и
сервера. Модель каждого рубежа защиты является ^уровневой и включает в себя N морфологических матриц в зависимости от уровня критичности (важности) обрабатываемой на объекте защиты информации.
Предложим метод оценки эффективности системы интеллектуального управления защитой информации, учитывающий действительную загруженность механизмов защиты по нейтрализации последствий атак, возможность адаптации СЗИ к изменению поля угроз и изменение структуры многоуровневой СЗИ [5].
Стоит отметить, что под оценкой эффективности подразумевается процедура, направленная на определение качественных и количественных показателей эффективности, выявление критических элементов, а также нахождение интегрального показателя эффективности системы в целом, который характеризовал бы степень достижения целей, поставленных при её создании. При этом сам показатель эффективности — это величина, характеризующая степень достижения системой стоящей перед ней цели. Значение показателей, при которых система удовлетворяет предъявляемым к ней требованиям, в свою очередь, именуется критерием эффективности.
В работе [8] предложено в качестве оценки защищенности использовать рейтинговый показатель, который учитывает распределение механизмов защиты по эшелонам многоуровневой модели системы информационной безопасности и изменение вероятности достижения злоумышленником объекта защиты в зависимости от эшелона многоуровневой модели СЗИ. К недостаткам модели следует отнести статичный характер оценки защищенности информационной системы, не учитывающей такие параметры, как ущерб от реализации угроз информационной безопасности и частота осуществления атак.
В работе [9] защищенность оценивается исходя из ущерба от реализации в системе ИТ угроз, носящих случайный характер, который оценивается через коэффициенты опасности угроз. Причем коэффициенты опасности представляются нечеткими величинами, а показатель защищенности системы ИТ определяется посредством формируемой методом экспертных оценок матрицы нечетких отношений между коэффициентом опасности совокупности угроз и степенью защищенности системы ИТ. Недостатком подобного оценивания является отсутствие привязки показателей защищенности к местоположению МЗ в структуре СЗИ. Как и в предыдущем случае, сохраняется статичность оценки защищенности ИБ системы ИТ.
Известные [7—9] оценки отражают лишь статическое состояние объекта защиты, исходя из наличествующих механизмов защиты, не учитывают действительную загруженность механизмов защиты по нейтрализации последствия атак, динамику изменения поля угроз, возможность адаптации СЗИ к изменению поля угроз, не дают указаний на изменение состава механизмов защиты и структуры многоуровневой СЗИ.
Проведенный анализ показал необходимость разработки обобщенного количественного показателя для оценки свойства «защищенность» информационной системы и «эффективность» для оценки системы защиты информации, которые должны объединить положительные стороны известных подходов с целью его дальнейшего использования в качестве целевой функции для оптимизации структуры информационной системы по критерию «стоимость/защищенность»[6].
Покажем комплексный подход для оценки событий информационной безопасности, показателей защищенности и эффективности рассматриваемой интеллектуальной системы защиты информации [6].
Первый шаг. Исходные данные (экспертные оценки) представляются в матричной форме, учитывая показания агентов и сенсоров информационного контроля состояния информационной безопасности. Для каждого эшелона многоуровневой СЗИ (см. рис. 3) оценивается достоверность нейтрализации угроз механизмами защиты с последующим
МТтхр
тЬц т^2
_т^22_ тЬт1 тЬт2
тЬ
1Р
тЬ
2р
тЬ
тр
где г = 1..т — число механизмов защиты; ] = 1.. ...р — число известных угроз, и мат-
рицы достоверности «угрозы-эшелоны» ТЕ:
(2)
Ье11 Ье12 Ье1п
ТЕ -1±-‘ рхп Ье21 Ье22 Ье2п
Ьер1 Ьер2 Ье 1С,рп
где г = 1..р — число известных угроз; ] = 1.п — число эшелонов СЗИ.
Для каждого эшелона многоуровневой СЗИ оценивается уровень потенциального ущерба и формируются матрицы «эшелоны-ущерб» ЕТ:
(3)
где г = 1..п — число эшелонов СЗИ; ] = 1....р — число известных угроз, и матрицы
«ущерб-механизм защиты» ТМ:
еЬ11 еЬ12 еЬ1 р
ЕТ — ±^±пхр еЬ21 еЬ22 еЬ2 р
еЬп1 еЬп 2 еЬ Ыпр
ьтп Ьт12 Щт
ТМ = рхт Ьт21 Ьт22 Ьт2т
Ьтр1 Ьтр2 Ьтрт
(4)
где г = 1.. р — число известных угроз; ] = 1.. т — число механизмов защиты.
Второй шаг. Для каждого эшелона многоуровневой СЗИ экспертные оценки в виде системы нечетких продукционных правил отображаются в структуре нейро-нечетких сетей. В процессе последующей адаптации нечетких НС на обучающей выборке, соответствующей некоторому подмножеству поля известных угроз, производится автоматическая коррекция системы нечетких продукционных правил, а также показателей потенциального ущерба и достоверности (истинности) нейтрализации набора угроз соответствующим эшелоном или МЗ многоуровневой СЗИ. Корректность исходных экспертных оценок может быть проверена сопоставлением интегральных оценок защищенности до и после процесса обучения нейро-нечетких СЗИ [7].
Третий шаг. Интегральные оценки защищенности получают в результате операций над матрицами. В частности, умножение матриц достоверности «МЗ-угрозы» МТ и «угрозы-эшелоны» ТЕ позволяет получить матрицу «МЗ-эшелоны» МЕ — матрицу достоверности активации известных механизмов защиты, распределенных по эшелонам многоуровневой СЗИ, для нейтрализации известных угроз:
МЕтхп =
те
11
те
12
те
1п
те2
те
21 те22 те2п
те^ ! те„
те
(5)
'т1 т 2 I тп
где г = 1..т — число механизмов защиты; у = 1.... п — число эшелонов СЗИ, а умно-
жение матриц потенциального ущерба «эшелоны-ущерб» ЕТ и «ущерб-МЗ» ТМ-матрицу потенциального ущерба «эшелоны-МЗ» ЕМ, отражающую распределение потенциального ущерба от реализации известных угроз по механизмам защиты и эшелонами многоуровневой СЗИ
ЕМ пхт =
ет
11
ет 12 | ет
1т
ет2
ет
_ _ 21_ _ ет2_2_ ¡_ ет2т
ет„ч ! ет„
ет
(6)
п1 ™пп2 | --пт
где г= 1 п— число эшелонов СЗИ, у= 1 т— число механизмов защиты.
Получаемые при этом промежуточные оценки в виде строки
X
и столбца
т
= т\ УЗтег,-, ] = 1.
у=1 4
.п,
(7)
= й
УЗпец ,1 = 1.
1=1
.т
(8)
интегральных показателей характеризуют активность использования отдельного механизма защиты либо отдельного эшелона в рамках многоуровневой СЗИ, а также позволяют оценить потенциальный ущерб в разрезе механизмов защиты и эшелонов системы информационной безопасности.
Сопоставление интегральных показателей в пределах строки позволяет выявить наиболее задействованные эшелоны в многоуровневой модели СЗИ по нейтрализации поля действующих на систему угроз, а сопоставление интегральных показателей в пределах столбца позволяет выявить наиболее задействованные механизмы защиты в многоуровневой СЗИ.
Анализ интегральных показателей матрицы достоверности «угрозы-механизмы защиты» дает возможность обосновать целесообразность использования механизма защиты в составе соответствующего эшелона многоуровневой СЗИ.
Четвертый шаг. Дальнейшие операции над матрицами МЕ и ЕМ дают возможность обобщить в диагональных элементах итоговой матрицы как показатель достоверности активации механизма защиты в результате атаки, так и потенциальный ущерб от ее реализации.
Умножением матрицы достоверности МЕ и матрицы потенциального ущерба ЕМ получают квадратную матрицу достоверности потенциального ущерба «механизм защиты-механизм защиты» ММ:
ММГ,
тт
11
тт
12
тт^
21 тт^
ттт1 ттт2
тт1т
_тт_2т
тттт
(9)
где г = у = 1... т — число МЗ, а умножением матрицы ЕМ и матрицы МЕ получают
ЕЕпхп =
ее
і
11
ее
21
ее
п1
ее12 | ЄЄ1п
ее 22 \ ее2 п
ЄЄп2 ! еепп
(10)
где г = у = 1,..., п — число эшелонов СЗИ.
Для матрицы ММ в качестве обобщающего показателя можно рассматривать вектор, образованный диагональными элементами тт = р, г = у = 1...т, матрицы □
у г
вектор достоверности распределения потенциального ущерба по механизмам защиты СЗИ
Р,хт = ^1 ’ Р2-~Рт)
(11)
а для матрицы ЕЕ — вектор из ее диагональных элементов ее = й, г = у = 1....п, вектор
У г
достоверности распределения ущерба по эшелонам СЗИ
Э1хп = (й1 ,й 2 ,----йп). (12)
Пятый шаг. В качестве интегральных оценок защищенности инфокоммуникаци-онной системы КАИС «Безопасный город» в разрезе механизмов защиты можно использо-в ать р е йтингов ый показ атель Я длину т-мерного вектора Р
М 1хт
1хт
т
Ї9? 2
Р , і =1.
І = 1
т
(13)
а в разрезе эшелонов СЗИ — рейтинговый показатель Я — длину п- мерного вектора Э
Е 1хп
а
1хп
І ”¿2
І =1
І = 1.
(14)
Текущую эффективность интеллектуальной СЗИ целесообразно оценить в относительных величинах, используя в качестве пороговых значений максимальные значения рейтинговых показателей Я и Я , учитывающие достоверную активацию во
Ытах Етах
всех эшелонах многоуровневой СЗИ только активированных механизмов защиты, предотвращающих по каждому из механизмов защиты нанесение ущерба, равного максимально допустимому.
Я
Пы
П Е
Ы
Я
Ы тах
(15)
Я
Е
1-Етах (16)
Показатели применимы для оценки защищенности систем по множеству известных угроз и по подмножеству угроз: нарушения целостности, конфиденциальности, доступности информации.
С ростом сложности объектов информатизации, изменением множества и характера угроз информационной безопасности, особенно угроз несанкционированного удаленного доступа к ресурсам и процессам критических информационных систем, задача количественной оценки защищенности является актуальной.
п
Корректная оценка защищенности критических информационных систем необходима для выполнения сравнения аналогичных по назначению и уровню сложности систем либо для мониторинга динамики уровня защищенности конкретной информационной системы во времени.
ЛИТЕРАТУРА
1. Дунин В.С., Бокова О.И., Хохлов Н.С. Построение модели интеллектуальной системы управления безопасностью объекта информатизации ОВД на основе нечеткой нейронной продукционной сети // Вестник Воронежского института МВД России. — 2011. — №2. — С. 48 — 59.
2. Дунин В. С. К вопросу о построении модели управления подсистемы защиты информации комплексной автоматизированной интеллектуальной системы «Безопасный город» // Актуальные вопросы эксплуатации систем охраны и защищенных телекоммуникационных систем: сб. материалов Всероссийской научно-практической конференции курсантов, слушателей, студентов, адъюнктов и молодых специалистов. — Воронеж: Воронежский институт МВД России, 2011. — С. 91—92.
3. Борисов В.В., Круглов В.В., Федулов А.С. Нечеткие модели и сети. — М.: Горячая линия — Телеком, 2007. — 284 с., ил.
4. Нестерук Г.Ф., Куприянов М.С., Елизаров С.И. К решению задачи нейро-нечеткой классификации // Сб. докл. VI меж. конф. 8СМ-2003. — СПб.: СПГЭТУ, 2003. — Т. 1. — С. 244—246.
5. Адаптивные средства обеспечения безопасности информационных систем / Нестерук Ф.Г. [и др.]. — СПб.: Изд-во Санкт-Петербургского политехнического университета, 2008.
6. Суханов А.В. Оценки защищенности информационных систем // Журнал научных публикаций аспирантов и докторантов. — 2008. — №4.
7. Повышение избыточности информационных полей адаптивных классификаторов системы информационной безопасности / Нестерук Г.Ф. [и др.] // Специальная техника. — 2006. — №1.
8. Теоретические основы компьютерной безопасности / Девянин П.Н. [и др.]. — М. : Радио и Связь, 2000.
9. Осовецкий Л., Шевченко В. Оценка защищенности сетей и систем // Экспресс-электроника. — 2002. — №2—3. —С.20—24.
