Применение методологии прецедентных моделей в системе риск-менеджмента, направленного на раннюю диагностику компьютерного нападения Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.4

Г. Э. Яхъяева \ О. В. Ясинская 2

Новосибирский государственный университет ул. Пирогова, 2, Новосибирск, 630090, Россия

E-mail: 1 gulnara@math.nsc.ru; 2 yasinskaya.olga@gmail.com

ПРИМЕНЕНИЕ МЕТОДОЛОГИИ ПРЕЦЕДЕНТНЫХ МОДЕЛЕЙ В СИСТЕМЕ РИСК-МЕНЕДЖМЕНТА, НАПРАВЛЕННОГО НА РАННЮЮ ДИАГНОСТИКУ КОМПЬЮТЕРНОГО НАПАДЕНИЯ

Рассмотрены современные подходы к задаче обеспечения информационной безопасности компании. Проанализированы предложенные этими подходами методы работы с начинающимся нападением. Предложен новый подход ранней диагностики кибератаки. Данный подход основан на построении формальных моделей прецедентов компьютерных атак и адаптации к этим моделям ДСМ-метода автоматического порождения гипотез. Изложены математические основы и описана программная реализация предлагаемого подхода.

Ключевые слова: информационная безопасность, компьютерная атака, управление рисками, прецедент компьютерной атаки, прецедентная модель, ДСМ-метод.

Введение

Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации. В связи с этим проблема информационной безопасности становится все более и более актуальной. Реалии российской киберпреступности поражают масштабом и динамикой роста. По статистике МВД РФ 1 в 2008 г. было зарегистрировано 9 010 преступлений в сфере информационной безопасности, в 2009 г. - уже около 15 тыс. В 2010 г. количество инцидентов в области информационной безопасности (кражи ключей, ББо8-атак и т. д.) выросло на 80-100 % по сравнению с 2009 г. А это значит, что в 2010 году российские компании столкнулись с порядка 30 тыс. инцидентов в области киберпреступлений. По данным МВД России, за первые месяцы 2011 г. количество киберпреступлений в России увеличилось на 95 % по сравнению с аналогичным периодом 2010 г. С каждым годом увеличивается не только количество киберпреступлений, но и величина ущерба, который они наносят.

Таким образом, в современных условиях наличие развитой системы информационной безопасности становится одним из важнейших условий конкурентоспособности и даже жизнеспособности любой компании.

Одним из перспективных развитий в данной области является моделирование систем информационной безопасности с использованием онтологий как спецификаций данной предметной области [1; 2].

На основе данной методологии в Новосибирском государственном университете была разработана программная система Ш8кРапе1 2, по существу являющаяся рабочим местом специалиста (группы специалистов) по обеспечению корпоративной информационной безопас-

1 http://www.mvd.ru/

2 Свидетельство о государственной регистрации программ для ЭВМ № 2011617412 от 23.09.2011.

ISSN 1818-7900. Вестник НГУ. Серия: Информационные технологии. 2012. Том 10, выпуск 2 © Г. Э. Яхъяева, О. В. Ясинская, 2012

ности. Разработанная программная система направлена на осуществление риск-менеджмента по информационной безопасности.

Программный комплекс RiskPanel имеет модульную структуру, позволяющую подключать к нему новые модули. Данная статья посвящена описанию модуля ранней диагностики компьютерного нападения и управления рисками в условиях начавшегося нападения.

Обзор программных систем обеспечения информационной безопасности

Существует множество различных программных систем для обеспечения информационной безопасности. По способу подхода к решению проблемы компьютерной безопасности все существующие программные продукты можно разделить на три основные категории:

• программы, предназначенные для проведения профилактических работ;

• программы, предназначенные для обнаружения и предотвращения компьютерных атак;

• программы, предназначенные для анализа и оценки рисков неблагоприятных событий.

Программные системы, предназначенные для проведения профилактических работ. Данная категория программного обеспечения объединяет в себе системы, предназначенные для проведения резервного копирования данных, проверки прочности паролей, сканирование операционной системы и установленного на компьютере программного обеспечения на предмет возможных уязвимостей.

В качестве примера программной системы резервного копирования и восстановления информации рассмотрим продукт HP Data Protector 3, который позволяет автоматизировать большую часть работы по резервному копированию и восстановлению информации, составляет отчеты по результатам выполненных задач, гарантирует сохранность информации в течение заданного времени.

Примером программы для проверки прочности паролей является программа Medusa 4, работающая под ОС Linux. Medusa соединяется с сервисом, например, через веб-страницу или FTP-сервер, и пытается авторизоваться, используя различные имена пользователя и пароли. Чтобы проверить устойчивость пароля отдельного пользователя, необходимо предоставить список паролей, которые и будет перебирать Medusa.

Примером программы, позволяющей сканировать операционную систему и установленное на компьютере программное обеспечение на предмет возможных уязвимостей, является модуль поиска потенциальных уязвимостей в составе Kaspersky Internet Security 2012 5. В данном продукте диагностика безопасности компьютера ведется по многим направлениям: анализируются системные службы, процессы и драйверы, проверяются установленные программы, сканируются параметры Windows. Все обнаруженные на этапе анализа системы аномалии группируются с точки зрения опасности, которую они представляют для компьютера. Для каждой группы предлагается набор действий, выполнение которых поможет устранить проблемные места в Windows.

Также следует упомянуть онлайновое приложение Windows Live OneCare 6, осуществляющее проверку компьютера на предмет наличия вредоносного и шпионского ПО, выполняющее сканирование открытых портов, которые могут использоваться вирусами и злоумышленниками, анализирующее реестр и прочие компоненты операционной системы.

Программные системы, предназначенные для обнаружения и предотвращения компьютерных атак. Такие системы уже давно применяются как один из необходимых рубежей обороны информационных систем. Исследования в области обнаружения атак на компьютерные сети и системы ведутся уже больше четверти века.

3 Стаценко П. Основы резервного копирования и восстановления информации на примере программного продукта HP Data Protector: Учеб. курс // Интернет-университет информационных технологий INTUIT.ru.

4 Rubens P. Medusa: Open Source Software «Login Brute-Forcer» for Password Auditing. URL: http://www. server-watch.com/tutorials/article.php/3886791/Medusa-Open-Source-Software-Login-BruteForcer-for-Password-Auditing.htm/

5 Интернет-портал компании «Лаборатория Касперского», разработчика ПО «Kaspersky Internet Security 2012». URL: http://www.kaspersky.ru/

6 Крупин А. Поиск уязвимостей в Windows // Онлайн-журнал «Компьютерра», раздел «Софтерра». 07.09.2009.

В настоящее время системы обнаружения вторжений и атак обычно представляют собой программные или аппаратно-программные решения, которые автоматизируют процесс контроля событий, протекающих в компьютерной системе или сети, а также самостоятельно анализируют эти события в поисках признаков проблем безопасности.

Все системы обнаружения вторжений можно разделить на системы, ориентированные на поиск:

• аномалий взаимодействия контролируемых объектов;

• сигнатур всех узнаваемых атак [3].

Сигнатурные методы позволяют описать атаку набором правил или с помощью формальной модели, в качестве которой может применяться символьная строка, семантическое выражение на специальном языке и т. п. Суть данного метода заключается в использовании специализированной базы данных шаблонов (сигнатур) атак для поиска действий, подпадающих под определение «атака». Эффективность работы сигнатурной системы определяется тремя основными факторами: оперативностью пополнения сигнатурной базы, ее полнотой с точки зрения определения сигнатур атак, а также наличием интеллектуальных алгоритмов сведения действий атакующих к некоторым базовым шагам, в рамках которых происходит сравнение с сигнатурами.

Системы поиска аномалий идентифицируют необычное поведение («аномалии») в функционировании контролируемого объекта. В качестве объекта наблюдения может выступать сеть в целом, отдельный компьютер, сетевая служба (например, файловый сервер FTP), пользователь и т. д. Сигнализация системы срабатывает при условии, что действия, совершаемые при нападении, отличаются от «обычной» (законной) деятельности пользователей и компьютеров.

Наиболее распространенной реализацией технологии обнаружения злоумышленного поведения являются экспертные системы. Представителем такой системы является бесплатно распространяемая и наиболее популярная система Snort 7. Данная система разрабатывается компанией «Sourcefire» и может быть использована для обнаружения различных видов атак, таких как переполнение буфера, сканирование портов и др.

В сфере защиты рабочих станций также известна система Cisco Security Agent (CSA) 8. Данная система объединяет различные защитные механизмы и функции в одном решении: предотвращение атак, персональный межсетевой экран, защита от вредоносного кода, контроль целостности, блокирование утечки информации через USB-порты и другие внешние устройства, ограничение возможностей интернет-пейджеров (например, ICQ), обнаружение перехватчиков с клавиатуры и т. п.

Особый интерес в сфере защиты рабочих станций представляет Proventia Desktop Endpoint Security (Proventia Desktop) - решение американской компании «Internet Security Systems» 9, предназначенное для защиты рабочих станций. Основная идея данной системы состоит в том, что наиболее уязвимыми узлами корпоративной сети являются рабочие станции, на которых обрабатывается большой объем конфиденциальной информации и хранится интеллектуальная собственность компании.

Из российских разработок интересно рассмотреть систему раннего предупреждения и прогнозирования атак NetTrap 10. Разработанная компанией «Информзащита» сетевая обманная система NetTrap обеспечивает осведомленность компании-заказчика о направленных против нее акциях сетевой разведки. При этом имеется возможность сбора данных для дальнейшего расследования инцидента. Для выявления истинных методов и мотивов злоумышленника в системе NetTrap применяется совокупное использование традиционных средств противодействия вторжениям (обнаружение по заданному шаблону и обнаружение по аномалиям в поведении) со средствами, позволяющими осуществить скрытый мониторинг действий злоумышленника, изучить его средства, тактику и уровень квалификации.

7 Интернет-портал компании «Sourcefire», разработчика ПО «Snort»: http://www.snort.org/

8 Интернет-портал компании «Cisco Systems», разработчика ПО «Cisco Security Agent»: http://www.cisco.com/

9 Интернет-портал компании «IBM Internet Security Systems», разработчика ПО «Proventia Desktop Endpoint Security»: http://www.iss.net/

10 Интернет-портал компании «Информзащита», разработчика ПО «NetTrap»: http://www.infosec.ru/

Наиболее известной отечественной разработкой в области компьютерной безопасности является антивирус Касперского. Kaspersky Internet Security 2012 является продуктом класса Internet Security и предназначен для защиты домашних компьютеров. Данный продукт предоставляет не только базовые инструменты обеспечения безопасности, но и большой набор дополнительных инструментов. К ним относятся: безопасная среда запуска приложений и браузеров, монитор активности программ, сетевой экран, родительский контроль и т. д.

Заметим, что программные средства рассмотренных двух типов являются своего рода «таблетками», обнаружив ненормальное функционирование корпоративной информационной системы, они начинают «лечить» данную систему. При этом они не просчитывают целесообразность такого «лечения», вероятность того, что отказ от «лечения» приведет к нежелательным последствиям и т. п. Другими словами, они лишены функционала управления информационными рисками.

Программы анализа и оценки рисков неблагоприятных событий. Программы данного типа предназначены для проведения аудита информационной безопасности предприятия. Аудит дает возможность анализировать текущую безопасность функционирования корпоративной информационной системы, оценивать и прогнозировать риски, управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу поддержания безопасности ее активов. Анализ существующих программных систем, предназначенных для оценки таких рисков, приведен в работе [4].

Однако программные средства анализа и оценки информационных рисков не предназначены для проведения риск-менеджмента в условиях начавшейся атаки. Они предназначены для того, чтобы указывать на существующие «дыры» в обеспечении информационной безопасности предприятия. Но при начавшейся атаке они не способны указать, какие из существующих «дыр» нужно закрывать в первую очередь.

Описываемый в данной работе подход позволяет дополнить функционал системы RiskPanel средствами ранней диагностики начавшейся кибератаки. Учитывая информацию о конфигурации, о закрытых и незакрытых уязвимостях данной корпоративной системы, разработанный модуль может спрогнозировать характер начавшейся атаки, посчитать вероятность наступления тех или иных последствий, выдать список необходимых контрмер.

Математические основы разработанного подхода

Прецедентные модели. Принципиальное отличие математических основ предлагаемого подхода [5; 6] от традиционных методов оценки информационных рисков состоит в том, что здесь работа ведется не с числовыми оценками возможности срабатывания различных рисков, а с множествами прецедентов, на которых эти риски сработали. При стандартном подходе информация сначала оцифровывается (в другой терминологии фазифицируется), а потом обрабатывается. В рамках предлагаемого подхода вся имеющаяся информация, включающая и описание онтологии предметной области, и эмпирические данные, сначала полностью обрабатывается, и только окончательный результат фазифицируется, превращается в числа из интервала [0, 1]. Такой подход дает возможность на всех шагах обработки информации иметь дело с полностью релевантными данными, не искаженными оцифровкой.

Каждый прецедент компьютерной атаки будем описывать алгебраической системой A = (A, о^ , где А - основное множество алгебраической системы, а о - ее сигнатура. Сигнатура о - это множество понятий, на языке которых описывается данная предметная область: множество различных уязвимостей, угроз, контрмер, последствий и т. п. Будем считать, что у всех прецедентов компьютерных атак сигнатура одна. Обогатим сигнатуру о, добавив для

каждого элемента a константу ca: обозначим оA = о u {ca |a е A }. Алгебраические системы, с помощью которых описываем экземпляры предметной области, принадлежат классу К (о a ) ^ {f = [{C'A \a е A}, о a)|c? * cf при a * b }.

Через X ) обозначим множество всех подмножеств множества Х, через S(oA) -множество всех предложений (замкнутых формул) сигнатуры оА.

Алгебраическую систему A, являющуюся моделью некоторой компьютерной атаки, назовем прецедентом рассматриваемой предметной области. Для каждого набора прецедентов E определим прецедентную систему AE .

Определение 1. Пусть E С K(oA) - некоторое множество прецедентов. Прецедентной системой (порожденной множеством E) назовем алгебраическую систему AE ^^A, с, тE ^, где хE : S (сA )^p(E), причем для любого предложения ф сигнатуры oA выполнено te (ф) = {А e E| A N ф) .

Рассмотрим множество X всевозможных компьютерных атак (как уже произошедших и известных нам, так и тех, которые еще могут произойти). Очевидно, что в каждый момент времени наше знание об уже произошедших компьютерных атаках конечно. Однако это знание постоянно растет, пополняясь новыми прецедентами. Таким образом, можно предполагать, что потенциально множество X прецедентов компьютерных атак является счетным. При этом достаточно рассматривать только конечные подмножества множества X, как формализацию нашего знания о предметной области в разные моменты времени. Таким образом, будем рассматривать только прецедентные модели с конечным числом прецедентов.

Основной целью программной системы RiskPanel является идентификация и оценивание рисков, связанных с информационной безопасностью корпоративной информационной системы. В большинстве методик управления информационными рисками при их оценивании используются объективные и / или субъективные вероятности [7].

Под объективной вероятностью понимается относительная частота появления какого-либо события в общем объеме наблюдений или отношение числа благоприятных исходов к общему количеству наблюдений. Под субъективной вероятностью имеется в виду мера уверенности некоторого эксперта или группы экспертов в том, что данное событие в действительности будет иметь место.

В разработанном подходе при идентификации и оценивании рисков также используются объективная и субъективная вероятности. В нашем случае объективная вероятность - это функция истинности ц(ф) в нечеткой модели A^ (которая будет определена ниже), а субъективная вероятность - это оценка, сделанная экспертом. Опишем методы подсчета объективных вероятностей рисков.

Пусть у нас есть прецедентная модель AE , являющаяся математической формализацией базы знаний о прецедентах компьютерных атак. Для того, чтобы вычислить объективные вероятности происхождения тех или иных атак, определим понятие фазификации прецедентной модели.

Определение 2. Модель A^ =(A, сA, ц) назовем фазификацией прецедентной модели AE (и будем обозначать Aj^ = Fuz ( AE ), если для любого предложения ф сигнатуры oA выполнено ц(ф) = ^ E (ф) . Будем обозначать Aj^ Иаф, если ц(ф) = а.

IIEII

Постановка задачи ранней диагностики компьютерного нападения. Пусть знание о предметной области формализовано в виде прецедентной модели AE, определенной на сигнатуре oA. В рассматриваемой предметной области компьютерной безопасности эта модель описывает множество всех известных нам прецедентов компьютерных атак. Модель A^ = Fuz ( A E ) дает нам вероятностные оценки событий в данной предметной области.

Рассмотрим теперь прецедент новой, начинающейся атаки, который формализуется некоторой моделью Â î K(oA). Нам не известна элементарная диаграмма V = {фе Sa (сAN ф) данной модели. Однако известно некоторое подмножество Sw с V данной диаграммы. Перед нами ставится задача для некоторого предложения уе Sa (cA ) \ Sw определить, будет ли оно истинно на модели Â, т. е. принадлежит ли оно элементарной диаграмме V ?

ДСМ-метод на языке прецедентных моделей. Для получения ответа на поставленный вопрос мы будем использовать методологию ДСМ-метода автоматического порождения гипотез [8].

ДСМ-метод возник из попыток формализовать индуктивную логику Джона Стюарта Милля средствами многозначной логики предикатов. ДСМ-метод является теорией автоматизированных рассуждений и способом представления знаний для решения задач прогнозирования в условиях неполноты информации.

Однако описание ДСМ-метода на языке многозначных логик является трудным для алгоритмической реализации. Поэтому с целью компьютерной реализации данного метода обычно используют формализмы, отличные от языка многозначных логик. Наиболее известный формализм, используемый для описания ДСМ-метода с целью эффективной алгоритмической реализации метода, является язык соответствий Галуа и анализа формальных понятий

[9; 10].

Дадим формальное описание ДСМ-метода автоматического порождения гипотез на языке прецедентных моделей. Заметим, что описание ДСМ-метода в данной формализации позволяет не только применить его для разработки алгоритмов для системы Ш8кРапе1, но также вычислять вероятностные характеристики порожденных гипотез. Другими словами, прогнозируя положительный или отрицательный ответ на поставленный выше вопрос, мы можем высчитывать и вероятность того, что данный ответ верен.

В дальнейшем, переходя от прецедентных моделей к обобщенным нечетким моделям, мы сможем расширить данный метод на случай, когда наше знание о предметной области неполное или информация о новом прецеденте нечеткая.

Данный метод состоит из двух этапов. На первом этапе при анализе известных нам знаний о предметной области находятся множества атомарных предложений, которые в принципе могут быть предпосылками истинности / ложности предложения у. (Традиционно такие множества называют положительными и отрицательными гипотезами.)

На втором этапе каждую из полученных гипотез проверяют на совместимость с множеством 5Я, после чего дается окончательный ответ на поставленный вопрос. (Эту процедуру принято называть правилами правдоподобного вывода.)

Заметим, что не всегда можно получить окончательный (положительный или отрицательный) ответ. Возможна ситуация, когда мы обладаем недостаточной информацией для принятия решения, т. е. когда либо множество 5Я слишком мало, либо нашего знания о предметной области (модель АЕ) недостаточно. Возможна и другая ситуация, когда имеющаяся у нас информация оказывается противоречивой. В этом случае необходимо каким-то образом отфильтровывать противоречивую информацию.

Итак, пусть знание о предметной области информационной безопасности формализовано в виде прецедентной модели АЕ сигнатуры аА. А знания о начавшейся атаки формализованы

в виде множества предложений 5Я с 5а (сА) той же сигнатуры.

Определение. Рассмотрим фазификацию А, = (АЕ ) . Предложение фе 5 (сА ) назовем понятием модели А,,, если:

г

1) ф=ф1& Ф2&...&фи , где ф^..^ фи е 5а (с а );

2) ,(ф)>,(ф & £) для любого ^е 5а (СА У^.- фи } .

Определение. Формулу ф назовем положительной гипотезой по отношению к свойству у на модели А,, если:

г

1) ф & у - понятие на модели А, ;

2) ,(ф)>,(ф & у).

Определение. Формулу ф назовем отрицательной гипотезой по отношению к свойству у на модели А, , если:

г

1) ф& ^ у - понятие на модели А, ;

2) ц(ф) = ц(ф& ^ у).

Таким образом, положительной гипотезой является максимальный набор свойств прецедента компьютерной атаки (конъюнкция атомарных предложений сигнатуры оА), истинный на некоторых прецедентах, на которых выполнено свойство у, и ложный на всех прецедентах, на которых свойство у не выполняется. Аналогично определяется и отрицательная гипотеза.

На практике часто является трудным определить то пороговое количество прецедентов, на которых положительная / отрицательная гипотеза должна выполняться, для того чтобы ее можно было считать информативной [11]. Для решения этой проблемы можно использо-

„ ц(ф) ц(ф)

вать отношение степеней истинности соответствующих предложений —или —-—как

ц(у) ц(—у)

метрику, позволяющую количественно измерять степень информативности положительных / отрицательных гипотез.

Введем обозначения Г+ (у) и Г_ (у) для множеств всех положительных / отрицательных гипотез по отношению к свойству у на модели А. Следующим шагом является проверка

каждой гипотезы на совместимость с известной нам информацией о новой начавшейся атаке.

Правила правдоподобного вывода

1. ЭТ N у тогда и только тогда, когда:

а) Зфе Г+ (у): ЭТ N ф;

б) —ЗфеГ_(у): ЭТ N ф.

2. ЭТ N —у тогда и только тогда, когда:

в) ЗфеГ_(у): ЭТ N ф;

г) —Зфе Г+ (у): ЭТ N ф.

Замечание 1. Так как модель ЭТ не полностью определена, то выражения ЭТ N ф и ЭТ ф не являются взаимоисключающими, т. е. возможна ситуация, когда значение истинности предложения ф на модели ЭТ не определено.

Замечание 2. Может возникнуть ситуация, когда одновременно выполняются условия (б) и (г). Это говорит о том, что мы обладаем недостаточными знаниями для того, чтобы делать прогнозирование. В случае, если выполняются (а) и (в), то делается вывод, что мы обладаем противоречивыми знаниями.

Таким образом, мы предполагаем, что прецедент атаки ЭТ обладает (не обладает) признаком у, если существует хотя бы одна положительная (отрицательная) гипотеза, совместная с условием ^ЭТ и все отрицательные (положительные) гипотезы не совместны с этим условием.

Здесь опять же возникает вопрос о вероятностной оценке такого предположения. Интуитивно понятно, что чем больше прецедентов свидетельствуют в пользу данного предположения, тем больше вероятность того, что предположение верно. Количественно это можно выразить с помощью следующих метрик:

^(ФУпф)А(у) и ^ф)А(—у),

где Г' с Г+ (у), Г"сГ_(у) - множества гипотез, совместных с множеством предложений .

Программная реализация разработанного подхода

В рамках системы управления информационными рисками Ш8кРапе1 был разработан модуль ранней диагностики компьютерного нападения.

Для организации базы данных прецедентов и работы с ней было решено использовать технологию ОПоВох [12]. Это система представления и хранения данных в формате онтоло-

гий, обладающая мощными и гибкими инструментами обработки. Ее использование позволяет обеспечить большую степень модульности и мобильности баз знаний, что является преимуществом при разработке сложных информационных систем. В основе технологии лежит идея применения «интеллектуальных» средств математической логики к решению массовых задач построения информационных ресурсов.

В Оп1;оВох используется объектно-ориентированная структура данных, и основными понятиями здесь являются класс, объект и свойство. Под классом понимается множество объектов, при этом объект имеет возможность явно принадлежать многим классам. Существует два вида свойств: т-свойство и о-свойство. Если значением является значение типа строка, целое число и т. п., то свойство называется т-свойством. Если значением является объект, то свойство называется о-свойством. Оп1оВох рассчитан на использование в качестве встраиваемого в 1ауа-приложение хранилища, которое позволяет организовать достаточно эффективное хранение объектных данных.

В рамках данной разработки технологию Оп1юВох было решено использовать в первую очередь потому, что она позволяет организовывать данные в виде древовидных структур. Для этого достаточно создать класс и определить для него о-свойство, значениями которого будут объекты данного класса. Такой подход позволяет обеспечивать гибкость разрабатываемой системы. Так, при обнаружении нового вида вируса нет необходимости переписывать структуру данных программных модулей системы, достаточно добавить новый вид вируса в качестве подобъекта для объекта «Вирус» в базе данных Оп1юЬох, прописав необходимые связи между объектами.

Для описания прецедентов в базе знаний Оп1;оВох создано семь категорий признаков (классов): симптомы, угрозы, уязвимости, последствия, потери, контрмеры и конфигурация. Каждая из этих категорий признаков, применяемых для описания прецедентов компьютерных атак, представлена в базе знаний Оп1;оВох в виде древовидной структуры. Каждый прецедент в базе характеризуется обладанием определенных признаков из каждой категории. При обращении к конкретному прецеденту происходит считывание из базы данных множества признаков, которыми он обладает.

Архитектура программного модуля ранней диагностики компьютерных атак представлена несколькими основными классами. Главный из них отвечает за взаимодействие интерфейса и данных. Для заполнения (+) и (-) списков для прецедентов из базы данных используется специальный класс. Отдельный класс предоставляет модели данных древовидных структур каждой из семи категорий признаков. Обработка действий пользователя производится с помощью классов, реализующих стандартную схему слушателей событий. Существует класс, реализующий ДСМ-рассуждения. При построении гипотез используется класс, который реализует алгоритм Чейна [13] для получения множества всех понятий для входной модели А, .

Также имеется утилитный класс для реализации функций, необходимых ДСМ-рассуждателю для определения гипотез в пользу положительной и отрицательной классификации целевого признака.

Интерфейс модуля представлен в виде вкладки «Диагностика атаки» (см. рисунок). Для того чтобы предоставить данные, подаваемые на вход главному алгоритму, пользователю необходимо заполнить две таблицы. В первую таблицу заносятся известные данные о начавшейся атаке (структурные признаки), во вторую - интересующие признаки, обладание которыми необходимо определить программе (целевые признаки). Для этого часть вкладки «Диагностика атаки», именуемая «Информация о возможной атаке», разделена на две части. Слева вводится информация о возможной атаке: те признаки, которые были замечены пользователем на данный момент. В выпадающем списке можно выбрать категорию признака -симптомы, угрозы, уязвимости, последствия, потери, контрмеры и конфигурация. Информация о категориях признаков и возможных значениях хранится в файле базы данных Оп1;оВох.

Кнопка «Запуск ДСМ-метода» запускает ДСМ-метод на выполнение для заданной информации в таблицах - о возможной атаке и интересующих целевых признаках. Построение гипотез производится на основе прецедентов, информация о которых хранится в файле базы данных Оп1;оВох.

Общий вид вкладки «Диагностика атаки»

Результатом работы модуля является окно с тремя таблицами. В первой таблице находятся те целевые признаки, которыми начавшаяся компьютерная атака будет обладать, во второй - те, которыми не будет обладать. В третью таблицу заносятся целевые признаки, которые данный метод не смог классифицировать.

Заключение

В статье рассмотрены современные подходы к задаче обеспечения информационной безопасности компании. Приведен краткий обзор современных программных систем, предлагающих различные решения в данном направлении. Показано, что все рассмотренные системы не обладают функционалом управления рисками в ситуации начинающейся компьютерной атаки. Предложен метод реализации данного функционала в рамках программной системы управления информационными рисками RiskPanel. Данный подход базируется на методологии прецедентных моделей и методологии ДСМ-рассуждений. Описана программная реализация данного подхода.

Список литературы

1. Пальчунов Д. Е. Решение задач поиска информации на основе онтологий // Бизнес-информатика. 2008. Т. 1. С. 3-13.

2. Пальчунов Д. Е. Поиск и извлечение знаний: порождение новых знаний на основе анализа текстов естественного языка // Философия науки. 2009. № 4 (43). С. 70-90.

3. Аграновский А. В. Новый подход к защите информации - системы обнаружения компьютерных угроз // Jet Info: Информ. бюл. 2007. № 04 (167). 24 с.

4. Пальчунов Д. Е., Яхъяева Г. Э., Хамутская А. А. Программная система управления информационными рисками RiskPanel // Программная инженерия. 2011. № 7. С. 35-50.

5. Palchunov D. E., Yakhyaeva G. E. Interval Fuzzy Algebraic Systems // Proc. of the Asian Logic Conference 2005. World Scientific Publishers, 2006. Р. 23-37.

6. Пальчунов Д. Е., Яхъяева Г. Э. Нечеткие алгебраические системы // Вестн. Новосиб. гос. ун-та. Серия: Математика, механика, информатика. 2010. Т. 10, вып. 3. С. 75-92.

7. Петренко С. А., Симонов С. В. Управление информационными рисками. Экономически оправданная информация. М.: Компания АйТи; ДМК Пресс, 2005. 384 с.

8. ДСМ-метод автоматического порождения гипотез: логические и эпистемологические основания / Сост. О. М. Аншаков, Е. Ф. Фабрикантова; под ред. О. М. Аншакова. М.: Книжный дом «ЛИБРОКОМ», 2009. 432 с.

9. Кузнецов С. О. Автоматическое обучение на основе анализа формальных понятий // Автоматика и телемеханика. 2001. № 10. С. 3-27.

10. Кузнецов С. О. ДСМ-метод на языке соответствий Галуа // ДСМ-метод автоматического порождения гипотез: логические и эпистемологические основания. М.: Книжный дом «ЛИБРОКОМ», 2009. С. 386-396.

11. Аншаков О. М. Об одной интерпритации ДСМ-метода автоматического порождения гипотез // ДСМ-метод автоматического порождения гипотез: логические и эпистемологические основания. М.: Книжный дом «ЛИБРОКОМ», 2009. С. 81-95.

12. Малых А. А., Манцивода А. В. Онтобокс: онтологии для объектов // Изв. Иркут. гос. ун-та. 2009. Т. 2, № 2. С. 94-104.

13. Kuznetsov S. O., Obiedkov S. A. Comparing Performance of Algorithms for Generating Con-ceptlattices // J. Expt. Theor. Artif. Intell. 2002. Vol. 1 (28). P. 15.

Материал поступил в редколлегию 22.04.2012

G. E. Yakhyayeva, O. V. Yasinskaya

THE APPLICATION OF PRECEDENT MODELS METHODOLOGY

IN THE RISK-MANAGEMENT SYSTEM AIMED AT EARLY DETECTION OF COMPUTER ATTACKS

This paper considers modern approaches to the problem of ensuring information security of the company. The methods of work with beginning attack offered by these approaches were analyzed. The new approach of early diagnostics of cyber-attack was offered. This approach is based on the creation of formal models of computer attack precedents and adaptation of JSM-method of automatic hypotheses generation to these models. The mathematical foundations and software implementation of the proposed approach were described.

Keywords: information security, computer attack, risk management, the precedent of a computer attack, precedent model, JSM-method.