Самообучающаяся система идентификации данных, поступающих в АСУ физической защитой критического объекта Волобуев Евгений Сергеевич

Содержание к диссертации

Введение

1. Анализ современных методов идентификации данных и моделей систем защиты 15

1.1. Общая формулировка задачи исследования 15

1.2. Существующие методы идентификации данных 22

1.3. Анализ методов, пригодных для идентификации как известных, так и неизвестных системе входных данных 29

1.4. Модели систем защиты 44

1.5. Постановка задачи диссертационного исследования 50

1.6. Выводы по разделу 1 52

2. Разработка концептуальной модели и методов идентификации данных ССИД 54

2.1. Концептуальная модель самообучающейся системы идентификации данных 54

2.2. Метод предварительной обработки входных данных 60

2.3. Метод самообучения системы при поступлении в нее известной информации 65

2.4. Метод самообучения системы при поступлении в нее неизвестной информации 69

2.5. Метод обнаружения аномальной активности вычислительных процессов 77

2.6. Метод выбора оптимального решения 82

2.7. Выводы по разделу 2 92

3. Реализация методов идентификации данных в структурной схеме, алгоритме работы и прототипе самообучающейся системы идентификации данных 94

3.1. Разработка структурной схемы ССИД 95

3.2. Разработка алгоритма работы самообучающейся системы идентификации данных 101

3.3. Разработка программной реализации прототипа ССИД 110

3.4. Встраивание разработанного прототипа ССИД в состав АСУ ФЗ критического объекта 124

3.5. Выводы пр разделу 3 128

4. Проверка адекватности алгоритма СР-сети и результаты тестирования прототипа ССИД в составе АСУ ФЗ КО 129

4.1. Проверка адекватности алгоритма СР-сети 129

4.2. Тестирование прототипа ССИД с помощью реальных данных, циркулирующих в АСУ ФЗ критического объекта 137

4.3. Выводы по разделу 4 145

Заключение 147

Библиографический список использованных источников 150

Приложение

• Анализ методов, пригодных для идентификации как известных, так и неизвестных системе входных данных
• Метод самообучения системы при поступлении в нее известной информации
• Разработка алгоритма работы самообучающейся системы идентификации данных
• Тестирование прототипа ССИД с помощью реальных данных, циркулирующих в АСУ ФЗ критического объекта

Введение к работе

Актуальность исследования. Первым рубежом защиты жизненно важных элементов любого критического объекта (КО), характерным примером которого является ядерно-опасный объект (ЯОО), является система физической защиты, включающая в себя, наряду со службой безопасности, также программно-технические комплексы, реализованные в виде автоматизированных систем управления (АСУ) доступом и охранной сигнализации. Подобные системы проектируются и реализуются как многоуровневые (интегрированные) АСУ, предназначенные для сбора, обработки, хранения, отображения и передачи данных о состоянии физической защиты различных зон КО, защищаемой информации об объекте, а также защиты активов этого объекта. Конкретная структура АСУ физической защиты (АСУ ФЗ) КО определяется множеством факторов, среди которых можно отметить такие, как количество охраняемых зон, важность информационных и других защищаемых ресурсов (активов), уровень необходимой конфиденциальности, материальные возможности организации и т.д. Управление отдельными компонентами АСУ ФЗ КО осуществляется с пунктов управления, оборудованных ПЭВМ, в которых концентрируются информационные ресурсы разного уровня конфиденциальности со средств и систем охранной сигнализации, телевизионного наблюдения и т.д. Характерной особенностью современных интегрированных АСУ ФЗ КО является применение протоколов TCP/IP, технологии клиент-сервер, систем идентификации данных и т.п.

Поскольку в АСУ ФЗ, в соответствии с определением автоматизированной системы, реализуется информационная технология выполнения установленных функций как совокупности действий АСУ, направленных на достижение цели физической защиты объекта, следовательно, при реализации информационной технологии в АСУ ФЗ важно обеспечить выполнения алгоритма ее функционирования; т.е. алгоритма, задающего условия и последовательность действий компонентов АСУ при выполнении ею своих функций.

8 Выполнение заданного алгоритма функционирования АСУ может быть нарушено поступлением в систему данных, которые могут привести к нарушению веса, количества и направленности связей между ее компонентами, в результате чего может произойти перепрограммирование и (или) их уничтожение, как этих компонентов, так и ее активов. Поэтому в АСУ ФЗ КО должна быть встроена система, обеспечивающая выполнение заданного алгоритма функционирования АСУ, т.е. система идентификации данных, поступающих в АСУ ФЗ, способная блокировать поступление в систему опасных для ее функционирования потоков данных.

Большинство современных подходов к выявлению и блокированию нежелательных потоков данных, поступающих в АСУ, опирается на использование продукционных экспертных систем, представляющих собой набор правил, каждому из которых соответствует определенное действие, которое необходимо выполнить, если выполняются условия соответствующей продукции. Подобные подходы имеют следующие недостатки:

1. существующие системы могут выявлять и блокировать только те нежелательные потоки данных, которые заранее известны системе;

2. набор правил, в соответствии с которыми происходит анализ данных, необходимо своевременно обновлять;

3. правила обычно задаются в чётком виде, что затрудняет описание некоторых опасных для системы входных данных;

4. правила обычно создаются и обновляются вручную, поэтому к их созданию и обновлению необходимо привлечение широкого круга квалифицированных специалистов.

Поэтому разработка и исследование новых методов идентификации данных, поступающих в АСУ ФЗ КО, позволяющих построить систему, умеющую не только выделять и блокировать нежелательные потоки данных, не нарушая при этом работы АСУ ФЗ КО, но и автоматически создавать новые правила идентификации, реализуя алгоритм распознавания неизвестных входных данных, является актуальной задачей.

Степень научной разработанности исследуемой проблемы. Решение исследуемой проблемы опирается на работы как отечественных, так и зарубежных ученых.

Применение в современных системах идентификации входных данных статистического и экспертного методов исследовались в [6, 12, 14, 15, 19 — 22], применение нейросетевого метода исследовалось в [12, 14 — 18]. Реализация статистического, экспертного и нейросетевого методов в системах обнаружения аномального поведения и злоумышленного поведения или злоупотреблений рассматривалась в [12, 14 - 17, 19 - 24]. Комбинированные системы, объединяющие в себе системы обнаружения аномальной и злоумышленной деятельности, рассматривались в [18, 25, 26].

Методы самообучения при поступлении в систему известной информации рассматривались в [30 - 45, 47 - 57]. Методы самообучения при поступлении в систему неизвестной информации рассматривались в [28, 29, 58], однако там формулировались только общие вопросы теории.

Модели защиты рассматривались в [59 - 62]. Подходы, в которых используют категорирование: нарушителей, информации, средств защиты и т.п. сформулированы в РД Гостехкомиссии России [7]. Однако эти РД не содержат положений, связанных с определением рисков и реализуют модель, в которой не рассматриваются категории угроз, уязвимостей и их взаимосвязей. От указанных проблем свободны Общие Критерии [64, 65]. Анализ рисков, построение и поддержка политики безопасности, и разработка методик оценки безопасности информационных технологий рассматривался в [63, 66 - 90 и др.]. Динамический анализ систем безопасности рассматривался в [87 - 90], при этом исследовался подход, связанный с отслеживанием действий пользователей, анализом таких действий и решением о нарушении политики безопасности. Далее этот подход развивался в работах [91, 92], целью которых являлся анализ аудиторской информации в реальном масштабе времени. При этом этот и другие подходы основывались на четко заданном априорном знании о том, какая информация представляет ценность и какие действия, связанные с этой информацией, ведут к ущербу.

Построение самообучающихся систем идентификации данных, поступающих в АСУ, способных анализировать не только известную, но и неизвестную информацию, а также автоматически создавать новые правила идентификации, в литературе отражения не нашло. Сказанное определяет цель исследования настоящей работы.

Объектом исследования настоящей работы является автоматизированная система управления физической защитой критического объекта (АСУ ФЗ КО), предназначенная для сбора, обработки, хранения, отображения, управления и передачи данных о состоянии физической защиты различных зон КО, защищаемой информации об объекте и активов этого объекта.

Предметом исследования является система идентификации данных, поступающих в АСУ ФЗ КО, поддерживающая заданный алгоритм функционирования.

Целью исследования является разработка самообучающейся системы идентификации данных, поступающих в автоматизированную систему управления физической защитой критического объекта.

Научная задача исследования заключается в разработке нового метода, позволяющего усовершенствовать существующие подходы к созданию систем идентификации данных, поступающих в АСУ ФЗ КО, путем выявления аналитических зависимостей во входных потоках данных.

В ходе решения научной задачи для достижения сформулированной цели должны быть решены следующие частные задачи:

1. Разработать концептуальную модель самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО.

2. Разработать метод самообучения ССИД при поступлении в нее неизвестных данных.

3. Разработать структурную схему, алгоритм работы и программную реализацию прототипа самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО и провести их тестирование.

Методологическая схема исследования опирается на общую концепцию информационной безопасности систем физической защиты ядерно-опасных объектов [1] и базируется на теории самозарождающихся и саморазрушающихся структур (СР-сетей) - сетей, для которых могут быть определены правила рождения и гибели элементов системы [28, 29, 58].

Методы исследования. Работа базируется на использовании и развитии методов теории систем, системного анализа, теории принятия решений, теории вероятностей, теории графов, теории алгоритмов, теории нейронных сетей, теории СР-сетей, теоретических основ защиты информации.

Научная новизна исследования состоит в том, что в настоящей работе впервые рассмотрена задача построения самообучающейся системы идентификации данных, поступающих в АСУ ФЗ, работающей с неизвестной информацией, в отличие от существующих методов и систем идентификации, рассматривающих вопросы идентификации известной системе информации. В процессе решения сформулированных в работе частных задач, были получены следующие новые результаты:

4. Разработан метод идентификации неизвестных входных данных, позволяющий выделять во входных потоках аналитические зависимости, что дает возможность повысить точность (минимизировать ошибку) идентификации за счет использования нейронных сетей, способных изменять собственную структуру адекватно воздействию входных данных путем создания и/или уничтожения компонентов (СР-сетей).

5. Разработана концептуальная модель самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО, включающая новый метод идентификации, что позволило разработать структурную схему, алгоритм функционирования и прототип программной реализации самообучающейся системы идентификации неизвестных данных, поступающих в АСУ ФЗ КО.

6. Получены результаты тестирования разработанного алгоритма и программной реализации прототипа ССИД, позволяющие сделать вывод о повышен-

12 ной точности предложенного метода идентификации неизвестных входных данных по сравнению с существующими аналогами.

Практическая значимость результатов исследования состоит в том, что разработанные на основании теоретических результатов исследования структурная схема, алгоритм работы самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО, а также программная реализация прототипа самообучающейся системы идентификации данных и результаты его тестирования, позволяющие выделять во входных потоках данных аналитические зависимости и идентифицировать неизвестные входные данные, могут быть реализованы в комплексном программном продукте всей системы, что может улучшить эффективность работы систем идентификации данных, поступающих в АСУ ФЗ КО в части уменьшения ошибок и времени идентификации. Практическая реализация подтверждается актами внедрения результатов исследования в органах государственной власти, на предприятиях разной формы собственности и в учебный процесс.

Достоверность и обоснованность полученных научных результатов достигнута путем системного решения задач, достаточно полного учета многократно проверенных на практике исходных данных, сочетанием формальных и неформальных методов исследования, проверкой и сопоставимостью отдельных результатов в рамках известных теоретических положений. Достоверность результатов:

обеспечивается корректным использованием методов теории систем, системного анализа, теории принятия решений, теории вероятностей, теории графов, теории алгоритмов, теории нейронных сетей, теории самозарождающихся и саморазрушающихся структур (СР-сетей), теоретических основ защиты информации;

подтверждается совпадением полученных отдельных результатов (в части тестирования классической нейронной сети) с результатами исследований других авторов;

апробирована опытом внедрения и практического использования в информационно-аналитическом управлении администрации Губернатора Калужской области, Орловском филиале ФГУП «Радиочастотный центр Центрального феде-

13 рального округа, и в департаменте системной интеграции ООО «ТопС Бизнес Интегратор».

Рекомендации по использованию результатов исследования:

метод идентификации неизвестных входных данных с помощью СР-сетей может быть использован для построения самообучающихся систем идентификации данных, поступающих в АСУ различной конфигурации;

структурная схема и алгоритм работы самообучающейся системы идентификации данных могут быть использованы при построении систем идентификации и разработке программного обеспечения, реализующего указанный алгоритм;

программная реализация прототипа самообучающейся системы идентификации данных может быть использована для создания программного комплекса самообучающейся системы идентификации данных, поступающих в АСУ любого критического объекта, в том числе и АСУ физической защитой ядерно-опасного объекта.

На защиту выносятся:

7. Метод идентификации неизвестных входных данных с помощью нейронных сетей, для которых могут быть определены правила создания и уничтожения компонентов системы.

8. Концептуальная модель самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО, использующая метод идентификации с помощью СР-сетей и позволившая разработать структурную схему, алгоритм работы и программную реализацию прототипа ССИД.

9. Результаты тестирования алгоритма и программной реализации прототипа ССИД.

Апробация работы. Основные положения и результаты диссертационной работы докладывались и получили положительную оценку на семинарах и совещаниях, научно-технических конференциях, в числе которых: Всероссийская научно-практическая конференции «Методы и средства технической защиты конфи-

14 денциальнои информации» (г. Обнинск, 2004 г.), IX Международная конференция «Безопасность АЭС и подготовка кадров» (г. Обнинск, 2005 г.), Международная ежегодная конференция «Risk Analysis in a Dynamic World: Making a Difference» (3-6 декабря 2006, Балтимор, Мэриленд, США).

Публикации. Основные результаты исследования опубликованы в 16 работах, полностью отражающих тему исследования, общим объемом 5 п.л., в том числе 9 статьях, опубликованных в изданиях, выпускаемых в РФ, в которых ВАКом рекомендуется публикация основных результатов диссертаций.

Структура и объем работы. Диссертация состоит из введения, четырех разделов, заключения, библиографического списка из 109 источников, 149 страниц, 21 рисунка, 10 таблиц, 1 приложения.

1. АНАЛИЗ СОВРЕМЕННЫХ МЕТОДОВ ИДЕНТИФИКАЦИИ ДАННЫХ И МОДЕЛЕЙ СИСТЕМ ЗАЩИТЫ

1.1. Общая формулировка задачи исследования

Первым рубежом защиты жизненно важных элементов любого критического объекта является система физической защиты, представляющая собой совокупность органов и подразделений безопасности объекта, инженерных и программно-технических средств и систем, направленных на предотвращение проникновения нарушителей на объект, хищений активов, несанкционированных действий с ними. Конкретная структура АСУ ФЗ определяется множеством факторов, среди которых количество охраняемых зон, важность материальных, информационных, программных и других защищаемых ресурсов, уровень необходимой конфиденциальности, материальные возможности организации и т.д. В пунктах управления, оборудованных ПЭВМ, как правило, концентрируются информационные ресурсы разного уровня конфиденциальности.

В качестве примера критического объекта (КО) в настоящей диссертационной работе рассматривается ядерно-опасный объект (ЯОО), в котором реализуется ядерная технология, под которой понимается множество композиций систем

ядерных материалов (ЯМ), ядерных установок (ЯУ), пунктов их хранения (ПХ) и маршрутов их транспортирования (МТ), выделенных по признакам aeAf\ построенное по отношениям re{Rj} и законам композиции ze{Zj}. В зависимости от категорий используемых ЯМ и ЯОИ, особенностей ЯУ и пунктов хранения ЯМ, СФЗ предусматривает иерархическую структуру охраняемых зон ЯОО: защищенную, внутреннюю, особо важную, локальную высокоопасную и зону ограниченного доступа.

Система ФЗ ЯОО имеет в своем составе следующие подсистемы [1]:

1) службу безопасности, осуществляющую в соответствии с нормативно-технической документацией (НТД) управление и координацию всей деятельности по физической защите (ФЗ) и защите информации (ЗИ) на ЯОО;

2. силы охраны, обеспечивающие охрану объекта в соответствии с зональным принципом охраны территорий, зданий, сооружений, в которых хранятся и используются ЯМ, ЯОИ и размещаются ЯУ, а также транспортных средств, перевозящих ЯМ;

3. комплекс физических барьеров и инженерных сооружений, затрудняющих преодоление нарушителями границ охраняемых зон (доступ к транспортируемым ЯМ) и обеспечивающих силам охраны необходимый резерв времени на пресечение этих действий;

4. комплекс технических и программно-технических средств и систем, предназначенных для обнаружения вторжения нарушителя в охраняемые зоны, замедления его продвижения, проноса (провоза) ЯМ, взрывчатых веществ (ВВ) и предметов из металла, с помощью скрытых активных элементов, наблюдения за обстановкой в охраняемых зонах с помощью телевидения, обеспечения автоматизированного управления доступом и учета пребывания персонала в определенных зонах ЯОО, сбора, обработки и отображения информации, обеспечения бесперебойной связи между всеми подразделениями и службами, связанными с обеспечением физической защиты.

Управление системой ФЗ ЯОО осуществляется с центрального пункта управления (ЦПУ), а управление отдельными ее компонентами может осуществляться с локальных пунктов управления (ЛПУ), соединенных с ЦПУ, при этом, информация с ЛПУ дублируется на ЦПУ. Пункты управления (ПУ) оборудуются средствами вычислительной техники, представляющими собой ПЭВМ, в которых концентрируется информация со средств и систем охранной сигнализации, телевизионного наблюдения, управления и контроля доступа персонала в охраняемые зоны, обнаружения проноса (провоза) ЯМ, ВВ и предметов из металла, мнемосхемами охраняемых зон, средствами проводной и радиосвязи со службой безопасности, силами охраны объекта и т.п.

Изложенное показывает, что СФЗ ЯОО обладает всеми признаками системы, определяемой в соответствии с [2] как совокупности элементов, объединенной

17 связями между ними и обладающей определенной целостностью. Однако в этом определении неясно из-за чего возникает «определенная целостность» системы. Чтобы снять эту неясность дадим свое определение системы:

Определение 1.1. Система - совокупность компонентов (т), объединенная связями (отношениями) между ними (R) и обладающая целостностью, обусловленной законами функционирования (Z) компонентов т по отношениям R.

В контексте настоящего исследования законы функционирования Z компонентов т по отношениям R определяются протоколами информационно-логического сопряжения этих компонентов в исследуемой системе.

С учетом этого определения, система ФЗ ЯОО (ФЗ КО), имея в своем составе такие подсистемы как служба безопасности, силы охраны, комплекс физических барьеров и инженерных сооружений, а также комплекс технических и программно-технических средств и систем [1], может рассматриваться как:

1. автоматизированная система (АС) — «система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций» [2, 3];

2. интегрированная автоматизированная система - как «совокупность двух или более взаимоувязанных АС, в которой функционирование одной из них зависит от результатов функционирования другой так, что эту совокупность можно рассматривать как единую АС» [2];

3. интегрированная автоматизированная система управления (АСУ) - поскольку «в зависимости от вида деятельности выделяют, например, следующие виды АС: автоматизированные системы управления (АСУ), системы автоматизированного проектирования (САПР), автоматизированные системы научных исследований (АСНИ) и др.» [2].

4. интегрированная автоматизированная система управления физической защитой (АСУ ФЗ) - поскольку «в зависимости от вида управляемого объекта (процесса) АСУ делят на АСУ технологическими процессами (АСУТП), АСУ предприятиями (АСУП) и т.д.» [2].

18 Следовательно, АСУ ФЗ ЯОО (АСУ ФЗ КО) представляет собой,интегрированную АСУ, предназначенную для сбора, обработки, хранения, отображения и передачи информации о состоянии физической защиты различных зон ЯОО, защищаемой информации об объекте и «состоит из следующих подсистем: доступа персонала, управления доступа в охраняемые зоны, обнаружения НСД и охранной сигнализации, телевизионного наблюдения, обнаружения ЯМ, ВВ и предметов из металла, задержки нарушителя с помощью физических барьеров и иных инженерно-технических средств, специальной связи, защиты информации, обеспечивающих подсистем (освещения, э/питания и др.)» [1]. Функциями АСУ ФЗ являются [1]:

5. получение достоверной информации о действиях персонала объекта или иных лиц (проникновение в охраняемые зоны и т.п.);

6. разграничение информации, передаваемой различным организационным структурам объекта и другим заинтересованным организациям;

7. управление различными техническими средствами и системами (телекамерами, управляемыми физическими барьерами и т.п.);

8. документирование необходимой информации о функционировании СФЗ, выдачу ретроспективных справок;

9. обмен информацией с другими системами обеспечения безопасности объекта (радиационного мониторинга, противопожарных мер, учета и контроля ЯМ и т.п.) и, при необходимости, системами управления более высокого уровня (уровня предприятия, отраслевого и федерального уровней).

Работа любой АС, в том числе и АСУ ФЗ, постоянно сопровождается внутренними возмущениями и внешними воздействиями, так или иначе влияющими на ее функционирование. Внутри АСУ ФЗ постоянно происходят различные изменения, связанные как с модернизацией программного обеспечения (ПО) и технических средств обработки данных, так и с деятельностью людей, эксплуатирующих эти средства. За пределами АСУ меняется окружающая обстановка, следовательно, в систему постоянно поступает новая информация, на которую не всегда ясно

19 как нужно реагировать (является ли она опасной для системы или нет). Эти причины внутреннего и внешнего характера могут либо нарушить взаимодействие компонентов АСУ, либо перепрограммировать (в т.ч. и разрушить) сами компоненты. Поэтому любая АСУ ФЗ должна иметь в своем составе подсистему, обеспечивающую идентификацию входных данных с целью защиты активов АСУ и ее компонентов. Под защитой активов АСУ в контексте настоящего исследования понимается деятельность, направленная на недопущение поступление в АСУ неизвестных ей входных данных, в результате чего может произойти модификация активов АСУ и (или) их разрушение. На необходимость защиты компонентов АС указывается также в государственном стандарте [4], где отмечается, что при разработке технического задания (ТЗ) на создание АС, наряду с функциональными требованиями, в ТЗ должны быть сформулированы требования, направленные на обеспечение защиты компонентов АС. В частности, в подразделе «Требования к системе в целом» наряду с функциональными требованиями и требованиями к надежности, должны быть указаны требования к защите информации от несанкционированного доступа (НСД), требования по сохранности информации при авариях, требования к защите от влияния внешних воздействий.

Случайные или преднамеренные действия людей или физические явления, которые могут привести к нарушению безопасности информации в соответствии с [5, 6] представляют собой угрозы безопасности информации. Угроза в соответствии с естественным языком [7] - возможная опасность - представляет собой совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее [8].

Более корректным, по мнению автора диссертационной работы, представляется следующее определение угрозы.

Определение 1.2. Угрозы безопасности информации - множество входных данных, поступление которых в АСУ может привести к нарушению (перепрограммированию и/или уничтожению) системообразующих отношений (т - ком-

20 поненты, R — связи (отношения) между компонентами, Z — законы функционирования компонентов т по отношениям R), в соответствии с которыми, функционируют (взаимодействуют) компоненты АСУ.

Данное определение основывается на определении угроз, разработанном в [9] и адаптировано, применительно к исследуемой предметной области.

По отношению к АСУ ФЗ, множество угроз может быть разбито на две группы: внешние и внутренние, каждая из которых, может быть также разбита на две подгруппы: угрозы умышленные (целенаправленные) и случайные; эти подгруппы, в свою очередь, также могут быть разбиты еще на две подгруппы: угрозы явные и скрытые. Угрозы безопасности информации АСУ могут возникнуть по вполне определенным причинам (факторам), которые можно свести в три основные группы: природные, технические и социальные [9]. Угрозы, возникающие из-за природных и технических факторов почти, либо совсем не зависят от деятельности людей с учетом выше приведенных оговорок, поэтому в диссертационной работе будут рассмотрены в основном угрозы информационной безопасности АСУ, возникающие вследствие социальных факторов, хотя будут рассматривать и угрозы, возникающие по техническим причинам, в связи с тем, что аварии и сбои в работе электропитания могут быть инициированы (сымитированы) злоумышленниками. Классификация угроз, возникающих из-за социальных факторов, приведена в [10, 11].

Для АСУ ФЗ КО характерны как внешние, так и внутренние угрозы, которые могут быть целенаправленными, случайными, явными, скрытыми. Поскольку угроза представляет собой возможную опасность, то вероятностное выражение угрозы, т.е. возможность опасности, представляет собой риск [7]. Представляя собой возможную опасность, угрозы информационной безопасности АСУ могут стать реальными только после успешно проведенной злоумышленником атаки.

Следует отметить, что понятие «атака» разными авторами определяются по-разному. Так в [12] атака на АСУ определяется как «действие или последовательность связанных между собой действий нарушителя, которые приводят к реализа-

21 ции угрозы путем использования уязвимостей этой АСУ». Там же отмечается, что уязвимость АСУ - это любая характеристика АСУ, использование которой нарушителем может привести к реализации угрозы [12]. Однако в государственном стандарте [13] уязвимость определяется как некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации.

По мнению автора диссертационной работы, приведенные выше определения понятий «атака» и «уязвимость», обладают рядом недостатков. Во-первых, очевидно, что атака не всегда может привести к реализации угрозы как возможной опасности, а может закончиться безрезультатно, например, в случае, если атакуемая система сумеет за имеющееся у нее время применить адекватный способ защиты. Во-вторых, учитывая, что в соответствии с естественным языком [7] уязвимый означает слабый, мало защищенный, считать уязвимостью любую характеристику АСУ, которую может использовать злоумышленник, можно только, понимая под «любой характеристикой АСУ» характеристику ее системы защиты, поскольку в соответствии с определением АСУ [2], задачей АСУ является «реализация информационной технологии выполнения установленных функций», а не обнаружение и отражение атак, чем должна заниматься система ее защиты. Поэтому, по мнению автора диссертационной работы, термин «уязвимость» следует употреблять применительно только к системе защиты АСУ, а не ко всей автоматизированной системе управления.

С учетом изложенного, автором диссертационной работы разработаны следующие определения понятий «атака» и «уязвимость».

Определение 1.3. Атака - последовательность спланированных действий злоумышленника, согласованных по цели, месту и времени и направленных на объект воздействия с целью нарушения (перепрограммирования и/или уничтожения) системообразующих отношений (ш — компоненты, R — связи (отношения) между компонентами, Z - законы функционирования компонентов т по отношениям R), в соответствии с которыми, функционируют (взаимодействуют) компоненты АСУ.

Если атака переводит компонент АСУ в новое состояние, то она считается реализованной и квалифицируется как «событие». Определение понятия «событие» приведено в п. 1.2 настоящего исследования.

Определение 1.4. Уязвимость - слабость системы защиты АСУ, не позволяющая ей идентифицировать и блокировать множество входных данных, поступление которых может привести к нарушению системообразующих отношений (т, R, Z) автоматизированной системы управления.

Очевидно, что уязвимости могут «закладываться» как на этапе проектирования АСУ (при проектировании ее системы защиты), так и возникать на этапе эксплуатации АСУ в результате множества неправильных действий обслуживающего персонала (администраторов и пользователей) по конфигурированию системы защиты, реализации политики безопасности и т.д.

Типичные внутренние и внешние атаки на АСУ приведены в [10, 11].

Успешное осуществление атак может привести к несанкционированному расширению прав доступа пользователей АСУ ФЗ, искажению, уничтожению, раскрытию содержания информации, отказу в обслуживании.

1.2. Существующие методы идентификации данных

Во время функционирования АСУ в ее компонентах, например, в узлах сети, происходят различные события, которые изменяют состояния этих узлов. Автор настоящего исследования определяет событие следующим образом.

Определение 1.5. Событие - элементарное действие AD (квант действия), изменяющее состояние компонента АСУ и содержащее квант информации AI об этом изменении. AD=AI.

Событие - минимальная единица, с которой производится оперирование в настоящем исследовании. Формат и содержание описания события зависят от типа события. Описание события содержит наиболее полезные сведения, относящиеся к причине и значимости события. Основные типы событий: ошибка, предупреждение, уведомление, аудит успеха, аудит неуспеха. Данные события могут быть представлены с точки зрения модели безопасности с полным перекрытием при

23 помощи трех составляющих — источника события, порождающего угрозы (агент угроз), действия, направленного на реализацию угроз и создающего риск объекту воздействия и собственно объект воздействия (активы).

Поскольку задачей системы идентификации является распознавание входных данных, поступающих в АСУ, с целью обнаружения и предотвращения атак, рассмотрим существующие в настоящее время методы обнаружения атак, реализованные в современных системах.

В современных системах обнаружения атак наиболее широко используют два основных метода: статистический (30%) и экспертный (70%) [12], однако известны [12, 14 - 18] и другие, пока еще широко не применяемые, но перспективные методы, использующие нейронные сети (НС), генетические алгоритмы и т. д., при этом варианты применения НС сводятся как к их объединению с ЭС, так и к самостоятельному применению.

Статистический метод основывается на статистическом анализе и находит применение, как правило, при обнаружении аномального поведения. Сигнал о том, что зафиксирована атака, дает отклонение от среднего значения (т. е. дисперсия) профиля нормального поведения. Средние частоты и величины переменных вычисляются для каждого типа нормального поведения (например, количество входов в систему, количество отказов в доступе, время суток и т.д.). О возможных атаках сообщается, когда наблюдаемые значения выпадают из нормального диапазона, т.е. превышают заданный порог. Параметры, которые включаются в шаблон поведения субъекта системы, могут быть отнесены к следующим распространенным группам [19]:

числовые параметры (количество переданных данных по различным протоколам, загрузка центрального процессора, число файлов, к которым осуществлялся доступ и т. п.);

категориальные параметры (имена файлов, команды пользователя, открытые порты и т. д.);

параметры активности (число обращений к файлам или соединений единицу времени и др.).

24 Анализ, проведенный автором диссертационной работы, показал, что в системах обнаружения аномального поведения, использующих данный метод, наиболее важным вопросом является правильный выбор контролируемых параметров, поскольку, малое их число или неправильно отобранные параметры могут привести к тому, что модель описания поведения субъектов системы будет неполной, и многие аномальные действия останутся за пределами рассмотрения. С другой стороны, слишком большое число параметров мониторинга вызовет снижение производительности контролируемого узла за счет увеличенных требований к потребляемым ресурсам (оперативной и дисковой памяти, загрузке процессора и т. д.). Анализ также показал, что:

из-за постепенного изменения режима работы с течением времени и «приучения» системы к новому поведению система обнаружения аномального поведения может воспринять аномальную деятельность в качестве нормальной; <>

невозможно обнаружить аномальное поведение субъектов, для которых нельзя описать шаблон типичного поведения, либо они с самого начала выполняют несанкционированные действия;

подобные системы нечувствительны к порядку следования событий.
Необходимо отметить, что в некоторых современных системах обнаружения

атак (например, RealSecure Network Sensor) можно изменять соответствующие пороговые значения некоторых атак. Однако выбор этих значений является задачей, которая требует глубоких знаний контролируемой системы.

Экспертный метод основан на применении экспертных систем (ЭС), использующих подход на основе правил (rules), описывающих сценарии атак [12, 14, 15, 20 - 22]. Механизм обнаружения идентифицирует возможные атаки в случае, если действия пользователя совпадают с установленными правилами. Наличие исчерпывающих баз данных таких правил является наиболее важным аспектом для ЭС обнаружения атак. Эти правила основаны на опыте специалистов и хранятся в базе знаний (knowledge base). В большинстве случаев правила ЭС опираются на

25 сигнатуры, которые ищутся в контролируемом пространстве и представляют собой шаблоны, сопоставленные известным атакам или злоупотреблениям в системах. Анализ сигнатур представляет собой контроль соответствия настроек системы и активности пользователя или иного субъекта системы, а также сверки сетевого трафика с базой данных известных атак и уязвимостей. В таких системах обнаружения атак требуется периодическое обновление баз данных сигнатур. Несмотря на то, что в большинстве случаев ЭС применяются для обнаружения злоупотреблений, известны методы [12], которые используют правила для обнаружения аномалий. Например, метод прогнозируемых порождаемых шаблонов заключается в том, что будущие события предсказываются на основе уже случившихся. Такое правило может быть записано в следующем виде: Щ - П₂ => (П₃ = 0,75 П₄ = 0,2%, П₅ = 0,05). Данное правило означает, что если событие П₂ произошло после события П], то с вероятностью 0,75 следующим событием будет событие П₃, с вероятностью 0,20 - событие П₄ и с вероятностью 0,05 - событие П₅. Однако можно видеть, что этому подходу присущи те же недостатки, что и всем ЭС. Если в базе знаний не существует какой-либо сценарий атаки, то обнаружить его будет невозможно. И хотя этот недостаток может быть частично преодолен путем определения всех неизвестных событий как атак (с отрицательным эффектом, приводящим к блокированию событий, не являющихся атаками) или как обычных событий (приведет к пропуску атаки), в результате, все задачи определения всех неизвестных событий все равно не решаются.

В результате исследований, проведенных автором настоящего исследования, выявлено, что:

системы на основе правил нуждаются в постоянном обновлении, т.к. отсутствие обновлений приводит к снижению способности обнаружения атак и снижению степени защищенности всей сети;

системы на основе правил не способны обнаруживать сценарии атак, которые происходят в течение продолжительных периодов времени;

любое разделение атаки либо с течением времени, либо среди нескольких, не связанных между собой злоумышленников вносит трудности обнаружения;

имеется сильная зависимость от квалификации специалистов, заполняющих базу знаний.

Нейросетевой метод применяется в качестве альтернативы компонентам статистического анализа для идентификации типичных характеристик пользователей системы и статистически значимых отклонений от установленного режима работы пользователей. В отличие от ЭС, которые могут дать пользователю определенный ответ, соответствуют или нет рассматриваемые характеристики заложенным в базе данных правилам, нейронные сети (НС) проводит анализ информации и предоставляет возможность оценить, что данные согласуются с характеристиками, которые она научена распознавать. В то время как степень соответствия НС представления может достигать 100%, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной в процессе обучения задачи. Постоянно изменяющаяся природа сетевых атак требует гибкой защитной системы, которая способна анализировать все возрастающий сетевой трафик способом, который является менее структурированным, чем система на основе правил.

В результате исследований, проведенных автором настоящего исследования, выявлено, что:

для успешного применения данного метода необходимо иметь большое количество данных для обучения;

способность идентификации данных зависит от точности обучения;

невозможно объяснить причины выбора принятого решения и проверить его истинность;

отсутствуют твердо установленные правила.

Методы обнаружения, рассмотренные выше, реализуются в настоящее время в двух группах систем [12, 14 - 17,19 - 24], дополняющих друг друга: 1) системы обнаружения аномального поведения;

27 2) системы обнаружения злоумышленного поведения (злоупотреблений). В первом случае требуется понимание ожидаемого поведения контролируемого субъекта (системы, программы, пользователя), а во втором — знание всех возможных атак и их модификаций. В современных системах обнаружения атак обычно сочетают оба подхода, пытаясь извлечь максимум из этих технологий и устранить недостатки, присущие каждой в отдельности.

Системы обнаружения аномальной деятельности основываются на том, что аномальное поведение субъекта (системы, программы, пользователя), может проявляться как отклонение от нормального поведения [12, 15, 16, 19, 20, 24]. Примером аномального поведения может служить большое количество соединений за короткий промежуток времени, высокая загрузка центрального процессора, высокий коэффициент сетевой нагрузки или использование периферийных устройств, которые обычно не задействуются. Если возможно описать профиль нормального поведения субъекта, то любое отклонение от него можно охарактеризовать как аномальное поведение. Аномальное поведение может и не быть атакой. Например, атакой не является прием большого числа ответов на запрос об активности станций от системы сетевого управления. Многие системы обнаружения атак идентифицируют данный случай как атаку типа «отказ в обслуживании». При этом возможны две ситуации:

обнаружение аномального поведения, которое не является атакой, и отнесение его к классу атак (false positive);

пропуск атаки, которая не подпадает под определение аномального поведения (false negative).

Поскольку пропуск атаки более опасен, чем ложное причисление аномального поведения к классу атак, то при настройке и эксплуатации систем такой категории администраторы сталкиваются с двумя задачами:

1) построение профиля субъекта, которое является трудно формализуемой и емкой по времени задачей, требующей от администратора большой предварительной работы;

2) определение граничных значений характеристик поведения субъекта для снижения вероятности появления одного из двух вышеназванных крайних случаев.

Недостатком существующих систем обнаружения аномальной деятельности является то, что постоянная регистрация всех действий контролируемого субъекта, необходимая для выполнения такого рода обнаружения, существенно снижает производительность защищаемого сетевого узла, загружает центральный процессор и требует больших объемов дискового пространства для хранения собираемых данных. В связи с этим, системы обнаружения аномальной деятельности достаточно сложно применить для АСУ, работающих в режиме реального времени и критичных к быстродействию (например, АСУ диспетчерского управления). Средства обнаружения аномалий достаточно эффективно применять для систем, в которых постоянно выполняются однотипные действия, например, действия, постоянно проводимые операторами в банке. Данный подход реализован в системах обнаружения мошенничества. Однако для таких сред как университетские сети или Web-серверы, к которым осуществляется доступ сотен пользователей при помощи всего одной учетной записи, системы обнаружения аномальной деятельности не применимы [18]. В качестве источника данных системы обнаружения аномального поведения используют журналы регистрации, фиксирующие текущую деятельность пользователя, а также иногда и сетевой трафик.

Системы обнаружения злоумышленной деятельности основываются на поиске шаблона (pattern) или сигнатуры (signature) атаки в контролируемом пространстве, например, в сетевом трафике или журнале регистрации, описанном заранее. Это напоминает неэвристическое сканирование на наличие вирусов. Система слабо приспособлена для обнаружения новых, неизвестных, атак. Системы обнаружения злоумышленной деятельности для поиска данных обычно используют журналы регистрации и сетевой трафик.

Комбинированные системы объединяют в себе системы обнаружения аномальной и злоумышленной деятельности [18, 25, 26].

29 1.3. Анализ методов, пригодных для идентификации как известных, так и неизвестных системе входных данных

При поступлении в АСУ ФЗ новой информации возможны два варианта: 1) поступление уже известной системе информации; 2) поступление неизвестной для системы информации.

При поступлении известной информации классическое задание модели самообучающейся системы предполагает решение следующих задач [27]:

10. создание модели отдельного элемента;

11. определение топологии связей между элементами, функционирующими в рамках исследуемой системы, каждый из которых способен самостоятельно решать определенную технологическую задачу;

12. определение правил изменения связей при получении системой информации.

Поступление в систему неизвестной (принципиально новой) для нее информации приводит к рождению новых или гибели имеющихся у системы элементов, т.е. к перечисленным выше пунктам (1—3) добавляется ещё один, четвертый [27-29]:

4) определение правил рождения и гибели элементов системы.
Поскольку АСУ является самообучающейся системой, для нее характерно

решение всех четырех указанных задач. Соответственно и система идентификации данных, поступающих в АСУ как неотъемлемая ее часть также является самообучающейся и должна уметь решать указанные задачи, для решения каждой из которых требуется выявить из множества методов интеллектуального анализа данных, адекватный решаемой задаче. Анализ методов самообучения, проводимый ниже, основывается на [9] и развивается автором настоящей диссертационной работы в части определения правил изменения связей при получении системой информации применительно к рассматриваемой предметной области.

Анализ методов, приходных для идентификации известных системе входных данных включает в себя решение задач создание модели отдельного

элемента, определение топологии связей между элементами, функционирующими в рамках исследуемой системы, каждый из которых способен самостоятельно решать определенную технологическую задачу, а также определение правил изменения связей при получении системой информации.

Анализ методов, пригодных для решения задачи создания модели отдельного компонента системы проводится в настоящей диссертационной работе в отношении нормативного и экстраполяционного методов, являющихся разновидностями методов статистического прогнозирования достоверности информации в АСУ на семантическом уровне. При статистическом прогнозировании принято рассматривать динамический (временной) ряд значений исследуемого показателя как сумму детерминированной {тренда) и случайной составляющих. Случайную составляющую, обусловленную размером выборки, погрешностью измерений и т.д., чаще всего можно считать стационарной и распределенной по нормальному закону [30]. Основная задача прогнозирования заключается в.выработке некоторой обоснованной гипотезы об изменении значения детерминированной составляющей, т.е. тенденции развития показателя в будущем. В основу закладывается принцип инерционности изменения прогнозируемого показателя на весь период прогнозирования.

Нормативный метод применим в тех случаях, когда уровень прогнозируемой величины Y может быть связан со значением другой величины (базой нормирования) х определенной нормой а, т.е. Y = а- х. Этот метод весьма прост и дает удовлетворительные результаты в тех случаях, когда возможен достаточно точный прогноз значения х, а норма «обладает относительной стабильностью или допускает научно обоснованную оценку для прогнозируемого периода. Примеры реализации этого метода рассмотрены в [31, 32].

Экстраполяционный метод предполагает, что тенденция изменения прогнозируемой величины во времени / оценивается статистически по ее прошлым значениям — уровням временного ряда Y_u Y₂, ..., Y„.j, и оцениваемая таким образом зависимость распространяется на прогнозируемый период Y_n = f(t, Y/,..., Y,,./).

31 Основанием для использования экстраполяционной модели является постоянство динамики изменения показателя в течение интервала времени, включающего как прошедший период, данные которого используются для оценивания параметров модели, так и прогнозируемый период. Вид функции, описывающей тренд, определяется моделью динамики прогнозируемой величины в форме полинома. В качестве экстраполяционных моделей широко применяются различные виды моделей авторегрессии, скользящего среднего, метода наименьших квадратов, линейно-циклических моделей и их взаимных сочетаний [33, 34]. Этот метод входит в состав статистического пакета систем, образованных на пересечении искусственного интеллекта, статистики и теории баз данных (data mining — формирование знаний) [35].

Перечисленные методы идентификации исследуемая АСУ ФЗ может использовать лишь для решения самых простейших задач моделирования своего поведения. Так как тенденция изменения прогнозируемой величины во времени оценивается только по ее прошлым значениям, то рассмотренные методы не вполне пригодны для решения более сложных задач самообучения, таких как задача определения топологии связей между компонентами АСУ ФЗ и еще более сложных задач, характерных для самообучающейся системы.

Анализ методов, пригодных для решения задач определения топологии связей между компонентами системы проводится в отношении методов, в состав которых входят: метод деревьев решений, метод, основанный на применении программ под названием «системы рассуждений на основе аналогичных случаев (метод ближайшего соседа), метод, основанный на решении задачи поиска ассоциативных правил, методы технического анализа, так и факторный метод статистического прогнозирования из состава data mining.

Метод деревьев решений применяется для задач классификации различных технологий и основан на том, что к обучающей выборке данных создается иерархическая структура, классифицирующая правила типа «если ..., то ...», имеющая вид дерева. Если построенное дерево слишком «кустистое», данные, полученные этим методом, могут не иметь высокой достоверности.

Метод ближайшего соседа основывается на применении программ под названием «системы рассуждений на основе аналогичных случаев» и заключается в том, что для того, чтобы сделать прогноз на будущее или выбрать правильное решение, эти системы находят в прошлом близкие аналоги наличной ситуации и выбирают тот же ответ, который был для них правильным.

Метод поиска ассоциативных правил по своей сути близок к предыдущему методу. Задача нахождения ассоциативных правил разбивается на две подзадачи: 1) нахождение всех наборов элементов, которые удовлетворяют порогу minsupport; 2) генерация правил из наборов элементов, найденных согласно п.1. с достоверностью, удовлетворяющей порогу minconfidencQ. Значения для параметров «минимальная поддержка» и «минимальная достоверность» выбираются таким образом, чтобы ограничить количество найденных правил.

Методы технического анализа представляют собой совокупность методов прогнозирования цен с помощью изучения графиков движений рынка (изменение трех основных параметров: цены, объема и открытого интереса) за предыдущие периоды времени. Для прогнозирования требуется изучение графика цен, в котором заранее учтены и отражены движения рынка. Эти методы могут быть весьма просты, а могут иметь достаточно сложную математическую основу, например, фрактальную геометрию [36] или спектральный анализ. Особенностью таких систем является то, что, как правило, теория уже «зашита» в эти системы, а не выводится на основании текущего состояния рынка.

Факторный ліетод статистического пакета предполагает анализ и установление зависимости между уровнем прогнозируемой величины Y и рядом факторов хі, х₂, ...,х„,г.е. Y=f(xi, х₂, ..., х„). Исходными данными для анализа служит информация, полученная экспериментальным путем, либо из статистической отчетности, либо содержащаяся в плановых, нормативных и технологических документах. При разработке факторной модели возникают три частные задачи: 1) отбор системы существенных факторов (спецификация), 2) выбор общей структуры модели (числа уравнений и связей между факторами) и конкретного вида аппрок-

33 симирующей функции, 3) статистическая оценка погрешности прогнозирования. Степень влияния отдельных факторов на прогнозируемую величину может оцениваться разными математическими методами и, в первую очередь, методами корреляционного анализа. Вид функции / определяется на основании содержательной модели связи величины Y с факторами. Условием использования факторного метода является постоянство во времени статистической модели, описывающей зависимость Y от факторов, и наличие прогноза уровней этих факторов.

Очевидно, что в основе рассмотренных методов лежит анализ причинно-
следственных связей, а система, использующая такие методы, характеризуется
своей динамичностью, проявляющейся в умении определять топологию связей
между элементами. Эти методы можно было бы применить и для решения более
сложных задач, таких как определение правил изменения связей при получении
данной системой новой информации, но для этого пришлось бы пользоваться экс
пертными оценками. '

Анализ методов, пригодных для решения задачи создания правил изменения связей между компонентами системы включает методы, основанные на изменении управляющих коэффициентов, некоторые методы из пакета data mining, эвристические методы и методы детерминационного анализа.

Метод изменения управляющих коэффициентов использует нейронные сети (НС), которые относятся к системам data mining и представляют собой сети элементов (искусственных нейронов), связанных между собой синаптическими соединениями. НС обрабатывает входную информацию и в процессе изменения своего состояния во времени формирует совокупность выходных сигналов [37]. Искусственный нейрон (стандартный формальный нейрон) имитирует в первом приближении свойства биологического нейрона мозга [38].

Множество входных сигналов, обозначенных xj, х?,..., х_П, поступающих в искусственный нейрон, образуют n-мерный вектор X = {xj, х₂,..., х_п}. Каждый сигнал умножается на соответствующий вес со i, 0)2,---, ^п, и поступает на суммирующий блок, обозначенный S, который складывает взвешенные входы алгебраиче-

34 ски, создавая выход. Множество весов в совокупности образуют n-мерный вектор D. = {coj, <х>2,-.., со_п}- Текущее состояние нейрона определяется, как взвешенная

сумма его входов: S = ]>\v, -со,

i=i

Выход нейрона есть функция его состояния: Y = F(S), где F - нелинейная активационная функция, имеющая следующий вид: а) функция единичного скачка; б) линейный порог (гистерезис); в) сигмоид - гиперболический тангенс; г) сигмоид — нелинейная функция с насыщением, так называемая логистическая функция или сигмоид.

Вид сигмоида определяется в соответствии с выражением

^(^х) - 1^7 5 из которого видно, что выходное значение нейрона лежит в диа-

пазоне (0, 1). При уменьшении а сигмоид становится более пологим, в пределе при се=0 вырождаясь в горизонтальную линию на уровне 0.5, при увеличении а сигмоид приближается по внешнему виду к функции единичного скачка с порогом Т в точке х=0. В результате анализа нелинейных активационных функций различного вида, перечисленных выше, эта функция выбрана для использования при разработке модели самообучающейся системы идентификации данных, поступающих в АСУ ФЗ.

Архитектура нейронных сетей может быть представлена двумя базовыми направлениями - полносвязными и слоистыми сетями [39, 40]. Слоистые сети, в свою очередь, могут быть однослойными и многослойными. Одним из самых распространенных видов многослойной сети является многослойный персептрон (MLP). Подобные сети состоят из произвольного количества слоев нейронов. Нейроны каждого слоя соединяются с нейронами предыдущего и последующего слоев по принципу «каждый с каждым». Количество нейронов в слоях может быть произвольным. Обычно во всех скрытых слоях одинаковое количество нейронов.

Работа многослойного персептрона описывается выражением [38]:

35 где і - номер входа; j — номер нейрона в слое; / — номер слоя; xyi — /-и входной сигналу-го нейрона в слое /; w,ji - весовой коэффициент /-го входа нейрона номеру в слое /; yji - выходной сигнал нейрона;

Каждый слой рассчитывает нелинейное преобразование от линейной комбинации сигналов предыдущего слоя. Многослойная сеть может формировать на выходе произвольную многомерную функцию при соответствующем выборе количества слоев, диапазона изменения сигналов и параметров нейронов.

Анализ различных архитектур нейронных сетей, проведенный в настоящей диссертационной работе, с целью их использования при разработке модели самообучающейся системы идентификации данных АСУ ФЗ КО, показал, что должны быть выбраны многослойные НС в связи с их большими вычислительными возможностями по сравнению с однослойными. Выбор количества нейронов и слоев нейронной сети в настоящей диссертационной работе проводился, исходя из перечисленных ниже факторов:

1) при слишком малом числе нейронов или слоев в сети:

сеть не обучится и ошибка при работе сети останется большой;

на выходе сети не будут передаваться резкие колебания аппроксимируемой функции Y(X).

2) при слишком большом числе нейронов или слоев в НС:

быстродействие НС будет низким и потребуется много памяти на ЭВМ;

сеть переобучится, при этом выходной вектор будет передавать несущественные детали в изучаемой зависимости Y(X), например, шум или ошибочные данные;

зависимость выхода от входа окажется резко нелинейной: выходной вектор будет существенно и непредсказуемо меняться при малом изменении входного вектора X;

сеть будет неспособна к обобщению: в области, где нет или мало известных точек функции Y(X) выходной вектор будет случаен и непредсказуем, не будет адекватен решаемой задаче.

Классификация НС может быть проведена по способу распространения сигналов и включать сети прямого распространения и сети с обратными связями. Другие виды сетей, например, сети встречного распространения, являются частными случаями вышеуказанных сетей. Сеть прямого распространения характеризуется тем, что все сигналы в ней распространяются только от входа к выходу. Сети этого класса послойно-полносвязные. К классу НС с обратными связями относятся соревновательные сети, сеть Кохонена [41], сеть Хопфилда, сеть теории адаптивного резонанса ART.

Обучение НС является задачей многомерной оптимизации, для решения которых существует множество алгоритмов, которые делятся на два класса: детерминистские и стохастические. В первом из них подстройка весов представляет собой жесткую последовательность действий, во втором - проводится на основе действий, подчиняющихся некоторому случайному процессу. Известны четыре основных типа правил обучения: 1) коррекция по ошибке, 2) обучение Больцмана, 3) обучение Хебба [40] и 4) обучение методом соревнования. В [42 - 45] были развиты алгоритмы обучения с учителем, приводящие к сетям с более широким диапазоном характеристик обучающих входных образов и большими скоростями обучения, чем использующие обучение по Хэббу.

К классу НС, обучающихся без учителя, относятся многослойные сети прямого распространения, сеть Хопфилда, сети Кохонена, сети теории адаптивного резонанса ART и соревновательные сети.

К классу НС, обучающихся с учителем, относятся однослойный и многослойный персептрон, многослойные сети прямого распространения, сети теории адаптивного резонанса ART, соревновательные сети и сети с обратной связью.

Для обучения многослойных искусственных НС применяется алгоритм обратного распространения ошибки (алгоритм Румельхарта-Хинтона-Вильямса), представляющий собой итеративный градиентный алгоритм обучения, который используется с целью минимизации среднеквадратичного отклонения текущего

37 выхода и желаемого выхода многослойных НС. Данный алгоритм используется для обучения многослойных НС прямого распространения.

Анализ алгоритмов обучения НС, проведенный в настоящей диссертационной работе, с целью их использования для идентификации известной входной информации при разработке модели самообучающейся системы идентификации данных, поступающих в АСУ, показал, что алгоритм обратного распространения ошибки является наиболее мощным средством для обучения многослойных искусственных нейронных сетей, что и обусловило его выбор.

Для кластеризации многомерных векторов применяются сети теории адаптивного резонанса или классификаторы Карпентера-Гроссберга (Adaptive Resonance Theory Network, ART). Главным их свойством является адаптация — процесс обучения сети и ее работы не разделяются. ART сети реализуют потоковую кластеризацию (без предварительного накопления обучающей выборки) с неизвестным (изменяемым) количеством кластеров, что значительно уменьшает время обучения, хотя и снижает скорость работы. Сети ART имеют следующие модификации: ART1 и ART2. Сети ART1 являются наиболее простыми в реализации и обладают следующими особенностями:

13. Количество входов и весов входов каждого нейрона определяется следующими правилами: а) каждый нейрон входного слоя соединен с каждым нейроном выходного слоя и, наоборот; б) каждой связи поставлен в соответствие некоторый вес; в) связи от входных нейронов к выходным являются восходящими, а от выходных к входным - нисходящими; г) в качестве функции состояния каждого нейрона рассматривается расстояние в некоторой специальной метрике между входным вектором X и вектором весов нейрона W.

14. Функция активации нейронов выходного слоя вычисляется как взвешенная весами входов сумма координат входного вектора.

15. Обучение НС является ненаблюдаемым и заключается в коррекции весов нейронов таким образом, чтобы каждый нейрон был победителем для максимального количества векторов из обучающего множества и при этом выполнялся некоторый критерий близости.

38 Сеть ART2 отличается от ART1 главным образом алгоритмом обучения, реализующим непосредственную нормализацию входных векторов в первом слое и последующее сравнение результата и весов входов нейронов второго слоя с учетом параметра близости и обладают следующими особенностями:

16. сеть состоит из двух слоев нейронов: входного (нормализующего) слоя с фиксированным количеством нейронов, равным размерности векторов, и выходного (соревновательного) слоя с переменным количеством нейронов, где каждому нейрону соответствует один класс объектов (кластеров), при этом, каждый нейрон входного слоя соединен с каждым нейроном выходного слоя и каждой связи поставлен в соответствие некоторый вес;

17. в качестве функции активации каждого нейрона выходного слоя рассматривается расстояние в некоторой метрике между входным вектором X и вектором весов связей нейрона W;

18. обучение НС является ненаблюдаемым и заключается в коррекции весов нейронов таким образом, чтобы каждый нейрон был победителем для максимального количества векторов из обучающего множества и при этом выполнялся некоторый критерий близости.

Сети теории адаптивного резонанса ART, являющиеся сетями с обратными связями, выбраны в настоящей диссертационной работе для обнаружения аномального поведения входных данных, т.к. обучение и работа этих сетей происходит параллельно в режиме реального времени, что позволяет распознавать поток данных, соответствующих определенным шаблонам.

Метод генетических алгоритмов имитирует процесс естественного отбора в природе и применяющийся при решении комбинаторных задач и задач оптимизации. Поиск оптимального решения похож на эволюцию популяции индивидов, представленных набором их хромосом. В этой эволюции действует три механизма: во-первых, отбор сильнейших - наборов хромосом, которым соответствуют оптимальные решения; во-вторых, скрещивание - производство новых индивидов при помощи смешивания хромосомных наборов отобранных индивидов; и, в-

39 третьих, мутации - случайные изменения генов у некоторых индивидов популяции. В результате смены поколений^ основываясь на накопленной в генах исторической памяти (опыте предшествующих поколений), в конце концов, вырабатывается такое решение поставленной задачи, которое уже не может быть далее улучшено.

Генетические алгоритмы могут применяться для обучения нейронных сетей, при этом, в качестве независимой переменной выбирается р = W/8 - набор весовых коэффициентов и пороговых уровней сети. Целевой функцией служит функция ошибки, или любая другая характеристика качества сети при решении поставленной задачи. Целевая функция вообще может не иметь числового выражения, а задаваться алгоритмически.

Обучение НС с помощью генетических алгоритмов состоит в следующем:

19. в памяти создается некоторое количество нейронных сетей (популяция) с различными значениями р;

20. пошагово моделируется развитие популяции в соответствии с генетическим алгоритмом (мутации, гибель, размножение);

21. каждые несколько итераций в популяции выбирается точка_т с лучшим значением Е(р). Если значение целевой функции в этой точке достаточно мало, алгоритм завершается.

В качестве целевой функции может быть выбрана любая характеристика качества при решении тестовой задачи, поэтому генетические алгоритмы применимы к обучению НС как с учителем, так и без учителя.

Несмотря на достоинства генетические алгоритмы при обучении НС, которые заключаются в неподверженности ложного обнаружения глобального минимума в локальных минимумах целевой функции, независимости функционирования особей в популяции и биоподобности, указанные алгоритмы обладают рядом следующих недостатков:

1) для каждой особи, в случае НС, требуется значительный объем памяти-, т.к. количество весов и пороговых уровней обычно велико, при этом количество требуемой памяти пропорционально также размеру популяции, поэтому для НС размер популяции весьма ограничен, что снижает эффективность алгоритма;

2. склонность к параличу при обучении; изменения параметров сети случайны, и веса могут возрастать неограниченно, что вводит нейроны в насыщение и снижает скорость обучения, поэтому необходимы дополнительные меры, чтобы избежать чрезмерного роста параметров;

3. низкая эффективность на ЭВМ; мутации параметров случайны, и много ресурсов расходуется на «ненужные» вычисления; при отсутствии параллельной обработки быстродействие алгоритмов невелико.

Поэтому в настоящей диссертационной работе при обучении НС признано целесообразным использование генетических алгоритмов совместно с другими алгоритмами и методами, например методом градиентного спуска, устраняющими указанные недостатки. Кроме этого, генетические алгоритмы могут быть применены для реализации перебора при обучении СР-сети с учителем, так как при этом не потребуется большого объема вычислений.

Метод эволюционного программирования заключается в том, что гипотезы о виде зависимости целевой переменной от других переменных формируются системой в виде программ на некотором внутреннем языке программирования. Про-цесс построения этих программ строится как эволюция в мире программ. Когда система находит программу, достаточно выражающую искомую зависимость, она начинает вносить в нее небольшие модификации и отбирает среди построенных таким образом дочерних программ те, которые повышают точность. Таким образом, система «выращивает» несколько генетических линий программ, которые конкурируют между собой в точности выражения искомой зависимости. Для контроля коэффициента доверия выводимых зависимостей применяется набор современных методов, например рандомизированное тестирование. Здесь также имеет место накопление исторической памяти о предшествующих поступках системы.

Одной из реализаций этого метода является пакет PolyAnalist, предназначенный для получения аналитической информации путем автоматической обработки исходных данных, представленных числами, логическими или категориальными величинами [33, 46]. Системы, подобные пакету PolyAnalyst символизируют

41 переход от накопления и оперативного использования данных (OLTP — Online Transaction Processing) к их переработке (выработке), анализу зависимостей и закономерностей, скрывающихся в долгое время пополняемых хранилищах. В основе PolyAnalyst лежит большой набор методик и алгоритмов анализа данных - как традиционных (например, множественная линейная регрессия с автоматическим выбором независимых переменных), так и разработанных недавно. Среди последних — метод автоматического обнаружения размытых нелинейных зависимостей ARNAVAC, а также инструментарий построения произвольных нелинейных регрессионных моделей средствами эволюционного программирования. Другая реализация метода эволюционного программирования рассмотрена в [47].

В связи с тем, что зависимости переменных в настоящей диссертационной
работе представлены в формальном (математическом), а не в программном виде,
применение эволюционного программирования признано в данном случае нецеле
сообразным. При использовании этого метода необходимо было создать один или
несколько внутренних языков программирования, что могло затруднить решение
поставленных в диссертационной работе задач. /

Эвристические методы основываются на использовании неформальной информации, опыта и интуиции, которыми располагают высококвалифицированные специалисты: эксперты (методы экспертных оценок) и пользователи (методы социологических оценок). Одним из методов эвристического прогнозирования является ситуационное моделирование, использующее моделирование возможных ситуаций, которые могут возникать в информационной системе при попытках взлома системы ее защиты [48]. Так как АСУ постоянно претерпевает изменения в процессе функционирования, то идентификация входных данных, проводимая подобным способом, может дать представление о состоянии системы только на момент проведения операции. Необходимо время от времени проводить повторные обследования, не забывая при этом, чтобы исследования проводились до запуска онлайновых услуг, а не после того, как в систему попадут опасные данные. Конкретные методы эвристических оценок подробно рассмотрены в [49 — 53]. Один из

42 примеров автоматизированного варианта эвристических методов прогнозирования описан в [54]. Сравнительный анализ вариантов расчета достоверных логических выводов в экспертных системах поддержки решений по защите информации приведен в [55].

Метод детерминациониого анализа предназначен для обработки и анализа количественных, качественных и смешанных данных. Основными задачами анализа являются: построение таблиц распределений и графиков; поиск и анализ правил (детерминаций), анализ существенности признаков, используемых в правилах; конструирование новых признаков на основе заданных; анализ роли контекстов. На базе перечисленных решаются следующие задачи: поиск и анализ систем правил, объясняющих то или иное явление; поиск причин (факторов), объясняющих то или иное явление; прогнозирование на основе правил и закономерностей; анализ существенности признаков, используемых в правилах; аналитическая поддержка принятия решений; описание проблемных ситуаций. Реализацией этого метода является «ДА - система» [56].

Метод визуализации процесса исследования данных является вспомогательным по отношению к рассмотренным выше методам и позволяет достичь уменьшения в размере и сложности данных, заменяя множество записей данных простым их представлением. Одной из реализаций этого метода является система MineSet 1.0 фирмы Silicon Graphics [57].

Рассмотренные методы позволяют проводить самообучение исследуемой системы идентификации данных, поступающих в АСУ при поступлении в нее только известной информации. Для решения более сложных задач - самообучения системы при поступлении в нее неизвестной информации рассмотренные методы не пригодны.

Анализ методов идентификации при поступлении в систему неизвестной информации включает в себя методы, основанные на теории самозарождающихся и саморазрушающихся структур (СР-сетей) — сетей, для которых могут быть определены правила рождения и гибели элементов системы. Задача опреде-

43 ления правил рождения и гибели компонентов системы является типичной для систем с самомодифицирующейся целью и, соответственно, с полностью самомодифицирующимся алгоритмом, что является характерным для АСУ ФЗ, исследуемой в настоящей диссертационной работе. Теория СР-сетей впервые описана в [58] и развита в [28, 29], где утверждается, что «принципиально новая для системы информация приводит Кі рождению новых или гибели имеющихся у системы элементов» и отмечается, что функционирование СР-сетей представляет собой три периодически повторяющихся такта: 1) обучение системы через уничтожение элементов; 2) обучение системы через рождение элементов; 3) обучение системы через подстройку весовых коэффициентов.

Важнейшим достоинством теории СР-сетей, как показано в [58], является наличие у них следующих свойств:

1. СР-система, будучи ограниченной, изначально заданным объемом, в процессе своего функционирования отдает предпочтение элементам, которые являются носителями наиболее значимого знания.

2. СР-система; будучи, не ограниченной, изначально заданным объемом, в процессе своего функционирования постоянно разрастается.

Исходные понятия, положенные в теорию СР-сетей, следующие [29]:

3. Элемент системы является простейшей неделимой частицей — формальным нейроном.

4. Каждый нейрон способен к одному элементарному действию (ЭД) из некоторого заранее заданного множества, куда входит действие - «ничего не делать». В общем случае во множество ЭД могут быть включены как математические операции, так и специальные алгоритмы, мемо-функции. Наличие ЭД «ничего не делать» равносильно отсутствию нейрона.

5. На начальном этапе система представляет собой множество нейронов с ЭД «ничего не делать», на каждый из которых может оказываться воздействие со стороны нескольких входов и одного выхода. Разница между получаемым и требуемым выходным значением называется напряжением.

4. Считается, что возникшее напряжение должно компенсироваться изменением у нейронов присущих им ЭД. Изменение ЭД «ничего не делать» на любое другое приводит к рождению нейрона для системы. Предполагается, что нейронов должно возникать столько, сколько необходимо для компенсации напряжения.

5. Считается, что при рождении нейронов выбирается нейрон с тем ЭД, которое максимально способствует минимизации напряжения. Значение напряжения, которое компенсируется рожденным нейроном, называется .-жизненной силой нейрона; считается, что если на нейрон действует напряжение, превосходящее его собственную жизненную силу, то нейрон гибнет.

Поскольку практические методы самообучения, основывающиеся на теории СР-сетей, в настоящее время не разработаны, в главе 2 настоящей диссертационной работы сделана попытка разработки метода самообучения системы идентификации неизвестных данных, поступающих в АСУ, основывающегося на теории СР-сетей.

Анализ методов самообучения системы при поступлении в нее как известной, так и неизвестной информации, проведенный автором диссертационной работы, позволил выявить минимально необходимый состав самообучающейся системы идентификации данных, поступающих в АСУ ФЗ, включающий следующие функциональные подсистемы:

1. подсистему идентификации известных данных, которая может быть построена с использованием нейронных сетей, использующих алгоритм обратного распространения ошибки.

2. подсистему идентификации неизвестных данных, которая может быть построена с использованием СР-сетей.

3. подсистему распознавания аномального поведения, которая может быть построена с использованием сетей адаптивного резонанса ART1.

1.4. Модели систем защиты

Множество моделей, описывающих различные системы защиты, можно подразделить на модели анализа, синтеза и управления.

45 Модели анализа предназначены для определения текущих или прогнозирования будущих значений исследуемых характеристик системы защиты активов АСУ. Они используются для декомпозиции системы защиты АСУ на подсистемы и позволяют осуществлять исследование путем рассмотрения отдельных сторон, свойств составных частей, определения текущих и прогнозирования значений показателей защиты.

Модели синтеза создаются с целью построения систем и технологических схем их функционирования оптимальных по заданному критерию или совокупности критериев эффективности системы защиты АСУ. Эти модели представляют процесс: 1) соединения различных компонентов системы защиты АСУ в единое целое (систему); 2) исследования компонентов системы в их единстве и взаимной связи; 3) обобщения и сведения в единое целое данных полученных в результате анализа. Такие модели используются при обеспечении оптимального построения системы защиты АСУ, причем оптимальность понимается в общепринятой интерпретации как обеспечение максимального уровня защиты Р₃ при заданном уровне затрат материально-энергетического ресурса С₃ или обеспечение заданного уровня защиты Р₃ при минимальном уровне затрат ресурса С₃ (1.1,1.2): Р₃ -» max

С <С ' (^1Л>

/-"З — ^3.треб

Р >Р

3 3 треб

C^min М

Модели управления создаются с целью поиска оптимальных управляющих воздействии на системы защиты АСУ. Функциональное назначение моделей этого класса заключается в методическом и инструментальном обеспечении должностными лицами принятия оптимальных решений в процессе обеспечения системы защиты АСУ. На содержательном уровне структура моделей данного класса является очевидной, однако, их практическая реализация затруднена недостаточным уровнем изученности проблем управления процессом обеспечения системы защиты АСУ, особенностями и спецификой АСУ ФЗ и рядом других причинам.

46 Среди множества моделей защиты можно выделить модели на основе дискретных компонентов, модели конечных состояний и модели на основе анализа угроз системе.

Модели на основе дискретных компонентов представляют систему защиты в виде декартова произведения множеств, составными частями которого являются элементы системы защиты. При этом в качестве математического аппарата для описания и анализа модели выбирается аппарат дискретной математики. Результатом применения политики безопасности, задаваемой той или иной моделью, к конкретному объекту защиты компьютерной системы является разрешение либо запрещение выполнения операции над объектом защиты. К моделям подобного типа относятся модель АДЕПТ-50 и модель Хартстона [59]. К достоинствам дискретных моделей можно отнести относительно простой механизм реализации политики безопасности, а к недостаткам - отсутствие учета динамики изменения состояний системы. Для моделей, построенных на основе дискретной защиты, доказывается в [60], что не существует алгоритма, который для произвольной системы дискретной защиты может решить, является или не г заданная исходная конфигурация безопасной.

Модели на основе конечных состояний системы безопасности основываются на доказательстве основной теоремы безопасности, заключающейся в том, что если начальное состояние системы безопасно и все переходы системы из состояния в состояние не нарушают ограничений, сформулированных политикой безопасности, то любое состояние системы безопасно. К моделям подобного типа относится модель Белла-ЛаПадула [61], которая описывает компьютерную систему абстрактно, без связи с ее реализацией. В модели определяется множество ограничений, реализация которых будет гарантировать некоторые свойства потоков информации, связанных с безопасностью. Модель включает субъекты S — активные сущности и объекты О — пассивные сущности в системе. В отличие от дискретной модели безопасности модель Белла-ЛаПадула не определяет прав доступа для каждого пользователя. Это означает, что разные субъекты могут иметь один уровень

47 полномочий. Данная модель служит основой для мандатной (полномочной) системы безопасности.

Конкретизацией модели Белла-ЛаПадула является модель low-water-mark (LWM) [62], которая является примером того, что происходит, когда изменения уровня конфиденциальности объекта возможны.

Еще одной моделью конечных состояний является модель Лендвера. Система, реализующая модель безопасности Лендвера, должна реализовывать ограничения, которые запрещают пользователю операции, нарушающие эти ограничения. Часть этих ограничений должна реализовываться пользователями системы (правила безопасности), а часть - системой (ограничения безопасности). Модель Лендвера достаточно близка категориям объектно-ориентированного программирования и описывает иерархические объекты в системе, однако полная ее реализация является достаточно сложной.

Для систем, построенных на основании моделей конечных состояний, характерна более высокая степень надежности, чем для систем, построенных на основании* модели дискретных компонентов. Это связано с тем, что система, построенная на основании данной модели, должна отслеживать, не только правила доступа субъектов системы к объектам, но и состояние самой системы. С другой стороны, реализация систем данного типа довольно сложна и требует значительных ресурсов вычислительной системы.

Модели на основе анализа угроз системе исследуют вероятность преодоления системы защиты за определенное время А/. К достоинствам этих моделей можно отнести числовую вероятностную оценку надежности идеальной реализации системы защиты. К недостаткам - изначально заложенное в модель допущение о том, что система защиты может быть вскрыта. Задача анализа модели - минимизация вероятности преодоления системы защиты.

К подобным моделям относится игровая модель системы защиты, которая описывает процесс эволюции системы защиты в течение времени и строится по следующему принципу. Разработчик создает первоначальный вариант системы

48 защиты. После этого аналитик — «злоумышленник» начинает его преодолевать. Если за время At, злоумышленник преодолел систему защиты, а у разработчика нет нового варианта, то считается, что система защиты преодолена. Если есть — процесс продолжается. Основным недостатком этой модели является тесная связь с мнением экспертов-аналитиков системы защиты.

Еще одной моделью на основе анализа угроз системе является модель системы безопасности с полным перекрытием [59]. Основным положением данной модели является тезис о том, что система, спроектированная на основании модели безопасности с полным перекрытием, должна иметь, по крайней мере, одно средство для обеспечения безопасности на каждом возможном пути проникновения в систему. В модели точно определяется каждая область, требующая защиты, оцениваются средства обеспечения безопасности с точки зрения их эффективности и вклада в обеспечение безопасности во всей системе.

Считается, что НСД к каждому из набора защищаемых объектов сопряжена некоторой величиной ущерба и этот ущерб может быть определен количественно. Если же ущерб не может быть определен количественно, то его полагают равным некоторой условной величине. Количественно ущерб может быть выражен в стоимостном эквиваленте либо в терминах, описывающих систему (например, единицах времени, необходимых для достижения тех или иных характеристик системы после злоумышленного воздействия).

Реально механизмы защиты обеспечивают лишь некоторую степень противодействия угрозам безопасности. Поэтому в качестве характеристик системы защиты в модели должны учитываться вероятность реализации угроз, вероятность преодоления барьеров и величина ущерба активу при осуществлении угрозы. В такой модели интегральной оценкой защиты информации является понятие остаточного риска. Формальное представление риска представляет собой математическое ожидание события, наносящего ущерб R = ^p_Ju_l,

где R — риск; pj - вероятность 7-го события; и, - результат события.

Наиболее известен метод контроля и анализа рисков CRAMM [63]. Следует отметить, что в настоящее время доминируют неформальные классификационные подходы, в которых вместо стоимостных оценок используют категорирование: нарушителей (по целям, квалификации и доступным вычислительным ресурсам), информации (по уровням критичности и конфиденциальности), средств защиты (по функциональности и гарантированности реализуемых возможностей) и т.п.

На основе этих подходов нельзя определить степень защищенности информационных систем, но можно произвести их классификацию и сравнение. В России такими методиками являются Руководящие документы Гостехкомиссии России [5]. Однако эти РД не содержат положений, связанных с определением рисков и реализуют модель, в которой не рассматриваются* категории угроз, уязвимостей и их взаимосвязей. Результатом развития национальных стандартов в области защиты информации является международный стандарт ISO 15408 с устоявшимся названием «Общие критерии» (ОК), которому полностью соответствуют государственный стандарт [64] и руководящий документ [65], где реализована модель системы безопасности с полным перекрытием.

Основное достоинство данных моделей состоит в возможности количественной оценки надежности системы защиты. При синтезе систем защиты модели данного типа позволяют минимизировать ресурсы вычислительной системы, необходимые для реализации заданного уровня безопасности. Модели данного типа могут использоваться при анализе эффективности внешних по отношению к защищаемой системе средств защиты информации. Для систем защиты, построенных на основании других моделей, данная модель может применяться для анализа эффективности процедур идентификации и аутентификации. При анализе систем защиты информации модели данного типа позволяют оценить степень ущерба системе и вероятность преодоления системы защиты в случае ее преодоления.

С каждым объектом, требующим защиты, связывается-некоторое множество действий, к которым может прибегнуть злоумышленник для получения НСД к объекту. Для формирования набора угроз, направленных на нарушение безопасно-

50 сти перечисляются все возможные действия злоумышленника по отношению ко всем объектам защиты. Основной характеристикой набора угроз является вероятность проявления каждого из злоумышленных действий (риск). Очевидно, что в реальной системе риски можно вычислить с ограниченной степенью точности.

С учетом изложенного, в качестве модели защиты в настоящей работе должна быть использована модель системы безопасности с полным перекрытием, позволяющая оценить риски по каждому набору угроз.

Анализ рисков, построение и поддержка политики безопасности, и разработка методик оценки безопасности информационных технологий рассматривался в [66 - 90 и др.]. Динамический анализ систем безопасности рассматривался в [87 - 90], при этом исследовался подход, связанный с отслеживанием действий пользователей, анализом таких действий и решением о нарушении политики безопасности. Далее этот подход развивался в работах [91, 92], целью которых являлся анализ аудиторской информации в реальном масштабе времени. Пршэтом этот и другие подходы основывались на четко заданном априорном знании о том, какая информация представляет ценность и какие действия, связанные с этой информацией, ведут к ущербу.

1.5. Постановка задачи диссертационного исследования

Анализ, проведенный автором диссертационной работы в первом разделе, показал, что большинство современных подходов к идентификации и блокированию нежелательных потоков данных, поступающих в АСУ, опирается на использование продукционных экспертных систем, представляющих собой набор правил, каждому из которых соответствует определенное действие, которое необходимо выполнить, если выполняются условия соответствующей продукции. Подобные подходы имеют следующие недостатки: 1) правила обычно создаются вручную, поэтому к их созданию необходимо привлечение широкого круга высоко оплачиваемых специалистов; 2) правила задаются обычно в чётком виде, что затрудняет описание некоторых атак; 3) набор правил необходимо своевременно обновлять; 4) обновление правил обычно проводится только после успешно реализованной и неизвестной ранее атаки.

При создании подобных систем существует проблема, заключающаяся как в сложности создания механизма описания сигнатур, так и в сложности универсализации записи атаки для фиксации всех возможных ее модификаций. Все существующие методы основаны в первую очередь на личных предпочтениях самих разработчиков, либо на достижениях в смежных областях.

Поэтому разработка самообучающейся системы идентификации данных, поступающих в АСУ ФЗ, предназначенной для распознавания не только известных, но и неизвестных входных данных, является актуальной задачей и определяет объект, предмет и цель настоящего исследования.

Научной задачей диссертационного исследования является разработка нового метода идентификации неизвестных входных данных, поступающих в АСУ ФЗ КО, позволяющего выделять во входных потоках данных аналитические зависимость, что дает возможность создать самообучающуюся систему идентификации данных.

В ходе решения научной задачи должны быть решены следующие частные задачи:

1. Разработать концептуальную модель самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО.

2. Разработать метод самообучения ССИД при поступлении в нее неизвестных данных.

3. Разработать структурную схему, алгоритм работы и программную реализацию прототипа самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО и провести их тестирование.

52 1.6. Выводы по разделу 1

В результате анализа состояния исследуемой проблемы в первом разделе диссертационной работы было выявлено следующее.

4. АСУ ФЗ КО представляет собой интегрированную АСУ физической защитой объекта, предназначенную для сбора, обработки, хранения, отображения и передачи информации о состоянии физической защиты различных зон КО, защищаемой информации об объекте и состоит из подсистем, состав и назначение которых определяется множеством факторов, среди которых важность защищаемых ресурсов, уровень необходимой конфиденциальности и т.д.

5. Большинство современных подходов к выявлению и блокированию нежелательных потоков данных, поступающих в АСУ, опирается на использование продукционных экспертных систем, представляющих собой набор правил, каждому из которых соответствует определенное действие, которое необходимо выполнить, если выполняются условия соответствующей продукции. Указанные подходы имеют ряд серьезных недостатков, приводящих к тому, что современные системы обнаружения аномального и злоумышленного поведения более или менее успешно могут анализировать только заранее известную системе информацию по заранее сформулированным правилам.

6. При поступлении в АСУ ФЗ известной информации система должна уметь решать следующие задачи: 1) создание модели отдельного элемента, 2) определение топологии связей между элементами, функционирующими в рамках исследуемой системы, каждый из которых способен самостоятельно решать определенную технологическую задачу, 3) определение правил изменения связей при получении системой информации. При поступлении в систему принципиально новой информации система, кроме перечисленных трех задач, должна уметь решать четвертую задачу - определять правила рождения и гибели своих компонентов.

3. Проведен анализ методов, пригодных для решения всех четырех перечисленных выше задач, в результате которого выявлено, что все 4 задачи можно решать только с помощью методов, основанных на теории самозарождающихся и

53 саморазрушающихся структур (СР-сетей) — сетей, для которых могут быть определены правила рождения и гибели элементов системы. Поскольку методы самообучения, основывающиеся на теории СР-сетей, в настоящее время не разработаны, в главе 2 настоящей диссертационной работы сделана попытка разработки метода самообучения АСУ ФЗ КО при поступлении в нее неизвестной информации, основывающегося на теории СР-сетей.

4. В ходе исследования методов самообучения АСУ ФЗ КО при поступлении в нее как известной, так и неизвестной информации выявилось, что самообучающаяся система защиты АСУ ФЗ КО должна иметь следующие обязательные функциональные подсистемы: а) подсистему распознавания известной информации, которая может быть построена с помощью нейронных сетей, использующих алгоритм обратного распространения ошибки; б) подсистему распознавания неизвестной информации, которая может быть построена с помощью СР-сетей; в) подсистему распознавания аномального поведения, которая может быть построена с помощью сетей адаптивного резонанса ART1.

5. В качестве модели защиты АСУ ФЗ КО (идентификации входных данных) используется модель системы безопасности с полным перекрытием, основным положением которой является тезис о том, что система, спроектированная на осно-вании этой модели, должна иметь, по крайней мере, одно средство для обеспечения безопасности на каждом возможном пути проникновения в систему.

6. Результаты проведенного в первом разделе исследования позволили
сформулировать задачу диссертационного исследования.

2. РАЗРАБОТКА КОНЦЕПТУАЛЬНОЙ МОДЕЛИ И МЕТОДОВ ИДЕНТИФИКАЦИИ ДАННЫХ ССИД

2.1. Концептуальная модель самообучающейся системы идентификации данных

Концептуальная [лат.<сопсерп'оп> — система, совокупность, сумма] модель самообучающейся системы идентификации данных, поступающих в АСУ ФЗ -модель, отражающая систему взглядов автора диссертационной работы на построение самообучающейся системы идентификации данных (ССИД), поступающих в АСУ ФЗ КО.

Концептуальная модель ССИД АСУ ФЗ КО определяется набором понятий, которые используются для структуризации представлений о ССИД АСУ ФЗ, а также свойствами и отношениями, которые выражаются посредством этих понятий. Построение концептуальной модели ССИД АСУ ФЗ основывается на изучении ее свойств как системы, находящейся в информационном взаимодействии с внешней средой (другой АСУ).

Концептуальная модель описывает общую концепцию - построения ССИД АСУ ФЗ с целью распознавания известных и неизвестных входных данных, поступающих в автоматизированную систему управления, основываясь на следующих основополагающих принципах, сформулированных в [70] и развитых автором настоящего исследования:

принцип системности, предполагающий необходимость учета всех взаимосвязанных и изменяющихся во времени условий и факторов при всех видах информационного взаимодействия АСУ с внешней средой в процессе его функционирования и развития;

принцип непрерывности, предполагающий принятие адекватных защитных мер ССИД АСУ в процессе функционирования АСУ, заключающихся в том, что ССИД должна непрерывно обнаруживать, идентифицировать, распознавать все события в системе в реальном масштабе времени и реагировать на все события и подозрительную активность в системе;

55 принцип разумной достаточности, предполагающий применение такого уровня безопасности, при котором затраты, риск и размер возможного ущерба были бы приемлемыми для владельца;

принцип гибкости управления и применения, предполагающий возможность изменения уровня безопасности и устраняющий необходимость принятия кардинальных мер по полной замене средств защиты; принцип комплексности, предполагающий согласование разнородных средств при построении целостной ССИД АСУ, перекрывающей все возможные каналы утечки и информационного воздействия и не содержащей слабых мест на стыках отдельных ее компонентов; принцип открытости алгоритмов и механизмов защиты, предполагающий, что знание алгоритма работы ССИД АСУ не должно давать злоумышленнику возможности ее преодоления;

принцип простоты применения защитных механизмов, предполагающий, что механизмы ССИД АСУ должны быть интуитивно понятны и просты в использовании;

принцип невозможности обхода системы защиты, предполагающий, что все информационные потоки, поступающие в защищаемую АСУ и из нее должны проходить через ССИД АСУ;

принцип невозможности изменения системообразующих отношений (т, R, Z) системы защиты злоумышленником, предполагающий, что только владелец ССИД АСУ может их модифицировать;

принцип самообучаемости, предполагающий умение ССИД АСУ распознавать неизвестные для нее входные данные в условиях информационного взаимодействия с окружающей средой (другой АСУ), прогнозировать развитие событий, и изменять свою структуру за время, меньшее времени действия угрожающего события (/изм.^уфозы) (сформулирован автором диссертационной работы).

56 ССИД АСУ с целью распознавания входных данных, использует такие понятия как: агент угроз (нарушитель), активы, входные данные известные, входные данные неизвестные, контрмеры, нейронная сеть, риск, самообучающаяся система идентификации данных, поступающих в АСУ ФЗ, система принятия решений (СПР), событие, способы и средства защиты, СР-сети и демонстрирует суть процесса идентификации известных и неизвестных входных данных, поступающих в АСУ ФЗ КО, толкование которых приведено в разделе «Определения». Разработка концептуальной модели опирается на схему общей модели Общих критериев [64, 65], представляющую собой модель защиты с полным перекрытием.

Для упрощения модели из рассмотрения исключен ряд параметров и характеристик ввиду их несущественного влияния на конечный результат, для чего вводятся следующие ограничения:

1. ССИД встроена в АСУ и работает с момента ввода ее в эксплуатацию, при этом считается, что средства скрытого информационного воздействия на момент ввода в эксплуатацию отсутствуют;

2. ССИД АСУ настроена на обеспечение заданного уровня защиты, который может изменять владелец системы;

3. в функционирующей АСУ отсутствуют средства программирования и отладки, за исключением штатных контрольных и тестовых программ, предусмотренных эксплуатационной документацией на эту систему;

4. количество структурных компонентов ССИД АСУ является минимально достаточным для функционирования в штатном режиме;

5. анализируются только события, воздействующие на специальные датчики (аппаратные и/или программные сенсоры) ССИД; другие события в рамках настоящей модели не рассматриваются;

6. между датчиками ССИД и подсистемой управления, выработки и принятия решения сформирован доверенный канал;

7. события возможны в любое время в любой точке АСУ, находящейся в пределах контролируемой зоны;

57 8) сама ССИД АСУ защищена от помех и несанкционированных воздействий внутри этой системы. Основными задачами ССИД являются:

сбор информации о возможных событиях внутри и вне системы;

анализ и обработка собранной информации с целью выявления безопасных и потенциально опасных входных данных;

направление безопасных входных данных в АСУ для работы с ними в штатном режиме;

Анализ методов, пригодных для идентификации как известных, так и неизвестных системе входных данных

При поступлении в АСУ ФЗ новой информации возможны два варианта: 1) поступление уже известной системе информации; 2) поступление неизвестной для системы информации.

При поступлении известной информации классическое задание модели самообучающейся системы предполагает решение следующих задач [27]: 1) создание модели отдельного элемента; 2) определение топологии связей между элементами, функционирующими в рамках исследуемой системы, каждый из которых способен самостоятельно решать определенную технологическую задачу; 3) определение правил изменения связей при получении системой информации.

Поступление в систему неизвестной (принципиально новой) для нее информации приводит к рождению новых или гибели имеющихся у системы элементов, т.е. к перечисленным выше пунктам (1—3) добавляется ещё один, четвертый [27-29]: 4) определение правил рождения и гибели элементов системы.

Поскольку АСУ является самообучающейся системой, для нее характерно решение всех четырех указанных задач. Соответственно и система идентификации данных, поступающих в АСУ как неотъемлемая ее часть также является самообучающейся и должна уметь решать указанные задачи, для решения каждой из которых требуется выявить из множества методов интеллектуального анализа данных, адекватный решаемой задаче. Анализ методов самообучения, проводимый ниже, основывается на [9] и развивается автором настоящей диссертационной работы в части определения правил изменения связей при получении системой информации применительно к рассматриваемой предметной области.

Анализ методов, приходных для идентификации известных системе входных данных включает в себя решение задач создание модели отдельного элемента, определение топологии связей между элементами, функционирующими в рамках исследуемой системы, каждый из которых способен самостоятельно решать определенную технологическую задачу, а также определение правил изменения связей при получении системой информации.

Анализ методов, пригодных для решения задачи создания модели отдельного компонента системы проводится в настоящей диссертационной работе в отношении нормативного и экстраполяционного методов, являющихся разновидностями методов статистического прогнозирования достоверности информации в АСУ на семантическом уровне. При статистическом прогнозировании принято рассматривать динамический (временной) ряд значений исследуемого показателя как сумму детерминированной {тренда) и случайной составляющих. Случайную составляющую, обусловленную размером выборки, погрешностью измерений и т.д., чаще всего можно считать стационарной и распределенной по нормальному закону [30]. Основная задача прогнозирования заключается в.выработке некоторой обоснованной гипотезы об изменении значения детерминированной составляющей, т.е. тенденции развития показателя в будущем. В основу закладывается принцип инерционности изменения прогнозируемого показателя на весь период прогнозирования.

Нормативный метод применим в тех случаях, когда уровень прогнозируемой величины Y может быть связан со значением другой величины (базой нормирования) х определенной нормой а, т.е. Y = а- х. Этот метод весьма прост и дает удовлетворительные результаты в тех случаях, когда возможен достаточно точный прогноз значения х, а норма «обладает относительной стабильностью или допускает научно обоснованную оценку для прогнозируемого периода. Примеры реализации этого метода рассмотрены в [31, 32].

Экстраполяционный метод предполагает, что тенденция изменения прогнозируемой величины во времени / оценивается статистически по ее прошлым значениям — уровням временного ряда Yu Y2, ..., Y„.j, и оцениваемая таким образом зависимость распространяется на прогнозируемый период Yn = f(t, Y/,..., Y,,./).

Основанием для использования экстраполяционной модели является постоянство динамики изменения показателя в течение интервала времени, включающего как прошедший период, данные которого используются для оценивания параметров модели, так и прогнозируемый период. Вид функции, описывающей тренд, определяется моделью динамики прогнозируемой величины в форме полинома. В качестве экстраполяционных моделей широко применяются различные виды моделей авторегрессии, скользящего среднего, метода наименьших квадратов, линейно-циклических моделей и их взаимных сочетаний [33, 34]. Этот метод входит в состав статистического пакета систем, образованных на пересечении искусственного интеллекта, статистики и теории баз данных (data mining — формирование знаний) [35].

Перечисленные методы идентификации исследуемая АСУ ФЗ может использовать лишь для решения самых простейших задач моделирования своего поведения. Так как тенденция изменения прогнозируемой величины во времени оценивается только по ее прошлым значениям, то рассмотренные методы не вполне пригодны для решения более сложных задач самообучения, таких как задача определения топологии связей между компонентами АСУ ФЗ и еще более сложных задач, характерных для самообучающейся системы.

Анализ методов, пригодных для решения задач определения топологии связей между компонентами системы проводится в отношении методов, в состав которых входят: метод деревьев решений, метод, основанный на применении программ под названием «системы рассуждений на основе аналогичных случаев (метод ближайшего соседа), метод, основанный на решении задачи поиска ассоциативных правил, методы технического анализа, так и факторный метод статистического прогнозирования из состава data mining.

Метод деревьев решений применяется для задач классификации различных технологий и основан на том, что к обучающей выборке данных создается иерархическая структура, классифицирующая правила типа «если ..., то ...», имеющая вид дерева. Если построенное дерево слишком «кустистое», данные, полученные этим методом, могут не иметь высокой достоверности.

Метод ближайшего соседа основывается на применении программ под названием «системы рассуждений на основе аналогичных случаев» и заключается в том, что для того, чтобы сделать прогноз на будущее или выбрать правильное решение, эти системы находят в прошлом близкие аналоги наличной ситуации и выбирают тот же ответ, который был для них правильным.

Метод поиска ассоциативных правил по своей сути близок к предыдущему методу. Задача нахождения ассоциативных правил разбивается на две подзадачи: 1) нахождение всех наборов элементов, которые удовлетворяют порогу minsupport; 2) генерация правил из наборов элементов, найденных согласно п.1. с достоверностью, удовлетворяющей порогу minconfidencQ. Значения для параметров «минимальная поддержка» и «минимальная достоверность» выбираются таким образом, чтобы ограничить количество найденных правил.

Методы технического анализа представляют собой совокупность методов прогнозирования цен с помощью изучения графиков движений рынка (изменение трех основных параметров: цены, объема и открытого интереса) за предыдущие периоды времени. Для прогнозирования требуется изучение графика цен, в котором заранее учтены и отражены движения рынка. Эти методы могут быть весьма просты, а могут иметь достаточно сложную математическую основу, например, фрактальную геометрию [36] или спектральный анализ. Особенностью таких систем является то, что, как правило, теория уже «зашита» в эти системы, а не выводится на основании текущего состояния рынка.

Факторный ліетод статистического пакета предполагает анализ и установление зависимости между уровнем прогнозируемой величины Y и рядом факторов хі, х2, ...,х„,г.е. Y=f(xi, х2, ..., х„). Исходными данными для анализа служит информация, полученная экспериментальным путем, либо из статистической отчетности, либо содержащаяся в плановых, нормативных и технологических документах. При разработке факторной модели возникают три частные задачи: 1) отбор системы существенных факторов (спецификация), 2) выбор общей структуры модели (числа уравнений и связей между факторами) и конкретного вида аппрок симирующей функции, 3) статистическая оценка погрешности прогнозирования. Степень влияния отдельных факторов на прогнозируемую величину может оцениваться разными математическими методами и, в первую очередь, методами корреляционного анализа. Вид функции / определяется на основании содержательной модели связи величины Y с факторами. Условием использования факторного метода является постоянство во времени статистической модели, описывающей зависимость Y от факторов, и наличие прогноза уровней этих факторов.

Очевидно, что в основе рассмотренных методов лежит анализ причинно следственных связей, а система, использующая такие методы, характеризуется своей динамичностью, проявляющейся в умении определять топологию связей между элементами. Эти методы можно было бы применить и для решения более сложных задач, таких как определение правил изменения связей при получении данной системой новой информации, но для этого пришлось бы пользоваться экс пертными оценками.

Метод самообучения системы при поступлении в нее известной информации

Метод самообучения системы при поступлении в нее известной информации предназначен для минимизации времени идентификации данных, соответствующих известным сигнатурам. Разработка данного метода основывается на теории многослойных искусственных нейронных сетей. Для обучения НС применяется алгоритм обратного распространения ошибки (алгоритм Румельхарта-Хинтона-Вильямса). Данный метод использует процесс самообучения, который можно представить в следующем виде.

Пусть 3 т сигнатур известных данных, которые могут быть как «опасными», так и «безопасными», представленных в виде векторов Тогда процесс обучения нейронной сети в общем виде представляет следующее: OG = L, где О - оператор идентификации на основе нейронной сети, L — вектор признаков «опасных» и «безопасных» данных соответствующих векторам Оператор О можно представить в виде матрицы О = \pik\ порядка (п+1) т.

В общем виде процесс самообучения нейронной сети в матричной форме представляет следующее: где О - матрица оператора идентификации на основе нейронной сети; G - матрица векторов сигнатур известных данных Gt; L — матрица признаков «опасных» и «безопасных» данных векторов Gt. Таким образом, матрица оператора идентификации на основе нейронной сети О представляет следующее:

Тогда процесс «работы» нейронной сети, т.е. процесс идентификации известных входных данных можно представить в следующем виде: Входной слой состоит из девяти нейронов (выбранное количество соответствует девяти критериям идентификации полученного сетевого пакета). Входной слой вычислений не выполняет и передает поступившие данные нейронам первого скрытого слоя. Два скрытых слоя нейронов выбраны для создания дополнительного запаса емкости сети.

Данная НС с двумя скрытыми слоями строит комбинацию из нескольких выпуклых возвышенностей, комбинируемых выходным элементом из «сигмоид-ных склонов» вида

Каждый из данных склонов соответствует скрытому элементу. Количество возвышенностей такое же, как и количество элементов во втором слое. Количество сторон у каждой из возвышенностей такое же, как и количество элементов в первом скрытом слое.

Первоначально в каждом скрытом слое устанавливается пять нейронов. Количество нейронов в скрытых слоях выбирается как среднее значение между количеством нейронов входного слоя и количеством нейронов выходного слоя. Точное количество нейронов в скрытых слоях определится в процессе обучения НС. Подбирается такое число нейронов, при котором НС не перегружена избыточными связями и не имеет недостатка в них. Избыток нейронов сильно замедлит процесс обучения сети. Недостаток не позволит провести правильное обучение.

Предварительное обучение нейронной сети основывается на использовании алгоритма обратного распространения ошибки. Обучение ведется с помощью сигнатур известных безопасных данных, хранящихся в «Базе данных сигнатур безопасных входных данных» и сигнатур известных опасных данных, хранящихся в «Базе данных сигнатур опасных входных данных».

В процессе предварительного обучения применяется градиентный метод поиска минимума функции ошибки с рассмотрением сигналов ошибки от выходов НС к ее входам, в направлении, обратном прямому распространению сигналов в обычном режиме работы. Функция ошибки представляет собой сумму квадратов рассогласования (ошибки) желаемого выхода сети и реального: где Yj - реальное выходное состояние нейронау" выходного слоя к нейронной сети при подаче на ее входы р-го образа; D( p - идеальное (желаемое) выходное состояние этого нейрона.

Суммирование ведется по всем нейронам выходного слоя и по всем обрабатываемым сетью образам. Минимизация ведется методом градиентного спуска, что означает подстройку весовых коэффициентов следующим образом: где CQjj - весовой коэффициент синаптической связи, соединяющей /-ый нейрон слоя /7-1 су -ым нейроном слоя к, /7 - коэффициент скорости обучения, 0 77 1 .

Алгоритм обучения-действует циклически (итеративно). В каждом цикле на вход сети поочередно подаются все обучающие данные, выходные значения сети сравниваются с целевыми значениями и вычисляется ошибка. Значение ошибки, а также градиента поверхности ошибок используется для корректировки весов, после чего все действия повторяются. Начальная конфигурация сети выбирается случайным образом, и процесс обучения прекращается, либо когда пройдено определенное количество циклов, либо когда ошибка достигнет некоторого определенного уровня малости, либо когда ошибка перестанет уменьшаться.

Для обучения НС производится чтение известных сигнатур безопасных данных из «Базы данных сигнатур безопасных входных данных» и известных сигнатур опасных данных из «Базы данных сигнатур опасных входных данных». Обучающиеся сигнатуры направляются на вход нейронной сети. Обучение НС проводится через подстройку весовых коэффициентов.

Функционирование разработанной нейронной сети в режиме «работа» основывается на том, что на вход нейронной сети подаются данные, которые сие теме встречались в режиме «обучение». Нейронная сеть проводит попытку их идентификации и определения с заданной точностью являются ли эти данные опасными (атакой) или безопасными. Производится чтение сформированных векторов данных из файла. Сформированные векторы данных направляются на вход обученной нейронной сети для идентификации.

Если данные идентифицированы как опасные, то на них ставится метка «опасные» и направляются в «Блок принятия решений» для запрета прохождения в систему. Если данные идентифицированы как безопасные, то на них ставится метка «безопасные» и направляются в «Блок принятия решений» для разрешения прохождения в систему.

Если данные не идентифицированы как «безопасные» или «опасные», то они направляются в «Блок идентификации неизвестных входных данных на основе СР-сети» для дальнейшего анализа.

Разработка алгоритма работы самообучающейся системы идентификации данных

Назначение алгоритма - реализация разработанных методов идентификации входных данных, поступающих в АСУ ФЗ КО. Алгоритм предназначен для управления ССИД АСУ ФЗ КО. Данная система имеет в своем составе следующие основные компоненты: блок датчиков безопасности, блок предварительного анализа входных данных, блок преобразования входных данных, база данных сигнатур безопасных входных данных, база данных сигнатур опасных входных данных, блок идентификации известных входных данных на основе НС, блок идентификации неизвестных входных данных на основе СР-сети, блок слежения за состоянием системы, блок обнаружения аномальной активности вычислительных процессов на основе нейронной сети, блок принятия решений. Общие требования к входным и выходным данным, обеспечивающие информационную совместимость решаемых задач в системе следующие: а) входные и выходные данные в АСУ ФЗ КО представлены в виде пакетов протоколов IP и ARP на сетевом уровне и пакетов протоколов TCP, UDP, ІСМР на транспортном уровне; б) сигнатуры баз данных, входные и выходные данные в нейронной сети и СР-сети представлены в двоичном виде. Перечень массивов информации, используемых при реализации алгоритма, включает IP, ARP, TCP, UDP и ICMP-пакеты, сигнатуры опасных и безопасных данных. Перечень массивов информации, формируемых в результате реализации алгоритма, включает IP, ARP, TCP, UDP и ICMP-пакеты, сигнатуры опасных данных. 1. «База данных сигнатур безопасных входных данных» - предназначена для хранения шаблонных сигнатур безопасных входных данных.

В процессе работы происходит дополнение БД новыми сигнатурами. 2. «База данных сигнатура опасных входных данных» - предназначена для хранения шаблонных сигнатур опасных входных данных (атак). В процессе работы происходит дополнение БД новыми сигнатурами. 3. Блок слежения за состоянием системы - предназначен для составления статистики поведения определенных параметров системы во время обработки получаемого сетевого трафика. Рассматриваются следующие виды информации: записи журналов аудита ОС и работы приложений, показатели состояния системных ресурсов и последовательности системных вызовов. Алгоритм работы 1. Поступление входных данных в «Блок датчиков безопасности». 1.1. Сбор входных данных. 1.1.1. Поиск доступных сетевых интерфейсов узла сети. 1.1.2. Выбор доступных сетевых интерфейсов узла сети. 1.1.3. Открытие сеанса приема входящих и исходящих IP-пакетов с выбранных сетевых интерфейсов. 1.1.4. Прием ІР-пакетов. 1.2. Накопление входных данных в файлах буфера. 1.2.1. Открытие файла буфера. 1.2.2. Запись заданного числа принятых ІР-пакетов в файл буфера. 1.2.3. Если IP-пакеты фрагментированы, то дефрагментация. 1.2.4. Нормализация ІР-пакетов. 1.3. Разбиение данных на временные сегменты для дальнейшей обработки. 1.4. Направление данных в «Блок предварительного анализа входных данных». 2.

Поступление входных данных в «Блок предварительного анализа входных данных». 2.1. Предварительный анализ входных данных на основе заданных правил фильтрация ІР-пакетов. 2.1.1. Чтение принятых ІР-пакетов из файла буфера. 2.1.2. Сравнение содержимого заголовков ІР-пакетов с заданными правилами фильтрации. 2.1.3. Если входные данные (IP-пакеты) идентифицированы как априорно безопасные, то на них ставится метка «безопасные» и направляются в блок принятия решений для разрешения прохождения в систему. 2.1.4. Если входные данные (IP-пакеты) идентифицированы как априорно опасные, то на них ставится метка «опасные» и направляются в блок принятия решений для запрета прохождения в систему. 2.1.5. Если входные данные не идентифицированы как «безопасные» или «опасные», то они направляются в «Блок преобразования входных данных» для дальнейшего анализа. 3. Поступление данных, не подпадающих под установленные запреты или разрешения, в «Блок преобразования входных данных». 3.1. Осуществление процесса предварительной обработки данных.

Тестирование прототипа ССИД с помощью реальных данных, циркулирующих в АСУ ФЗ критического объекта

Цельна тестирования прототипа ССИД является исследование адекватности и корректности алгоритма его функционирования на основании оценки точности идентификации входных данных.

Тестирование ССИД осуществляется следующим образом: 1) проводится сбор и анализ сетевого трафика с помощью свободно распространяемой системой обнаружения атак Snort и программного продукта захвата сетевого трафика Snifer Pro; 2) производится обнаружение и выделение опасного (атак) и безопасного трафика; 3) осуществляется обучение нейронной и СР-сетей ССИД; 4) исследованный трафик подается на вход ССИД. В результате производится оценка точности идентификации входных данных ССИД, т.е. вычисление ошибок работы системы.

Ошибки работы могут быть первого и второго рода. Возникновение этих ошибок основывается на том, что при идентификации данных возможны четыре ситуации. Если в АСУ ФЗ КО не поступают опасные данные, т.е. поступают безопасные данные, то ССИД может принять одно из двух взаимоисключающих ре шений: правильная идентификация безопасных данных (правильное необнаружение опасных данных) — вероятность Ршол, и ошибочное решение (ложная тревога), которое принято называть ошибкой первого рода — вероятность Р\.

В том случае, если в АСУ ФЗ КО поступают опасные данные, то ССИД также может принять одно из двух взаимоисключающих решений: правильная идентификация опасных данных - вероятность РтюДі и ошибочное решение (неидентификация опасных данных), которое принято называть ошибкой второго рода — вероятность Р2. Перечисленные вероятности принятия правильных и ошибочных решений являются условными, т.к. они имеют место при условии, что опасные данные поступают в АСУ ФЗ КО или не поступают. Значения указанных вероятностей связаны двумя равенствами. Правильная идентификация безопасных данных и ошибка первого рода составляют полную группу несовместных событий при условии отсутствия опасных данных, и поэтому: Лшбд + Р\ = 1.

Точно также полную группу несовместных событий при условии поступления опасных данных составляют правильная идентификация опасных данных и ошибка второго рода, и соответственно: Ліиод + / = 1 Следовательно, что из четырех вероятностей независимыми являются значения только двух.

Для оценки работы ССИД используются вероятности правильной идентификации опасных данных (Ртюл) и ошибки первого рода (Р\).

Таким образом, определяющим требованием при построении ССИД является Критерий МИНИМаЛЬНОЙ ВЗВешеННОЙ ВерОЯТНОСТИ ОШИбки: С\ Р\ + с2-Р2 = min, где С] и с2 являются весовыми коэффициентами, значения которых выбираются в соответствии со значимостью ошибок первого и второго рода.

При построении ССИД принята одинаковая опасность как ошибки первого рода, так и ошибки второго рода (т.е. С\ = с2 — 1). Таким образом, указанный критерий представляет собой следующее: Р\ + Р2 = min.

Тестирование ССИД проводилось на ряде критических объектов в различных регионах страны (Московская, Орловская и Калужская области), АСУ ФЗ которых, построены по принципу, сходному с принципом построения СУДОС «Цир коний-М», который изложен в п.п. 3.4. Данные объекты, имея общие признаки СУДОС «Цирконий-М», различаются лишь своей конфигурацией и количеством сетевого оборудования, серверов и рабочих станций в сети. В связи с общностью принципа построения АСУ ФЗ, в качестве примера в настоящей диссертационной работе приведены данные, полученные на одном из этих объектов (ООО «ТопС Бизнес Интегратор»). На этом объекте, имеющем 23 сервера и 534 рабочих станции, в течение 7 суток с помощью системы обнаружения атак Snort и ССИД был исследован сетевой трафик, содержащий 4 657 812 пакетов безопасных данных и 33 436 атак. Указанные атаки могут быть отнесены к следующим классам: базирующиеся на дефектах протоколов, например, TCP (SMURF, ICMP flood и TCP SYN flood); использующие дефекты операционной системы; пытающиеся найти и воспользоваться дефектами программ-приложений, включая, например, CGI; эксплуатирующие человеческие слабости (любопытство, алчность и пр., например, троянские кони).

Примерами атак этих классов являются такие атаки и их модификации как Land attack, Unknown IP protocol, IP Fragment overlap, Echo storm, ICMP flood, Loki, UDP port scan, UDP port loopback, TCP port scan, TCP SYN flood, TCP FIN scan, DNS name overflow, DNS spoof successful, HTTP URL overflow, HTTP URL has many slashes, HTTP GET data overflow, HTTP URL scan, HTTP Authentication overflow, SMTP Attack, Finger overflow, Finger search, Finger Scan, Back Orifice scan, Back Orifice ping, PCAnywhere ping, Back Orifice 2000 ping, Back Orifice 2000 auth и др.

Похожие диссертации на Самообучающаяся система идентификации данных, поступающих в АСУ физической защитой критического объекта

Модели распознавания объектов системами защиты информации в условиях неполноты априорных сведенийЧурко Олег Васильевич

Разработка методов повышения эффективности средств обнаружения нарушителя в системах физической защиты объектов информатизацииТрапш Роберт Робертович

Модели, методы и алгоритмы интеллектуальной поддержки принятия решений в задачах разработки и оценки систем физической защиты объектов информатизацииБоровский Александр Сергеевич

Разработка методологии оценки уровня защищенности и математических моделей компонент комплексной системы обеспечения безопасности объектов информатизацииПирожникова Ольга Игоревна

Теоретические и методологические основы функционирования устройств и систем обеспечения комплексной безопасности объектов информатизацииВолхонский, Владимир Владимирович

Методика аудита информационной безопасности объектов электронной коммерцииЕрохин Сергей Сергеевич

Обеспечение скрытности проведения антитеррористических мероприятий при защите объектов связи и информатизацииКременчуцкий Александр Лазаревич

Разработка методического обеспечения радиотехнического контроля эффективности защиты информации на объектеСмолин Андрей Владимирович

Методическое обеспечение принятия оперативных управленческих решений по защите информации на объектах информатизации Дуров Вадим Петрович

Методика проверки эталонного состояния информационных объектов для ускорения внедрения средств защиты информацииЛатышев, Дмитрий Михайлович