CC BY
75
Раздел VI. Информационная безопасность
УДК 681.324
Ю.А. Брюхомицкий
ПРЕДПОСЫЛКИ СОЗДАНИЯ МОДЕЛЕЙ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ НА ПРИНЦИПАХ ФУНКЦИОНИРОВАНИЯ ИММУННЫХ СИСТЕМ
, -лей компьютерной безопасности, сводящихся к проблеме нахождения отличий «своего» от «чужого». Предлагается расширить применяемую для этих целей модель, основанную на алгоритме отрицательного отбора, путем введения в нее свойств двойной — параметрической и структурной — тастичности. Сформулированы основные принципы параметрической и структурной адаптации в моделях компьютерной безопасности. Результатом моделирования является адаптивная самоорганизующаяся структура, ориентированная на поддержание эффективного уровня обнаружения нарушений компьютерной безопасности при произвольно изменяющихся входных воздействиях.
Защищенные компьютерные системы; адаптивные модели компьютерной безопас-
; ; ; ;
.
Yu.A. Bryukhomitsky
BACKGROUND OF THE MODELS IN COMPUTER SECURITY PRINCIPLES
OF THE IMMUNE SYSTEM
Analyzes the prerequisites, conditions and restrictions when creating adaptive models of computer security, leading to the problem of finding the differences, "a" from "foreign". It is proposed to expand applied for this purpose a model based on negative selection algorithm, by introducing into it the properties of the double — the parametric and structural plasticity. The main principles of parametric and structural adaptation in models of computer security. The result is a simulation of an adaptive self-organizing structure, focused on maintaining an effective level of Computer security violations are detected by arbitrarily changing inputs.
Protected computer systems; adaptive models of computer security; the immune system; negative selection algorithm; double plasticity; immune response.
Назначение системы компьютерной безопасности — обеспечение безопасного функционирования автоматизированной информационной системы, которое реализуется в трех основных аспектах:
♦ обеспечение конфиденциальности (предотвращение несанкционированного доступа к информации);
♦ обеспечение целостности (предотвращение несанкционированного изме-
);
♦ обеспечение доступности (предотвращение несанкционированного огра-
).
Система компьютерной безопасности является надстройкой к компьютерной системе, и в целом они образуют защищенную компьютерную систему, которая, с точки зрения компьютерной безопасности, функционирует в потенциально враж-
Известия ЮФУ. Технические науки
дебной внешней среде. Регулирование взаимоотношений защищенной компьютерной системы с внешней средой определяется принятой политикой безопасно.
компьютерная система предпринимает определенные меры реагирования.
Значительная часть задач, решаемых системами компьютерной безопасности, по своей сути может быть сведена к проблеме нахождения отличий «своего» (легитимных пользователей и процессов, неиспорченных данных, допустимого программного кода, нормальной последовательности системных вызовов и т.п.) от потенциально опасного «чужого» (нелегитимных пользователей и процессов, ис, , -
).
Целью настоящей работы является анализ предпосылок создания адаптивных моделей систем компьютерной безопасности, основанных на принципах функционирования иммунной системы. При этом термин «система компьютерной безопасности» применяется далее только в рамках задач, сводящихся к сформулирован-
« » « ».
С позиции моделирования защищенной компьютерной системы с помощью механизмов иммунной системы можно выделить три уровня используемых аналогий:
1) защищенная компьютерная система рассматривается как аналог целостного организма;
2) система компьютерной безопасности рассматривается как аналог иммунной системы целостного организма;
3) политика безопасности защищенной компьютерной системы рассматривается как аналог иммунного ответа.
По первым двум уровням обозначенные аналогии являются достаточно прямыми и очевидными. Что касается третьего уровня - аналогии между политикой безопасности и иммунным ответом, то здесь подразумеваются существенные ог-.
Регулирование взаимоотношений организма с внешней средой в сфере микробиологической безопасности представлено, как известно [1, 2], иммунным ответом, сводящимся к уничтожению или нейтрализации чужеродных клеток. Причем принятие такого решения опосредовано коллективными действиями клеток иммунной системы предположительно без прямого вмешательства нервной системы организма (верхних уровней иерархии). В системах компьютерной безопасности виды реакций на нарушения компьютерной безопасности могут быть существенно различными (например, изоляция или удаление зловредного программного кода, запросы на подтверждение полномочий для определенных действий, закрытие портов, отключение пользователей и т.д.). Причем принятие решения может осуществляться на разных уровнях иерархии: на уровне системы компьютерной безопасности ( , ), -терной системы (например, запросы на подтверждение полномочий для выполнения ),
( , , -).
на принципах иммунной системы политику безопасности защищенной компьютерной системы условно ограничим простыми реакциями, сводящимися к выдаче сигналов о наличии нарушений компьютерной безопасности.
Применение иммунологического подхода в сфере компьютерной безопасности ограничивается, как правило, наиболее распространенной иммунологической моделью, основанной на алгоритме отрицательного отбора (АОО) [3, 4], который был построен на принципах распознавания «свой - чужой» в системе иммунитета [5]. В самом общем виде он формулируется следующим образом.
1. « », -, -. .
2. Создается набор детекторов «произвольных чужих», каждый из которых не должен совпадать с любой строкой нормальной совокупности строк
« ». -
, , они идентичны в определенном числе смежных позиций.
3.
квантование по уровням в формате, принятом в п. 1, а затем проверка на предмет изменений путем непрерывного сопоставления с детекторами. Активация детектора свидетельствует о появлении измененной строки. Известные разработки по применению алгоритма отрицательного отбора ( ) -щие результаты [3, 6, 7]. Вместе с тем АОО, используемый в системах компьютер, -ную стадию сложного процесса формирования иммунного ответа. По существу, первый пункт АОО моделирует принцип сетевого представления исходных данных системы компьютерной безопасности в виде совокупности клеток, подлежащих анализу на предмет чужеродности. Во втором пункте АОО показан принцип
, -( ). , -ния входных данных с детекторами моделируется процесс обнаружения чужерод-( ).
Ключевым свойством иммунных сетей, не нашедшим отражения в АОО, является их двойная внутренняя пластичность. Двойная пластичность обеспечивает функционирование иммунной сети в условиях непрерывных возмущений, вызываемых онтогенетическими изменениями организма и его взаимодействием с .
адаптации на основе параметрических и структурных изменений. Термином «па» , -теме в ходе выполнения некоторой задачи изменять параметры функционирования для повышения ее эффективности [8].
Двойная пластичность обеспечивает функционирование информационной системы в условиях непрерывных возмущений, вызываемых онтогенезом и внеш.
.
сводится к способности добавления новых элементов и исключения уже имею.
В [9] Ерне на модели иммунной сети показал принцип реализации двойной
,
эффективности иммунной реакции при повторном контакте с антигеном:
1. , -щих по всему телу. Основными из них, участвующими в иммунном отве-, ( - - ).
- ( , , ) -это вспомогательные клетки, обеспечивающие уничтожение или нейтрализацию обнаруженных антигенов.
2. - ,
часть лимфоцитов способна к распознаванию его пептидов (частиц анти).
3. -
,
( ).
популяцию специфичных к антигену антител.
Взаимодействие клона антител с антигеном приводит к уменьшению концентрации и антител, и антигена.
, , , это приводит к активации и размножению антител второго типа (анти).
- -
ной комплементарное™ и приводит к уменьшению концентрации антител.
7. , -
ствует более быстрому иммунному ответу при последующих появлениях
.
Принцип обнаружения и нейтрализации чужеродных клеток в иммунной системе поясняет рис. 1.
4.
5.
6.
Рис. 1. Процесс обнаружения и нейтрализации чужеродных клеток в гшмунной
системе
В результате указанных процессов концентрация антител первого типа, необходимых для подавления попавшего в организм антигена, поддерживается на определенном среднем уровне, а формирование памяти порождает процесс образо-
вания нового баланса в сети. Эта разновидность гомеостаза создает устойчивость сети, предохраняет ее от коллапса и неконтролируемого размножения клеток, несмотря на постоянные взаимодействия с внешними и внутренними антигенами.
Приведенная схема иммунного ответа хорошо иллюстрирует основные принципы [1], которым, по всей видимости, должны удовлетворять адаптивные распре, .
Структурные изменения (приток новых антител) происходят реже, чем пара-( ).
Структурные изменения зависят от временной эволюции параметров системы. Приток антител второго типа происходит лишь после того, как концентрация антител первого типа достигает определенного уровня.
Характер структурных изменений определяется сетевыми взаимодействиями, а не только внешними факторами.
Вновь добавляемые элементы комплементарны, а не подобны уже имеющимся.
Из рассмотрения модели функционирования иммунной сети следует важный вывод: за достижение полезного результата отвечает коллективное поведение системы, а не ее взаимодействие с внешней средой [1].
Нетрудно заметить также, что даже в сильно упрощенном виде, процесс обнаружения и нейтрализации чужеродных клеток в иммунной системе гораздо , . отразить указанные важные свойства иммунной сети в соответствующих моделях систем компьютерной безопасности для придания последним свойств адаптивности в условиях высокой динамики взаимодействия с потенциально опасным внеш.
Свойство двойной пластичности иммунных сетей позволяет сформулировать основные принципы параметрической и структурной адаптации при их моделировании в системах компьютерной безопасности:
1.
времени параметрической адаптации.
2. -, , зависеть от внешних факторов.
3. -
, .
С условием принятого выше ограничения по способу реагирования на «чужих» , ,
, .
1. , модели иммунной системы, создается на основе АОО [1, 3], после чего она включается в режим функционирования.
2. -дут возникать события, состоящие в появлении строк входного сигнала,
« » ( ). -( ).
3.
со строками входного сигнала, вызвавшими их срабатывание. Например, в строке входного сигнала появилось сочетание значений 10 15 20, вызвавшее срабатывание детектора вида 8 14 5 10 15 20 13 2. Это сочетание значений используется как скользящее окно в строке символов детектора. При этом остальные позиции строки заполняются случайно в заданном . , - -
, 10 15 20,
оно в разных смежных позициях. Например:
8 14 5 10 15 20 13 2;
11 6 10 15 20 19 9 12;
4 10 15 20 7 16 19 10;
18 19 5 2 15 10 15 20 и т.д.
Вторичные детекторы в процессе генерации, как и первичные, проверяются
« ». , -рых такое соответствие обнаруживается, уничтожаются. Оставшиеся вторичные детекторы пополняют набор первичных детекторов. Число генерируемых вторичных детекторов автоматически регулируется заданным числом вторичных детекторов, оставшихся после проверки, на частичное соответствие с эталоном «сво-». -темы играют роль антител, комплементарных к строкам входного сигнала, принадлежащих “чужому” (антигену).
1. , , -чаются в процесс анализа входного сигнала и способствуют повышению
« », . повторном появлении «чужого» с близкими параметрами вторичные детекторы будут играть роль памяти системы компьютерной безопасности на данный вид ее нарушения.
2. -ности и соответствующая реакция системы компьютерной безопасности формируется как вероятностная величина по совокупности откликов всех ( , ).
3. Непрерывное создание вторичных детекторов для разных «чужих» будет неизбежно приводить к неограниченному росту общего числа детекторов. Для поддержания баланса детекторов на заданном уровне необходим какой-то механизм их регулирования. Используя аналогии с нервной и иммунной системами, можно, например, встроить механизм определения ,
анализа входного сигнала, и уничтожать их в количестве, пропорциональном количеству включаемых вторичных детекторов. В такой механизм целесообразно также ввести функцию забывания, которая будет выбирать кандидатов на уничтожение по значению периода времени, прошедшего после их последней активации.
Все этапы указанного процесса реализуются параллельно и являются составными фазами рабочего режима системы компьютерной безопасности. То есть традиционные для подобных систем этапы обучения и рабочего функционирования здесь органично взаимосвязаны между собой и регулируются внутренними коллективными взаимодействиями элементов, лишь опосредованно стимулируемыми .
Система компьютерной безопасности, созданная по описанной схеме, будет представлять собой адаптивную самоорганизующуюся структуру, ориентированную на поддержание эффективного уровня обнаружения нарушений компьютерной безопасности в условиях произвольно изменяющихся внутренних состояний информационной системы и внешних воздействий.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Искусственные иммунные системы и их применение / Под ред. Д. Дасгупты; Пер. с англ. под ред. А.А. Романюхи. — М.: Физматлит, 2006. — 344 с.
2. Kuby J. Immunology. W.H. Freeman and Co., 2nd edition, 1994.
3. Forrest S., Perelson A.S., Allen L., Cherukuri R. Self-nonself discrimination in a computer // In: Proc. of IEEE symposium on research in security, Oakland, CA, 16-18 May, 1994.
— P. 202-212.
4. Dasgupta D., Forrest S. Tool breakage detection in milling operations using a negative-selection algorithm // Technical report CS95-5, Department of computer science, University of New Mexico, 1995.
5. Percus J.K., Percus O., Perelson A.S. Predicting the size of the antibody combining region from consideration of efficient self/non-self discrimination // PNAS. — 1993. — Vol. 60.
— P. 1691-1695.
6. D'haeseleer P., Forrest S., Helman P. An immunological approach to change detection: algorithms, analysis, and implications // In: Proc. of Ieee symposium on research in security, Oakland, CA, May, 1996.
7. Forrest S., Hofmeyr S.A Somayaji A., Longstaff T.A. A sense of self for unix processes // In: Proc. Of IEEE symposium on research in security and privacy, Oakland, CA, May, 1996.
8. Bersini H., Varela F. The immune learning mechanisms: Recruitment reinforcement and their applications // Computing with biological metaphors (Ed/ R/ Patton). — L.: Chapman and Hall, 1994.
9. Jerne N.K. Towards a network theory of the immune system // Ann. Immunol. (Inst/ Pasteur).
— 1974. — Vol. 125. — P. 435-441.
Статью рекомендовал к опубликованию к.т.н. М.Ю. Руденко.
Брюхомицкий Юрий Анатольевич — Технологический институт федерального государственного автономного образовательного учреждения высшего профессионального образования «Южный федеральный университет» в г. Таганроге; e-mail: bya@tsure.ru; 347928, г. Таганрог, ул. Чехова, 2; тел.: 88634371905; кафедра безопасности информационных технологий; доцент.
Bryukhomitsky Yuriy Anatoly — Taganrog Institute of Technology — Federal State-Owned Autonomy Educational Establishment of Higher Vocational Education “Southern Federal University”; e-mail: bya@tsure.ru; 2, Chekhov street, Taganrog, 347928, Russia; phone: +78634371905; the department of security in data processing technologies; associate professor.
УДК 004.056; 004.8
. . , . . , . .
ПРИМЕНЕНИЕ ГРАФОВ АТАК ДЛЯ МОДЕЛИРОВАНИЯ ВРЕДОНОСНЫХ СЕТЕВЫХ ВОЗДЕЙСТВИЙ
Использование графов атак при проведении анализа защищённости позволяет учесть взаимосвязи отдельных узлов и их параметры защищенности, что даёт более точные данные для оценки защищенности всей системы в целом, чем при исследовании свойств защищенности отдельных узлов.
Эта статья описывает процесс расчета графа атак, анализ полученных результатов и оценку эффективности существующих контрмер.
, < - >. -
, NAT, -
ния в графе атак детализированы до триады конфиденциальность, целостность, доступ>. , . Представлены результаты экспериментальной оценки производительности системы. Для анализа 10 000 моделируемых хостов потребовалось в среднем около 100 секунд.
