CC BY
83
УДК 004.056.5 ББК 32.973.26-018.2 С 37
Симанков В.С.
Доктор технических наук, профессор, ректор института современных технологий и экономики, Краснодар, тел. (861) 275-11-10, e-mail: vs@simankov.ru Колодий А.С.
Старший преподаватель кафедры вычислительной техники, информационных технологий и ес, , e-
mail: admin@comp-info.ru
Подходы к реализации архитектуры интеллектуальной системы обнаружения атак
(Рецензирована)
Аннотация
,
, . -
дены результаты анализа требований к отдельным видам обеспечения таких систем, показаны направления повышения эффективности их функционирования.
Ключевые слова: сетевые атаки, системы обнаружения атак, адаптивные системы управления, моделирование, принятие решений.
Simankov V.S.
Doctor of Technical Sciences, Professor, Rector of Institute of Modern Technologies and Economy, Krasnodar, ph. (861) 275-11-10, e-mail: vs@simankov.ru Kolodiy A.S.
Senior Lecturer of Department of Computer Facilities, Information Technologies and Natural-Science Disciplines, Institute of Modern Technologies and Economy, Krasnodar, e-mail: admin@comp-info.ru
Approaches to realization of Intelligent Intrusion Detection System architecture
Abstract
This paper describes the architecture models of Intelligent Intrusion Detection System and presents some formal descriptions of its general functioning procedure. Results of the analysis of requirements to separate types of support in such systems are given. The ways to increase their operation efficiency are shown.
Keywords: network attacks, intrusion detection systems, adaptive control systems, modeling, decision making.
Непрерывно возрастающие требования к безопасности интеллектуальных систем (ИС) обуславливают актуальность создания адаптивной подсистемы обнаружения и противодействия сетевым атакам, т.к. в современных условиях необходимо достижение такого уровня требований к безопасности, надежности и эффективности информационных систем (как объекта защиты), когда недостаточно реализации стандартного набора технических или организационных мер. Правильно спроектированная и реализованная система обнаружения атак (СОА) в состоянии систематизировать процессы обеспечения безопасности и соблюдения политик, отслеживать выполнение процессов и вносимые в них изменения, что в конечном итоге позволяет обеспечить «прозрачность» защищаемой системы и протекающих в ней информационных процессов, повышая ее эффективность.
Основные недостатки традиционных подходов к разработке и реализации СОА определяются жесткостью и статичностью построения их архитектуры, что приводит к
неспособности комплексного и эффективного противодействия реальным, постоянно изменяющимся угрозам. Применение набора алгоритмических и математических моделей интеллектуальной адаптивной обработки данных повышает точность как процедур распознавания аномалий, так и выбора наиболее адекватных мер противодействия. При этом возможность обучения СОА создает предпосылки для повышения точности принимаемых решений в текущих ситуациях.
Следовательно, необходимо обеспечить повышение уровня «интеллектуализации» процессов обработки информации в СОА в результате применения накопленного потенциала математических моделей и методов подготовки и принятия решений. Вместе с тем следует учитывать нелинейный характер течения большинства сетевых атак и аномалий, из-за чего требуется непрерывно и адекватно моделировать альтернативные варианты решений и принимать решения в условиях неполной, недостоверной и противоречивой информации [1].
Структурная схема интеллектуальной подсистемы управления в составе СОА представлена на рисунке 1.
Рис. 1. Модель адаптивной системы обнаружения атак
Разрабатываемая СОА представляет интерактивный человеко-машинный программный комплекс, исходными моделями которого являются имитационные, математические, структурно-функциональные, лингвистические и иные модели. Свойства формальной ситуационной модели определяются функциональными свойствами механизмов преобразования в формальные математические модели [2].
Модель архитектуры принятия решений показана на рисунке 2.
Онтологическая БЗ
Подсистема управления знаниями
Онтология прецедентов проблемных ситуаций
<---
1
1
Онтология п редметиом иб.'КІСПІ
1
База
правил
Модуль оценки эффективности
Подсистема
поиска
-3»
1
Механизм
рассуждений
1 ^ і - 1
Модуль адаптйции < Ядро интеллектуальной СППР По.' і ьзо ва і ельски й - интерфейс
Рис. 2. Модель архитектуры принятия решений в интеллектуальной СОА
Распознавание аномалии (как проблемной ситуации - ПС) состоит в том, чтобы на основании обработки и анализа информации о векторе признаков Лг-, принимающего определенный интервал значений (данные от системы мониторинга безопасности), отнести его к определенному классу возможных аномалий:
п
А" = иЛ( , А,- = (аи.Л-,..,а/,..ат),
1=1
.к п ;. =;!. / ^ у-'": ^ ,
Ч(А1е А")3(catego¡yJ е Сшс^ту :у/(А.)- сше^опг)
Существующие алгоритмы на основе онтологий позволяют производить анализ, сравнение и кластеризацию отслеживаемых аномалий. Предлагаемые алгоритмы поиска позволяют использовать как стандартные процедуры онтологических выводов, так и поиск с сопоставлением (аналогии-прецеденты) с последующим выбором наиболее подходящего класса по мерам близости (рис. 3).
Процедура обнаружения (мониторинга) инициализирует запрос д, который представляет собой набор характеристических признаков классов, которые соответствуют заданным параметрам (указанному выше вектору а) В результате производится классификация аномалий (по принадлежности к категории проблемных ситуаций - задача кластеризации) с использованием алгоритмов кластеризации [3, 4].
Далее осуществляется поиск по всем экземплярам 1сд уже выбранного класса аномалий и сравнение признаков запроса с отдельными экземплярами (элементами - возможен сигнатурный анализ) кластера аномалий с использованием базы онтологий.
Определим локальную меру сходства для отношения принадлежности «й-а»:
где Сц(е) - совокупность кластеров конкретного класса Сг (онтология);
С - множество экземпляров кластера (т.е. классов в онтологии); си с - выбранные классы в кластере, принадлежащие множеству признаков аномалии С;
Я - отношения принадлежности «/¿-а» классов.
Рис. 3. Алгоритм поиска прецедента в онтологической базе знаний СОА
Для точной классификации аномалии в пределах выбранного кластера и выбора конкретного контура противодействия сформулируем меру сходства для отношения «раН-в]» (конкретный экземпляр - аномалия в рамках класса) [5]:
где ¿/V .. 5 ¿г';, с/' /., % (1\ - признаки сравниваемых аномалий по совпадениям характерных атрибутов и отличительным особенностям;
1,т - количество таких признаков в каждом типе аномалий (необходимо для настройки автоматизированной работы подсистемы управления СОА);
/¿¡т1 - функция определения близости по сравнению признаков типа Т;
Wj - вес признака у (мера существенности, определяемая администратором безопасности или экспертом).
После расчета локальных мер сходства отдельных характеристических признаков рассматриваемой аномалии с имеющимися в базе данных (БД) сигнатурами и онтологиями определенного класса вычисляется глобальная мера:
где q - рассматриваемый инцидент (потенциальная аномалия);
^ - экземпляр БД (шаблон или прецедент);
м^-а, 1^Ро - веса вычисленных отношений принадлежности [3, 6].
В соответствии с предложенными моделями и алгоритмами разработана обобщенная методика функционирования интеллектуальной адаптивной СОА (рис. 4).
Рис. 4. Архитектура интеллектуальной СУИБ
Такая комплексная СОА может использовать возможности всех подсистем в составе системы информационной безопасности сети для мониторинга и обнаружения аномалий: на вход модуля обнаружения подается весь объем необходимых данных с последующей агрегацией и корреляцией событий, что повышает эффективность такой системы. Предлагаемый подход основывается на методологии ситуационного моделирования и управления, что позволяет повысить уровень формализации процедур принятия решений за счет классификации возникающих ситуаций и выбора способов их обработки на основе экспертных знаний и применения формальных методов.
Примечания:
1. Архипова Н.И., Кульба В.В. Управление в чрезвычайных ситуациях. М.: РГГУ, 1994. 196 с.
2. Бусленко В.И. Автоматизация имитационного моделирования сложных систем. М., 1977. 427 с.
3. Ларичев С .И. Человеко-машинные процедуры принятия решений // Автоматика и телемеханика. 1971. № 12. С. 7-12.
4. Могилевский В.Д. Формализация динамических систем: М.: Вузовская книга, 1999. 216 с.
5. Филиппович А.Ю. Интеграция систем ситуационного, имитационного и экспертного моделирования: Дис. канд. техн. наук: 05.13.06 М., 2004. 166 .
6. Малинецкий Г.Г., Потапов А.Б. Современные проблемы нелинейной динамики. М.: Эдитори-ал УРСС, 2000. 336 с.
References:
1. Arkhipova N.I., Kulba V.V. The management in emergency situations. M.: RGGU, 1994. 196 pp.
2. Buslenko V.I. Automation of simulation modeling of complex systems. M., 1977. 427 pp.
3. Larichev S.I. Man-machine procedures of decision-making // Automatic equipment and telemechanics. 1971. No. 12. P. 7-12.
4. Mogilevskiy V.D. Formalization of dynamic systems: M.: Vuzovskaya kniga, 1999. 216 pp.
5. Filippovich A. Yu. Integration of systems of situational, simulation and expert modeling: Dis. for the Cand. of Tech. Sciences degree.: 05.13.06 M., 2004. 166 pp.
6. Malinetskiy G.G., Potapov A.B. Modern problems of nonlinear dynamics. M.: Editorial URSS, 2000. 336 pp.
