CC BY
64
Секция «Методы и средства зашиты информации»
он разработан таким образом, чтобы не позволить злоумышленникам атаковать сценарии сайтов. Канальный обмен позволяет некоторым приложениям (в разных HTML документах) независимо обмениваться между собой сообщениями. При использовании WebMessaging, сервер не может контролировать все данные (т. к. данные приходят от других доменов), а обмен между HTML-документами (iframe) происходит на стороне пользовательского агента, что может быть использовано для обхода контроля со стороны сервера. При неправильной настройке, конфиденциальные данные могут быть отправлены не тому iframe-у. Также, iframe-ы могут посылать сообщения любому другому iframe-у. Если iframe-получатель не проверяет источник или некорректно обрабатывает входные данные, на него может быть проведена атака [2]. Часть проблем может быть решена следующими способами:
- явно устанавливать цель сообщения;
- проверять получаемые сообщения;
- проверять домен-отправитель;
HTML5 позволяет некоторым веб-приложениям регистрироваться в качестве обработчиков для определенных протоколов (SMS, факс и др.) или некоторых MIME-типов (Multipurpose Internet Mail Extensions или многоцелевые расширения интернет-почты). Запуск зарегистрированных обработчиков происходит со стороны пользовательского агента. Так как в качестве обработчика может быть зарегистрировано пользователем любое веб-приложение, злоумышленник может обманом заставить зарегистрировать свое приложение, тем самым предоставив ему доступ к обрабатываемым данным. Риски, связанные с этой проблемой, можно уменьшить, создав список проверенных рекомендуемых обработчиков.
Введение новых тегов и атрибутов упрощает процесс написания страниц на HTML. Но с помощью некоторых из них можно осуществить выполнение произвольного JavaScript кода (например <video>^ <autofocus>), а с помощью все того же тега <video>можно узнать точную версию браузера. Для уменьшения рисков следует настроить WAi^ Intrusion Detection System(IDS) [1].
WebSQL подразумевает под собой встроенную в браузер базу SQLite.WebSQL имеет такие же проблемы, как и WebStorage. Кроме того, это дает новые возможности для проведения SQL-инъекций. Для их предотвращения достаточно выполнять правильно параметризированные SQL-запросы [1].
HTML5 предоставляет возможности для кэширования сайтов и веб-приложений, для работы с ними в оффлайне. В HTML4.0 реализуются атаки с отправлением КЭШа (например, кэша приложений с внедренным в него вредоносным кодом), в HTML5 возможности для таких атак значительно расширяются, так как теперь кэширование может осуществляться без применения дополнений к браузеру и часть решений о доступе к данным происходит на стороне клиента [2].
На сегодняшний день стандарт HTML5 имеет множество проблем, связанных с безопасностью, в особенности клиентской части: множество новых способов внедрения произвольного кода и сбора конфиденциальной информации. Однако это стандарт продолжает активно развиваться, и разработчики немалое внимание уделяют вопросам безопасности.
Библиографические ссылки
1. Иващенко Т., Сидоров Д. HTML5 - взгляд через призму безопасности //Хакер. 2010. № 143.
2. SchmidtMichael HTML5 Web Security: 2010.URL:http://media.hacking-
lab.com/hlnews/HTML5 Web Security_v1.0.pdf (дата обращения: 7.03.2012).
3. Request For Comments 2965. URL:http://www.ietf.org/rfc/rfc2965.txt (дата обращения: 7.03.2012)
4. Консорциум Всемирной Паутины w3c. URL: http://www.w3.org (дата обращения: 21.02.2012)
5. Гордейчик С. Cross-SiteRequestForgery - много шума из ничего. URL: http://www.securitylab.ru/ ana-lytics/292473.php (дата обращения: 8.03.2012)
6. HTML5 Security Cheatsheet. URL: http://html5sec.org/ (дата обращения: 3.03.2012).
© Хеирхабаров А. С., 2012
УДК 004.056
А. А. Шаляпин Научный руководитель - В. Г. Жуков Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
ПРИМЕНЕНИЕ ПРЕЦЕДЕНТНОГО АНАЛИЗА В ЗАДАЧЕ КЛАССИФИКАЦИИ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Рассматривается применение прецедентного анализа в задаче классификации инцидентов информационной безопасности.
Международный стандарт ISO 27001:2005 обращает особое внимание на необходимость создания процедуры управления инцидентами информационной безопасности - очевидно, что без своевременной реакции на инциденты безопасности и устранения их
последствий невозможно эффективное функционирование системы управления информационной безопасностью. Инцидентом информационной безопасности является нежелательное событие информационной безопасности (или совокупность событий), которое
Актуальные проблемы авиации и космонавтики. Информационные технологии
может непосредственно угрожать информационной безопасности организации (стандарт КОЛЕС ТЯ 18044:2004).
Количество и частота появления инцидентов информационной безопасности существенно зависят от эффективности системы управления информационной безопасностью.
Процесс управления инцидентами играет ключевую роль в обеспечении информационной безопасности. Основной целью данного процесса является обеспечение эффективного разрешения инцидентов информационной безопасности:
- идентификация инцидентов (получение информации об инциденте, регистрация инцидента, определение уровня критичности);
- реагирование на инциденты (своевременное устранение инцидентов с учетом их приоритета).
Сложностью, при автоматизации процессов управления инцидентами, становится, главным образом реализация механизма обнаружения и анализа. Инцидент, может происходить впервые, и не быть предусмотренным. Или, известное событие, являющееся инцидентом, эквивалентно нескольким, последовательно произошедшим событиям, так же приводящим к нарушению информационной безопасности, но не считающимися инцидентными по отдельности.
С целью повышения эффективности управления инцидентами, целесообразно ввести понятие аномальности и определить анализ уже зарегистрированных инцидентов следующим образом: все множество зарегистрированных инцидентов разбивается на таксоны следующих типов: «нормальные» инциденты, близкие друг к другу по описывающим параметрам и аномальные инциденты, факт появления которых требует детального изучения. Данный подход позволит на фоне множества регистрируемых инцидентов выявить аномалии, являющиеся критичными и не имеющие место ранее.
Задача обнаружения аномальных инцидентов является частной задачей классификации - разбиения множества инцидентов на априорно заданные группы, внутри каждой из которых имеют примерно одинаковые свойства и признаки. Решение данной задачи базируется на прецедентном анализе. В основе метода лежит оценка расстояния между всеми наблюдениями в п-мерном пространстве признаков.
Прецедент является структурированным представление накопленного опыта в виде данных и знаний, обеспечивающее его последующую автоматизированную обработку программными средствами. Как правило, прецедент состоит из [1]:
- описания проблемной ситуации;
- совокупности действий, предпринимаемых для устранения данной проблемы (решения задачи);
- и в некоторых случаях - результата (или прогноз) применения решения.
В данном случае, под прецедентом понимается набор параметров, описывающих таксон нормальных инцидентов или отдельный инцидент.
Все множество зарегистрированных инцидентов информационной безопасности определяется набором векторов О = {х1,..., Х|0|} каждый из которых
является параметрическим представлением прецедента X =(xд,■■■,Хп) .
Формально классификация производится на основе разбиения пространства признаков на области, в пределах каждой из которых многомерные векторы рассматриваются как идентичные. Иными словами, если вектор попал в область пространства, ассоциированную с определенным классом, он к нему и относится.
Полную степень близости прецедента Б по всем признакам вычисляется, по обобщенной формулу вида:
Е^ • тт (, ^) , где - вес .-го признака; sim - локальная функция
подобия .-го признака 1-й целевой ситуации и к-го прецедента.
Как правило, интеллектуальные системы правдоподобного вывода, построенные на базе прецедентного анализа, образуют так называемый СВЯ-цикл [1]:
- извлечение наиболее близкого прецедента для сложившейся ситуации из базы прецедентов;
- использование извлеченного прецедента для попытки решения текущей проблемы;
- пересмотр и адаптация в случае необходимости полученного решения в соответствии с текущей проблемой;
- сохранение принятого решения как части нового прецедента.
Таким образом, применение рассуждения на основе прецедентов для решения задач классификации инцидентов информационной безопасности позволит:
- обнаруживать аномальные инциденты, решение которых требует детального изучения сложившейся ситуации;
- автоматизировать процесс получения решения для инцидентов, знания о которых содержатся в базе прецедентов.
Основными преимуществами прецедентного анализа являются возможность использования накопленного опыта для решения новых задач и универсальность в смысле независимости от специфики конкретной проблемной области. К существенным недостаткам метода можно отнести сложность выбора метрики для определения степени сходства и прямую зависимость требуемых вычислительных ресурсов от размера базы прецедентов [2].
Библиографические ссылки
1. Берман А. Ф., Николайчук О. А., Павлов А. И., Юрин А. Ю. Концепция построения прецедентной экспертной системы // Материалы XII международной конференции по вычислительной механике и современным прикладным программным системам, Владимир, 30 июня - 5 июля 2003 г. М., 2003. Т. 2. С. 110-111.
2. Вагин В. Н., Головина Е. Ю., Загорянская А. А., Фомина М. В. Достоверный и правдоподобный вывод в интеллектуальных системах. 2-е изд. / под ред. В. Н. Вагина, Д. А. Поспелова. М. : Физматлит, 2008.
© Шаляпин А. А., 2012
