Совершенствование подситемы информационной безопасности на основе интеллектуальных технологий Текст научной статьи по специальности «Компьютерные и информационные науки»

В. Н. Усцелемов, аспирант кафедры АСОИиУ РЭУ им. Плеханова, г. Москва, [email protected]

Совершенствование подситемы информационной безопасности на основе интеллектуальных технологий

Рассмотрен один из подходов адаптивной настройки подсистемы информационной безопасности информационных систем на основе оценки уровня рисков преодоления подсистемы защиты информационной системы нарушителем с использованием механизмов рассуждений по прецедентам и нейронечеткого вывода.

Ключевые слова: информационная безопасность, оценка информационных рисков, прецедент, система защиты, угроза, нейро-нечеткий вывод.

Введение

Адаптация подсистемы информационной безопасности (ПИБ) к изменению внешних и внутренних воздействий на информационную систему (ИС) — одна из актуальных задач совершенствования информационной безопасности. Этой задаче посвящено достаточно большое количество работ, похожие задачи решались в [1; 2].

В настоящее время среди подходов к построению ПИБ широкое применение нашла концепция приемлемых рисков [3; 4]. На основе указанной концепции разработано множество методик оценки информационных рисков, позволяющих обоснованно строить системы защиты. Существующие методики оценки рисков можно разделить на три группы: использующие количественный, качественный и смешанный подходы [5]. Широкое распространение нашли методики СЯАММ, RiskWatch, ГРИФ и др. Однако существующие подходы не в полной мере эффективны для противодействия информационным угрозам и имеют ряд недостатков. Ключевые недостатки существующих методик — отсутствие возможности адаптивной оценки рисков и настройки механизмов ПИБ, большие временные затраты, а также боль-

шая вероятность появления непредвиденных рисков для информационной безопасности (ИБ) при появлении новых угроз для ПИБ.

Достаточно продуктивным является подход на основе использования интеллектуальных технологий.

Построение гибридной модели оценки уровня информационных рисков

Анализ функционирования ПИБ показал, что деструктивные воздействия на информационную систему приводят к изменению ее текущего состояния, при этом риски успешного преодоления подсистемы защиты могут существенно возрасти.

Анализ средств оценки рисков показал, что при применении существующих подходов к их оценке не учитывается изменение рисков в процессе функционирования информационной системы и не решается задача реконфигурации ПИБ с целью снижения значений рисков ее преодоления.

Для устранения отмеченных недостатков предложен методический аппарат, в основе которого лежит решение следующей задачи. Минимизировать разницу между

[ 31 ]

текущим 5Т и безопасным 5Б состояниями информационной системы при ограничениях на значения риска преодоления системы защиты Я(Т) и среднего времени процесса ее преодоления *.

Формально задача представлена в следующем виде:

|5т(хТ,хТ'...'хТ'...'хТ, Я (Т)) -

5£ (ХБ, Х2 ..... Х" ..... Хп , Ядо„. ^ ^ min

при ограничениях

Я(Т) < Ядоп,

* < *Ьоп,

где 5Т (хТ, хТ,..., хТ,..., хТ) — вектор текущих значений параметров ИС; 5б (х1Б, хББ,..., х£,..., х£ — вектор безопасных значений параметров ИС, сформированный на основе экспертных оценок; Я(Т), Ядоп — текущий и допустимый риски преодоления подсистемы защиты; * — временные затраты на реализацию мер по снижению уровня риска; *доп — допустимые временные затраты на реализацию мер по снижению уровня риска.

Поставленная задача включает совокупность взаимосвязанных подзадач (этапов). Концептуальная схема решаемой задачи, содержащая компонент классификации и компонент оценки рисков, представлена на рис. 1.

Схема иллюстрирует этапы классификации входных воздействий (атак) на информационную систему, угроз, состояний информационной системы и оценки рисков преодоления ПИБ.

Реализацию перечисленных этапов осуществляют с использованием модулярного нейросетевого классификатора, включающего три самостоятельных взаимосвязанных модуля. На первом этапе выполняется классификация атак с использованием первого модуля, на следующем этапе — второго модуля, на третьем этапе — третьего модуля. На четвертом этапе с помощью гибридной подсистемы оценки рисков осуществляется выработка управляющего воздействия на реконфигурацию подсистемы информационной безопасности с учетом воздействия атак на информационную систему.

Компонент гибридной подсистемы оценки рисков включает блок на основе рассужде-

K а, Ра

Kа - класс атаки; Ра - периодичность атаки

K у, Ру

- класс угрозы; периодичность

S|- (/] , , ---, xj

V

О R n

Ру

угрозы

S (xv x2,...,xn ) - состояние системы;

R п - решение на основе рассуждений по прецедентам

R1& R2£, R3£ - решение на основе ансамбля нейросетей

Рис. 1. Концептуальная схема решения задачи оценки информационных рисков

Fig. 1. Conceptual scheme for solving the problem of information for risk assessment

R'e R2e R3

R

E

E

K

у

ний по прецедентам и блок на основе ансамбля нейросетей.

В соответствии с разработанной концептуальной схемой для решения задач классификации атак, угроз и состояний ИС обосновано применение аппарата нейронных сетей как наиболее эффективного при решении задач классификации.

В общем случае задача классификации может быть сформулирована в следующем виде.

Пусть X — множество описаний объектов, У — конечное множество номеров классов. Существует неизвестная целевая зависимость — отображение у*: X ^У, значения которой известны только на объектах конечной обучающей выборкиХт = {(х„ у) ..., (хт, ут)}.

Требуется построить алгоритм а.Х^У, способный классифицировать (отнести) произвольный объект х е X к классу у е У.

С учетом особенностей рассматриваемой предметной области показана целесообразность использования циклических рециркуляционных нейросетей для решения представленных выше задач классификации [6].

Обобщенная схема модулярного нейро-сетевого классификатора на основе циклических рециркуляционных нейросетей представлена на рис. 2.

Циклическая рециркуляционная нейро-сеть — это совокупность двух слоев нейронов с двунаправленными связями. Особенность указанных нейросетей — обеспечение высокой скорости обработки входных данных за счет сжатия пространства признаков классифицируемых объектов, а также возможность учета периодичности входных воздей-

[ Том 11. № 3 (63). 2016 ]

ствий. Каждый из представленных нейро-сетевых классификаторов определяет класс входных воздействий и их периодичность.

Результаты функционирования модулярного нейросетевого классификатора являются входными значениями для гибридной подсистемы оценки рисков. При отклонении состояния информационной системы от безопасного состояния для оценки рисков преодоления ПИБ используется гибридная подсистема оценки рисков, имеющая в своем составе два модуля: модуль оценки информационных рисков на основе рассуждений по прецедентам и модуль оценки информационных рисков на основе ансамбля нейросетей.

Модуль оценки информационных рисков на основе рассуждений по прецедентам

Проведенный анализ показал, что задачи рассматриваемого класса достаточно эффективно решаются на основе использования методов правдоподобного вывода, позволяющих найти рациональное решение в условиях заданных ограничений [7].

Достоинства указанных методов — возможность использования опыта, накопленного системой, без интенсивного привлечения эксперта и сокращение времени поиска решения за счет использования уже имеющего решения подобной задачи.

В основе применения методов правдоподобного вывода лежит идея построения модели рассуждений на основе прецедентов (CBR — Case Based Reasoning).

Входные воздействия

О— О— О—

Нейросетевой классификатор атак

Ka, Pa

Нейросетевой классификатор угроз

K»,pv

Нейросетевой классификатор состояний

s

—>

St (XT Л.....x].....xT)

Рис. 2. Модулярный нейросетевой классификатор

Fig. 2. The modular neural network classifier

Преимущества рассуждений на основе прецедентов:

• самостоятельность выработки решений в критической ситуации, без участия эксперта, на основе накопленного опыта;

• сокращение времени поиска решения за счет использования уже имеющегося решения для аналогичной задачи;

• накопление ошибочного опыта и исключение подобных действий в будущем;

• за счет использования ключевых знаний предметной области возможно избежать детализации в рассматриваемой предметной области;

• возможность использования эвристик, способствующих росту эффективности поиска прецедентов;

• полученные решения не уникальны и могут быть использованы в других случаях;

• прецеденты возможно представить в различном виде: от записей в базах данных, древовидных структур — до предикатов и фреймов.

Для реализации процесса функционирования модуля вывода по прецедентам разработана схема вывода по прецедентам, предусматривающая следующие этапы:

1) формирование текущего состояния информационной системы;

2) поиск в базе прецедентов прецедента, близкого к текущему состоянию информационной системы;

3) оценка риска воздействия угрозы на информационную систему по данным найденного прецедента;

4) реконфигурация подсистемы информационной безопасности на основе найденного прецедента и формирование предложений по настройке механизмов подсистемы информационной безопасности администратору информационной системы;

5) сохранение в базе прецедентов.

Для повышения качества поиска прецедентов предложен модифицированный метода к-взвешенных ближайших соседей. Вычисляя степень удаленности между значе-

ниями параметров, описывающих текущую ситуацию, и извлеченный прецедент, можно определить степень их близости. В рассматриваемом подходе применяется покоординатное сопоставление таким образом, что каждый параметр, описывающий прецедент, рассматривается как одна из координат.

Таким образом, для поиска прецедента определяется расстояние Д5 между текущей ситуацией и прецедентом из базы знаний прецедентов.

А5 = (]Г („,. х 51М (х\; хк) х Ц)) / ,

1=1 1=1

где wi — весовое значение значимости .-го параметра;

Б1М (х\; хГ) — функция схожести;

1 к 7

х{, х.. — значения г -го параметра в текущем 1 и прошлом к прецедентах соответственно; Ц i — предпочтение лица, принимающего решение (ЛПР) по г-му показателю прецедента.

Степень сходства прецедентов х\, хк вычисляется по метрике Евклида

SIM(X; xk) = ^(X - xk)2,

где X, xk — параметры образцов; N — общее число параметров.

Модификация метода поиска на основе прецедентов заключается в учете предпочтений ЛПР Ц при поиске прецедентов, что позволило значительно повысить точность принятия решений.

Функционирование гибридной подсистемы оценки рисков осуществляется на основе разработанного алгоритма, представленного на рис. 3.

Входными данными являются значения параметров информационной системы, описывающие ее текущее состояние, а на выходе формируются управляющие воздействия на реконфигурацию средств и механизмов ПИБ.

Рис. 3. Обобщенный алгоритм гибридной оценки уровня риска преодоления подсистемы информационной безопасности

Fig. 3. Generalized algorithm hybrid assess the level of risk to overcome the informational security subsystem

В случае, если в базе прецедентов отсутствует близкий прецедент, вектор параметров состояния ИС поступает на вход модуля нейро-нечеткого вывода на основе ансамблевой нейросети.

Модуль оценки информационных рисков на основе нейро-нечеткого вывода

В основу модуля нейро-нечеткого вывода положена совокупность нечетких нейросетей, представляющих собой ансамбль искусственных нейронных сетей. Ансамбль со-

стоит из конечного числа нейросетей, обученных для одной и той же цели [8].

В общем случае ансамбль сетей строится в два этапа: обучение компонентов нейронных сетей, а затем агрегирование полученных результатов работы нейросетей. Ансамблевые методы объединяют выходы нескольких нейросетей и дают более высокую точность по сравнению с ординарной нейросетью.

Ансамблевая нейросеть (рис. 4) состоит из совокупности нейросетей: нечеткой ней-росети ANFIS, реализующей нечеткий вывод Сугено, нечеткой нейросети NN-M, реализу-

Рис. 4. Структура ансамблевой нейросети

Fig. 4. The structure of the neural network ensemble

ющей нечеткий вывод Мамдани, и нечеткой нейросети NN-T, реализующей нечеткий вывод Цукамото. Нечеткие нейросети фукцио-нируют параллельно. В общем случае выход ансамбля представляет собой взвешенное среднее ансамбля нейросетей, где вес определяется как функция относительной ошибки каждой сети, определенной при обучении.

На основе разработанной математической модели построена методика оценки информационных рисков, включающая следующие шаги:

1) формирование баз знаний прецедентов и правил нейросети экспертами;

2) определение допустимых диапазонов уровня риска для различных ситуаций функционирования системы;

3) выбор модуля для проведения оценки;

4) задание текущих значений параметров информационной системы;

5) реализация управляющих воздействий по настройке подсистемы информационной безопасности.

На основе математической модели и алгоритма разработан программный комплекс оценки информационных рисков на основе рассуждений по прецедентам и нейро-нечет-кого вывода.

Разработанный программный комплекс позволяет:

• выявлять потенциальные риски при воздействии атак и угроз на информационную систему;

• учитывать опыт экспертов и предпочтения ЛПР;

• пополнять базу данных новыми прецедентами;

• формировать управляющие воздействия на подсистему информационной безопасности для реконфигурации ее механизмов.

100 90 80 70 60 50 40 30 20 10 0

Выявленные угрозы, %

Точность расчета риска воздействия угрозы, %

Гибридная модель оценки рисков

Другие модели оценки рисков

Рис. 5. Оценка точности расчета риска и идентификации угроз

Fig. 5. Evaluation of the accuracy of risk measurement and identification of threats

Результаты вычислительных экспериментов

Сравнительный анализ разработанного программного комплекса с существующими средствами оценки информационных рисков показал, что он в наибольшей степени обеспечивает решение поставленной задачи и позволяет получить более точную оценку рисков воздействия угроз на информационную систему, снижает количество неиденти-фицированных угроз и временные затраты на обработку запросов.

Результаты вычислительного эксперимента (рис. 5) показали, что количество воздействующих угроз на информационную систему, выявленных разработанным программным средством, превышает количество угроз, выявленных существующими программными средствами, на 15-20%. При этом среднее время на обработку запроса уменьшилось на 12-15%.

Заключение

Таким образом, предложен новый подход к оценке информационных рисков и управлению подсистемой информационной безопасности на основе интеллектуальных технологий.

Разработана концептуальная схема решения задачи оценки информационных рисков, включающая модулярный нейросетевой классификатор и гибридную подсистему оценки рисков.

Разработаны гибридная модель оценки информационных рисков с использованием вывода по прецедентам и нейро-нечеткого вывода, алгоритмы и методика решения поставленной задачи.

Использование разработанной гибридной модели позволило получить более точную оценку рисков воздействия угроз на информационную систему и существенно повысить эффективность принятия решений по реконфигурации подсистемы информа-

ционной безопасности и настройки ее механизмов.

Список литературы:

1. Беркетов Г. А., Микрюков А. А., Аль Каиби Еман Габар Абдул Хасeн. Математическая модель оптимизации системы обеспечения безопасности информации в АИС // Сб. трудов V международной научно-практической конференции «Информационные и коммуникационные технологии в образовании, науке и производстве». М.: Протвино, 2011. С. 76-77.

2. Беркетов Г. А., Микрюков А. А., Федосеев С. В. Метод решения задач синтеза системы обеспечения безопасности информации в АИС // Сб. трудов международной научно-практической конференции «Инновации в условиях развития инфформацион-но-коммуникационных технологий» ИНФО-2012, г. Сочи. С. 139-142.

3. Дубров А. М., Лагоша Б. А., Хрусталев Е. Ю. Моделирование рисковых ситуаций в экономике и бизнесе. М.: Финансы и статистика, 1999.

4. Язов Ю. К. Технология проектирования систем защиты информации в информационно-телекоммуникационных системах. Воронеж: ВГТУ, 2004. — 146 с.

5. Симонов С. В. Современные технологии анализа рисков в информационных системах // PCweek. 2001. № 37. С. 14-15.

6. Емельянова Ю. Г., Талалаев А. А., Тищенко И. П., Фраленко В. П. Нейросетевая технология обнаружения сетевых атак на информационные ресурсы // Программные системы: теория и приложения. 2011. № 3 (7). С. 76-86.

7. Варшавский П. Р., Еремеев А. П. Методы правдоподобных рассуждений на основе аналогий и прецедентов для интеллектуальных систем поддержки принятия решений // Новости искусственного интеллекта. № 3. 2006. С. 39-62.

8. Imran Maqsood, Muhammad Riaz Khan, Ajith Abraham. An ensemble of neural networks for weather forecasting. Neural Comput&Applic. 2004. 13: 112-122 DOI 10.1007/s00521-004-0413-4 SpringerVerlag London Limited 2004.

References

1. Berketov G. A., Mikrjukov A. A., Al'KaibiEmanGabar Abdul Hasen. Matematicheskaja model' optimizacii sistemy obespechenija bezopasnosti informacii v AIS [Mathematical model of optimization of information security in the AIS system]. Sbornik trudov V mezh-dunarodnoj nauchno-prakticheskoj konferencii nforma-

cionnye i kommunikacionnye tehnologii v obrazova- 5. Simonov S. V. Sovremennye tehnologii analiza riskov

nii, nauke i proizvodstve». M.: Protvino Publ., 2011, v informacionnyh sistemah [Modern risk analysis tech-

pp. 76-77. nology in information systems]. PCweek, 2001, no. 37,

2. Berketov G. A., Mikrjukov A. A., Fedoseev S. V. pp. 14-15.

Metod reshenija zadach sinteza sistemy obespech- 6. Emel'janova Ju. G., Talalaev A. A., Tishhenko I. P.,

enija bezopasnosti informacii v AIS [The method of Fralenko V. P. Nejrosetevaja tehnologija obnaruzhenija

solving problems of synthesis of information secu- setyvyh atak na informacionnye resursy [Neyrosetevaya

rity in the AIS system]. Sb. Trudov mezhdunarodnoj detection technology setyvyh attacks on information

nauchno-prakticheskoj konferencii «Innovacii v us- resources]. Programmnye sistemy: teorijai prilozhenija,

lovijah razvitija infformacionno-kommunikacionnyh 2011, no. 3 (7), pp. 76-86.

tehnologij» INF0-2012. Sochi, pp. 139-142. 7. Varshavskij P. R., Eremeev A. P. Metody pravdopodob-

3. Dubrov A. M., Lagosha B. A., Hrustalev E. Ju. Mod- nyh rassuzhdenijna osnove analogij iprecedentov dlja elirovanie riskovyh situacij v jekonomike i biznese intellektual'nyh sistempodderzhki prinjatija reshenij [Modeling of risk situations in the economy and busi- [Methods plausible arguments based on analogies and ness]. Moscow, Finansy i Statistika Publ., 1999. precedents for intelligent decision support systems]. No-

4. Jazov Ju. K. Tehnologija proektirovanija system vosti iskusstvennogo intellekta, 2006, no. 3, pp. 39-62. zashhity informacii v informacionno-telekommuni- 8. Imran Maqsood, Muhammad Riaz Khan, Ajith Abra-kacionnyh sistemah [Technology of designing infor- ham. An ensemble of neural networks for weather fore-mation security systems in information and telecom- casting. Neural Comput&Applic, 2004, 13: 112-122 munication systems]. Voronezh, VGTU Publ., 2004, DOI 10.1007 / s00521-004-0413-4 Springer-Verlag p. 146. London Limited 2004.

V. Ustselemov, Plekhanov RUE, Moscow, Russia, [email protected]

Improvement of information security subsystems based on intelligent technologies

One of the approaches of adaptive tuning subsystem information security of information systems based on an assessment of risk level to overcome the informational security subsystem offender system, using reasoning mechanisms precedents and neuro-fuzzy inference. Analysis of the functioning of the information security subsystems shown that the destructive effects on information systems lead to a change in its current state, and the risks successfully overcome the security subsystem may increase substantially. At the same time, risk assessment means analysis showed that the application of the existing approaches to their assessment does not take account of what their change in the operation of an information system, and does not solve the problem of information security subsystem reconfiguration to reduce the risks to overcome values. In the event of an information system on the state of a safe state for the assessment of risks to overcome information security subsystem uses a hybrid subsystem risk assessment, which includes in its composition two modules: information risk assessment module based on arguments by precedents and information risk assessment module based on neural network ensemble. The input data are the values of the parameters of the information system, describing its current state, and the output generates a control effect on the reconfiguration of resources and information security subsystem mechanisms.

Keywords: information security, information security risk assessment, case, the protection system, threat, neuro-fuzzy inference.

About author:

V. Ustselemov, Postgraduate Student For citation:

Ustselemov V. Improvement of information security subsystems based on intelligent technologies. Prikladnaya Informatika — Journal of Applied Informatics, 2016, vol. 11, no. 3 (63), pp. 31-38 (in Russian).