Введение к работе
Актуальность темы исследования
Системы обнаружения атак (СОА) широко применяются как одно из средств защиты информации, дополняющих стационарную систему защиты. Наличие этих систем прописано, например, руководящим документом Гостехкомиссии России «Руководство по разработке профилей защиты и заданий по безопасности» от 2003 года и положением ФСТЭК «О методах и способах защиты информации в информационных системах персональных данных», утвержденным приказом ФСТЭК от 5 февраля 2010 г. N 58.
Аналитические данные компаний, специализирующихся в сфере защиты информации, таких как McAfee, Symantec, Trustware и Kaspersky Labs, показывают, что в течение 2012 года стабильно росло число инцидентов, связанных с попытками нарушения безопасности информационных систем (ИС). Кроме этого, наблюдается относительно стабильный рост количества новых образцов атакующих воздействий (рисунок 1).
2,000,000 о
Рисунок 1. Количество новых образцов атакующих воздействий по кварталам 2010-2012 гг.
Эти данные показывают, что существующие СОА не могут обнаруживать новые атаки и новые разновидности атак.
Современный этап развития информационных систем основан на достижениях телекоммуникационных технологий, применяемых для распределенной обработки информации. Это обусловило появление нового вида атак на информационные системы, распределенных как во времени, так и в пространстве.
Для учета этих особенностей современные СОА должны выполнять распределенный сбор из нескольких источников и совместный анализ информации, а также быть способными обнаруживать новые атакующие воздействия, число которых велико по данным статистики. Существующие СОА не в полной мере обладают соответствующими свойствами.
Данная область науки относительно молода, однако методологическая основа для проведения самостоятельных исследований в этой области уже сформирована. Об этом свидетельствуют работы таких ведущих отечественных и зарубежных исследователей, как А.В. Лукацкий, А.В. Аграновский, В.А. Галатенко, А.А. Грушо, П.Д. Зегжда, Е.В. Касперский, Ю.К. Язов, Д. Деннинг, К. Лендвер, М. Ранум и др.
Для обнаружения новых атакующих воздействий используются методы, обнаруживающие наличие аномалий в поведении ИС. Однако эти методы характеризуются высокими вероятностями пропуска атаки и ложного срабатывания - ошибками 1-го и 2-го рода. Ряд работ предлагает дополнять методы обнаружения аномалий другими методами для уменьшения значений ошибок 1 -го и 2-го рода, но вопрос улучшения методов обнаружения аномалий остается открытым.
Исходя из этого, сформулирована научная задача исследования: модернизация методов обнаружения атак на информационные системы предприятия и разработка на их основе СОА. Разрабатываемая СОА должна обладать набором датчиков, осуществляющих
независимый сбор и интеллектуальный анализ данных, что позволяет представить ее в виде многоагентной системы.
Объектом исследования в данной работе является информационная система предприятия.
Предметом исследования являются методы работы систем обнаружения атак.
Цель исследования. Разработка СОА, позволяющей проводить распределенный интеллектуальный анализ данных о наличии следов атак в основных компонентах информационной системы и их совместный анализ.
Задачи исследования. Для достижения поставленной цели решаются следующие задачи:
-
-
Исследовать особенности функционирования и структуру информационных систем предприятий.
-
Исследовать наиболее распространенные атаки на информационную систему и процесс реализации атак.
-
Исследовать существующие системы обнаружения атак и методы обнаружения атак.
-
Разработать структуру и состав многоагентной системы обнаружения атак.
-
Разработать структуру агентов системы обнаружения атак.
-
Разработать модель представления знаний агентов о состоянии информационной системы.
-
Разработать метод совместного анализа агентами данных о состоянии информационной системы.
-
Разработать методику работы с многоагентной системой обнаружения атак.
-
Провести оценку эффективности предложенной в диссертационном исследовании модели и метода совместного анализа, используя разработанные программные решения.
Методологическая основа исследования. При решении поставленных в работе задач были использованы методы теории графов, теории нейронных сетей, многоагентных систем, теории принятия решений. Для оценки эффективности предлагаемых решений использовались методы математического и имитационного моделирования.
Основные положения, выносимые на защиту:
-
-
-
Многоагентная СОА, осуществляющая сбор сведений о состоянии информационной системы из нескольких источников и их нейросетевой анализ для обнаружения атак.
-
Метод анализа данных о состоянии информационной системы и принятия совместного решения.
-
Методика обнаружения атак на информационную систему.
Научная новизна исследования заключается в следующем:
-
-
-
-
Предложена структура и состав многоагентной СОА, позволяющей осуществлять сбор сведений из разных источников и, анализируя их совместно, делать вывод о состоянии информационной системы.
-
Разработан метод принятия агентами совместного решения, позволяющий сформировать круглый стол агентов и на основании их результатов анализа сведений, полученных из различных источников, оценить состояние информационной системы в целом.
-
Разработана методика обнаружения атак с использованием многоагентных технологий, позволяющая обучить многоагентную систему обнаружения атак и использовать ее для дальнейшего обнаружения атак.
Практическая ценность исследования состоит в следующем:
-
-
-
-
-
Использование разработанной многоагентной системы обнаружения атак позволяет повысить эффективность обнаружения атак на информационную систему предприятия.
-
Разработанный прототип многоагентной СОА может быть интегрирован в существующую инфраструктуру систем защиты информации и использоваться системой управления информационной безопасностью предприятия.
3. Результаты диссертации в виде методического и программного обеспечения внедрены в ИФНС России по Центральному району г. Волгограда и ОАО «ВНИИПТхимнефтеаппаратуры», что позволило повысить эффективность системы защиты за счет расширения перечня собираемых и анализируемых событий информационной системы и выявления основных атак на информационную систему и отклонения от ее нормального функционирования. Кроме того, результаты исследования используются в учебном процессе на кафедре Информационной безопасности Волгоградского государственного университета при проведении лекций и лабораторных работ по курсам «Программно-аппаратные средства обеспечения информационной безопасности» и «Основы теории нейронных сетей» для студентов специальности 090303.65 «Информационная безопасность автоматизированных систем».
Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на всероссийских и международных конференциях:
-
-
-
-
-
-
VI Межрегиональная научно-практическая конференция «Проблемы модернизации региона в исследованиях молодых ученых», Волгоград, 2010 г.
-
VIII Всероссийской научной конференции молодых ученых, аспирантов и студентов «Информационные технологии, системный анализ и управление», Таганрог, 2010г.
-
I и II Всероссийская научно-практическая конференция «Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства», Волгоград, 2012-2013гг.
По теме диссертации опубликовано 20 научных работ, из них 4 статьи в журналах, рекомендованных ВАК.
Структура и объем диссертации
Диссертация состоит из введения, четырех глав, заключения и списка литературы из 115 наименований. Работа содержит 11 таблиц, 35 рисунков и изложена на 109 страницах машинописного текста.
Похожие диссертации на Многоагентная система обнаружения атак на информационную систему предприятия
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
