ТЕХНИЧЕСКИЕ НАУКИ
VECTOR OPTIMIZATION PROBLEM OF HEURISTIC IDS / IPS
Gusnin S.1, Petukhov A.2 ЗАДАЧА ВЕКТОРНОЙ ОПТИМИЗАЦИИ ЭВРИСТИК IDS/IPS Гуснин С. Ю.1, Петухов А. Н.2
'Гуснин Сергей Юрьевич / Gusnin Sergey — кандидат технических наук, доцент, кафедра информационных и сетевых технологий, Институт информационных систем и технологий;
2Петухов Андрей Николаевич /Petukhov Andrey — кандидат технических наук, доцент, кафедра информационной безопасности, Московский институт электронной техники Национальный исследовательский университет, г. Москва
Аннотация: в статье анализируется текущая ситуации с переходом от первоначального использования преимущественно сигнатурных методов к все более расширяющемуся привлечению эвристических решений в средствах обнаружения/предотвращения вторжений (IDS/IPS). Возникающая при этом неопределенность порождает ошибки в виде ложных реакций. Рассмотрены возможные постановки задачи векторной оптимизации эвристики обнаружения вторжений. Показано, что формулировка последней задачи свободна от ограничений, присущих задачам, сформулированным ранее, и поэтому такая задача может называться задачей векторной оптимизации эвристик.
Abstract: the article analyzes the current state of the transition in the instruments of intrusion detection/prevention systems (IDS / IPS) from the initial use mainly on signatures based methods to more and more expanding involvement of heuristic decisions. A result of this uncertainty causes an error in the form of false positives. The possibility of creating a vector optimization problem of intrusion detection is considered. It is shown that the wording of the latter problem is free from the limitations of the problems outlined above, and therefore, this problem can be called the problem of vector optimization heuristics.
Ключевые слова: информационная безопасность, (IDS/IPS), эвристические решения, векторная оптимизация, политика безопасности.
Keywords: information security, (IDS / IPS), heuristic solutions, vector optimization, security policy.
Средства (системы) обнаружения/предотвращения вторжений (IDS/IPS) уже давно занимают свое место в арсенале признанных средств сетевой безопасности. Одним из направлений современного развития этого сервиса является переход от первоначального использования преимущественно сигнатурных методов к все более расширяющемуся привлечению эвристических решений. Наряду с неоспоримой привлекательностью этого подхода (прогнозирование угрозы, оценка степени опасности трафика и сетевой ситуации, фиксация косвенных проявлений опасности и т. п.), анализ результатов работы эвристик позволяет установить в них некоторую долю ошибочных результатов. Причина возникновения такого дефекта состоит в том, что в отличие от сигнатурных методов при создании эвристики фактически моделируется возможное развитие наблюдаемой сетевой ситуации. Поскольку, в зависимости от факторов, не учитываемых эвристикой, таких развитий может быть много, возникающая неопределенность порождает ошибки в виде ложных реакций.
Как и во многих случаях принятия решений в условиях неопределенности, ошибки могут быть разного рода. Хотя современные IDS/IPS используют целый спектр возможных реакций, для дальнейшего обсуждения достаточно будет рассмотреть случай с двумя видами реакции: «ситуация опасна» и «опасности нет». Термин «ложное позитивное срабатывание» чаще всего используется для обозначения реакции, предупреждающей об опасности в то время когда этой опасности реально нет. Если исключить дефекты алгоритма или ошибки анализа, то это происходит в случае, когда подозрительные намерения не были злоумышленными, ситуация не относится к сегменту, который контролируется или даже когда атака не увенчалась успехом. Термин «ложное негативное событие» используется для случаев, когда эвристика не замечает реальную атаку или опасную ситуацию [1].
Интенсивности ложных срабатываний (ошибок) каждого вида можно характеризовать нормированными характеристиками, отражающими долю ошибочных реакций или вероятность их возникновения. Конкретный вид таких критериев качества эвристики не столь важен, как важна их множественность (в нашем случае их два, обозначим их kj и k2) и то, что они не являются независимыми. Действительно, предпринимая меры по улучшению значений одного из них, мы рано
24
или поздно столкнемся с необходимостью жертвовать другим. Повышая уровень «осторожности» эвристики мы вынуждены допускать одновременное увеличение «шума», т. е. ухудшения критерия а стремясь исключить такой «шум», идем на риск пропуска реальной опасности, снижая качество по критерию Таким образом, для того, чтобы оптимизируя качество эвристики, необходимо идти на компромисс, используя некоторые принципы и правила, которые получили название схемы компромисса [2] и должны определяться соответствующими политиками безопасности. Инженерная практика накопила обширный опыт применения различных схем компромисса (приоритеты, весовые коэффициенты, производные критерии и многое другое [3]), объединив его термином векторной (множественность критериев) оптимизации. Нашей целью будет рассмотрение возможных формулировок задачи векторной оптимизации эвристик обнаружения вторжений.
Введем следующие обозначения:
Ai - эвристика, правило, в соответствии с которым в любой ситуации определяется реакция, отображение множества ситуаций на множество реакций;
г(Аь => ^ь^} - решение эвристики, значение векторного критерия, обеспечиваемого эвристикой Ai;
0i - вектор параметров эвристики Ai, 0i => {01ь 012,... 0^}, в общем случае изменение значений этих параметром приводит к изменению решения эвристики;
R(Ai) - область допустимой эффективности эвристики Ai, множество всевозможных значений, которые принимает решение эвристики при изменении 01;
Wj - схема компромисса, правило определения преимущественности одного решения перед другими;
R - множество всевозможных решений различных эвристик, в общем случае составляет собственное подмножество единичного квадрата на плоскости с координатами ^ и к;
В соответствии с общей методологией векторной оптимизации область допустимой эффективности R(A1) делится на область согласия, в которой улучшения возможны сразу по всем критериям Rc(A1) и область компромиссов (область Парето) R (А^:
Rc(A1) П Rk(A1) = 0 Rc(A1) U Rk(A1) = R(A1) (1)
Выделенная область компромиссов Rk(A1) определяется эвристикой, поэтому будем называть Rk(A1) условной областью компромиссов.
Рассмотрим возможные постановки задачи векторной оптимизации эвристики обнаружения вторжений.
Задача 1. Задана эвристика A1, и на основании содержательного анализа политики безопасности определена схема компромисса Wj. Для некоторых схем компромисса оптимальное решение не является единственным [4], поэтому в общем случае необходимо говорить об области оптимальных решений:
Rk(Al) з Ropt (^ , А) (2)
Решение поставленной задачи поставленной задачи заключается в определении компонент, для которых выполняется условие:
г(Д 0 1) £ Ropt (^ , Д) (3)
Задача оптимизации в приведенной формулировке не является общей, т. к. в ней рассматривается единственная эвристика.
Задача 2. Задано некоторое множество эвристик {А1} и схема компромисса В силу транзитивности отношения квазипорядка эта задача сводится к многократному решению предыдущей и выбору эвристики с наилучшим в смысле ^ оптимальным решением. Другими словами, задача с такими условиями решается путем последовательного выполнения следующих этапов:
• определяется условная область компромиссов Rk(A1) для каждой эвристики А1 из заданного множества {А1};
• объединение условных областей рассматривается как новая область допустимой эффективности и в ней определяются область компромиссов и область согласия:
Rc и Rk = и Rk(A1) (4)
• в полученной области компромиссов Rk ищется (в смысле заданной схемы компромисса область оптимальных решений Ropt (^ , {А1}).
• из заданного множества эвристик выделяются те, для которых пересечение области допустимой эффективности и найденной области оптимальных решений непусто:
И(А*) ПRopt (^ , {А*}) Ф 0 (5)
• для выделенных эвристик определяются значения векторов параметров ь которые должны обеспечивать наполнение условия:
г(Аь) £ , {А1}) (6)
Решение поставленной задачи лишь частично снимает ограничения на выбор оптимального решения, т. к. не гарантируется невозможность существования эвристики более эффективной по сравнению с эвристиками из {А1} одновременно в смысле обоих критериев. Ограниченность эффективности, принципиально достижимой с помощью эвристик, входящих в состав {А1}, находит свое выражение в виде области компромиссов Rk , которая, естественно, зависит от выбора {А1}.
Анализ факторов, порождающих неоднозначности интерпретации политик безопасности, показывает, что существуют ограничения эффективности, независящие от используемых эвристик, и определяемые этими факторами, а точнее степенью вносимой ими неопределенности. Снять эту энтропию нельзя подбором эвристики, т. к. эти ограничения соответствуют уровню наших знаний (характеризуют степень «незнания») о реально вредоносных ситуациях и находят свое отражение в виде некоторой «предельной» области компромиссов Rk0, которую правомерно назвать безусловной областью компромиссов:
R з Rko (7)
Безусловная область компромиссов Rk0 характеризуется тем, что никакая эвристика не может обеспечить эффективность более высокую по двум критериям одновременно, чем та, которая соответствует некоторой точке г0 из области Rk0.
Задача 3. Определена область Rk0, задано допустимое для использования множество эвристик{А1} и выбрана схема компромисса Wj. Решение задачи с такими условиями аналогично решению предыдущей за исключением двух первых этапов. Сначала в безусловной области компромиссов Rk0 выделяется область оптимальных решений Ropt (^.). Затем из множества эвристик {А1} выделяется те, для которых справедливо условие:
_ЩА) П Ropt Ф 0 (8)
И для них определяются значения _1, соответствующие оптимальным решениям.
В предыдущей задаче было гарантировано существование эвристик из {А1}, которые реализуют оптимальную индикацию вторжения, т. к. объединение условных областей компромисса состояло из точек областей допустимой эффективности. В поставленной задаче такой гарантии нет, и поэтому она может не иметь решения. Устранить это обстоятельство можно путем включения в задачу оптимизации требования разработки новой эвристики с заданными свойствами.
Задача 4. Как и в предыдущей задаче, определена безусловная область компромиссов Rk0 и выбрана схема компромисса Требуемым свойством разрабатываемой эвристики А0 является справедливость для нее следующего условия:
ЩА«,) П Ropt Ф 0 (9)
При этом ЩоР определяется на безусловной области компромиссов. После разработки такой эвристики остается найти для нее соответствующие значения вектора параметров.
В поставленной задаче результат разработки эвристики зависит от выбранной схемы компромисса
Выбор такой схемы основан на содержательном анализе конкретной реальной ситуации (политик безопасности) и выполняется неформальными методами, что снижает возможности распространения принимаемых решений, т. е. одна и та же эвристика в условиях различных политик может иметь разную эффективность. Сформулируем задачу, свободную от этого недостатка.
Задача 5. Определена безусловная область компромиссов Щ^.Требуется разработать эвристику А0, позволяющую проводить оптимизацию в этой области по любой схеме компромисса. Это эквивалентно выполнению условия:
ЩАо) з (10)
Для этой эвристики Щ10 совпадает с условной областью компромиссов Щ1(А0), и она обязательно является параметрической, т. е. вектор параметров I ^ имеет размерность, отличную от нуля. После разработки такой эвристики, необходимо разделить область допустимой эффективности Щ(А0) на области согласия ЩС(А0) и компромиссов Щ1(А0) = Щ10 в найти значения вектора 00, соответствующие оптимальным решениям в смысле каких-либо конкретных схем компромисса.
На практике разделение Щ(А0) на ЩС(А0) и Щ1(А0) в общем случае требует предварительного определения безусловной области компромиссов Щ10, что может быть сопряжено со значительными методическими и ресурсными трудностями. Поэтому, привлекательными становятся постановка и решение следующей задачи.
Задача 6. Необходимо разработать эвристику А0, каждое решение которой является оптимальным в смысле какой-либо схема компромисса. Для такой эвристики должно выполняться условие:
Щ10 = Щ(А0) (11)
В силу определения безусловной области компромиссов для эвристики А0 справедливо утверждение, что оптимальные решения в смысле любой схемы компромисса ^ могут быть получены в результате выполнения эвристики А0 при соответствующих значениях вектора параметров 00. Другими словами, эвристика А0 оптимальна в любом смысле, и все решения, которые А0 не
26
обеспечивает, хуже решений из его области допустимой эффективности Я(Л0), по крайней мере, по одному из скалярных критериев.
Следует заметить, что реализация условий, сформулированных в двух последних задачах, еще не приводит к получению оптимального в традиционном смысле решения эвристики индикации вторжения (если Як0 содержит более одного элемента) и не устраняет необходимости выбора конкретной схемы компромисса. Гарантируется лишь возможность достижения с помощью эвристики А0 оптимальных решений в смысле произвольной схемы компромисса. Тем не менее, формулировка последней задачи свободна от ограничений, присущих задачам, сформулированным ранее, и поэтому такая задача может называться задачей векторной оптимизации эвристик.
Литература
1. Большее А. К. Алгоритмы преобразования и классификации трафика для обнаружения вторжений в компьютерные сети // «ЛЭТИ» им. В. И. Ульянова (Ленина) Санкт-Петербург, 2011.
2. Злочевский С. И. Информационное обеспечение в науке // Наукова думка. Киев, 1981.
3. Емельянов С. В. и др. Модели и методы векторной оптимизации // Сб. Итоги науки и техники, сер. Техническая кибернетика. Т. 5, 1973.
4. Красненкер А. С. Задачи и методы векторной оптимизации // Измерения, контроль, автоматизация. Вып. 1 (3), 1985.
THE HISTORY OF THE EMERGENCE AND DEVELOPMENT OF REFERENCE
AND LEGAL SYSTEMS Khachaturova S.
ИСТОРИЯ ПОЯВЛЕНИЯ И РАЗВИТИЯ СПРАВОЧНО-ПРАВОВЫХ
СИСТЕМ Хачатурова С. С.
Хачатурова Седа Сейрановна /Khachaturova Seda — кандидат экономических наук, доцент,
кафедра информатики, Российский экономический университет им. Г. В. Плеханова, г. Москва
Аннотация: в статье рассматриваются появление и развитие справочно-правовых систем в мире. Отмечено, что первые справочно-правовые системы появились в 60-е годы XX века. Изначально это были своего рода электронные каталоги-картотеки. Сегодня справочно-правовые системы надежные и эффективные помощники в жизни современного человека в информационном обществе. Это ежедневно обновляемые базы данных правовой информации с возможностями быстрого и точного поиска, комплексного анализа правовой ситуации и контроля изменений в законодательстве. К справочно-правовым системам в режиме онлайн можно обращаться и в нерабочее время из любого места, где есть интернет.
Abstract: the article deals with the emergence and development of reference and legal systems in the world. It is noted that the first computer-assisted legal research appeared in the 60-ies of XX century. Initially, it was a kind of electronic catalogs - catalogs. Today, reference and legal systems reliable and efficient assistants in modern life in the information society. This daily updated legal information database with the ability to quickly and accurately search, a comprehensive analysis of the legal situation and the monitoring of changes in legislation. The computer-assisted legal research online and can be accessed after hours from any location where there is internet.
Ключевые слова: справочно-правовые системы, правовая информация, современное общество, история справочно-правовых систем, законодательство, документы.
Keywords: reference and legal systems, legal information, modern society, the history reference and legal systems, legislation, documents.
Вся человеческая жизнь неразрывно связана с правом. Наши действия контролируются законом. Любой человек сталкивается с необходимостью поиска, сохранения и анализа информации. Необходимость получения информации может быть связана с профессиональной деятельностью человека, а может возникнуть и в житейских ситуациях. Самым надежным помощником и источником информации в таких случаях являлись и являются справочные правовые системы [5].