CC BY
64
самой системой, на основе полученного опыта. В случае объединения нескольких отдельных ВС в одну следует обеспечить возможность интеграции используемых в них МАЗ, устранения избыточных знаний, синхронизации и т.д. Для реализации данного требования следует использовать:
унифицированное представление знаний в базе знаний и стандартный протокол обмена знаниями. Возможно использование языка KQML (Knowledge Query and Manipulation Language) для представления знаний, KIF (Knowledge Interchange Format) для коммуникации между агентами, согласно стандартам FIPA;
поддержка различных сетевых платформ. Данное требование в существующих системах реализуется путем использования независимых от платформы технологий, например, Java, Microsoft .NET. Однако такая реализация не позволяет проводить глубокий анализ системы по причине ограничений виртуальной среды выполнения. Поэтому в некоторых случаях возможно использование специализированных агентов для каждой платформы с возможностью автоматического выбора и установки. Кроме того, желательно обеспечить поддержку устаревших компонентов ВС.
Открытая архитектура МАЗ не должна приводить к возможности ее несанкционированного использования. Поэтому требуется обеспечить защищенный обмен информацией между агентами. Важным аспектом функционирования системы является обеспечение корректного взаимодействия агентов системы с существующим программным обеспечением. Реализация этого требования включает в себя анализ используемых в ВС средств защиты и способов взаимодействия с ними. Применение МАЗ не должно существенно снижать производительность ВС. Однако данное требование косвенно противоречит условию обеспечения защищенности системы, поэтому желательно равномерное распределение вычислительной нагрузки, создаваемой МАС, между компонентами ВС.
Рассматривается возможная архитектура прототипа рассматриваемой системы анализа защищенности.
В.И. Васильев, А.Ф. Хафизов
Россия, г. Уфа, УГ АТУ
НЕЙРОСЕТЕВОЙ ПОДХОД К ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СЛОЖНЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
Современные информационные системы представляют собой сложные многокомпонентные программно-аппаратные комплексы, обрабатывающие огромные потоки информации с использованием сложных алгоритмов.
Вне зависимости от уровня сложности системы, для построения ее системы защиты предлагается все информационные системы делить на 2 категории: закрытые системы (доступ к которым возможен только с определенных компьютеров, либо после прохождения авторизации пользователя) и системы общего пользования (публичные). Такое деление позволяет выделить наиболее необходимые контролируемые параметры, которыми должна оперировать система защиты: так, в первом случае возможно персонифицировать ответственность каждого пользователя, следовательно, функционал системы в большей мере должен быть развит в подсистемах авторизации и аудита действий пользователя. В этом случае безопасность системы в большей мере основывается на психологическом аспекте («любое неверное действие будет запротоколировано»), и уровне «доверия» администратора системы пользователю. Соответственно, техническими средствами защиты будут межсетевой экран и системы надежной аутентификации, авторизации и аудита
(с применением механизмов шифрования и ЭЦП всех таблиц доступа и записей в журнале событий и т.д.).
Наиболее сложна защита систем общего пользования. Это связано с тем, что в этом случае не всегда удается персонифицировать доступ: например, злоумышленник может обратиться на сервер через компьютер - посредник, который полностью скрывает либо фальсифицирует информацию об истинном адресе компьютера злоумышленника. Поэтому для защиты таких систем должен применяться кардинально другой подход, основанный на принципе «извне в систему может поступить любые данные, как допустимые («безопасные»), так и способствующие взлому информационной системы («опасные»). Таким образом, основной вопрос, который встает перед разработчиком системы защиты, заключается в определении множества безопасных входных данных, которые должны пропускаться на защищаемую систему. Данное множество безопасных входных данных может быть получено на основе построения безопасной модели действий пользователя в системе [1]. К сожалению, сложность современных информационных систем такова, что построение точной математической модели пользователя практически невозможно. Определенного успеха можно достичь, используя статистическую модель, полученную в результате «безопасной» и «опасной» работы пользователя в системе. Однако, данный подход имеет серьезные проблемы - то, как будут храниться и обрабатываться статистические, следствием чего является неэффективность практической реализации на основе традиционных методов обработки.
Для анализа входных данных авторами предлагается нейросетевой подход. Обученная на статистических данных, нейросеть способна проверять входные данные с большой производительностью. Т.к. нейросеть является наилучшим ап-проксиматором [2], она может с большой долей вероятности распознать «опасность» даже тех данных, которые не участвовали в процессе обучения.
С точки зрения формализации нейросетевого подхода, входные данные могут быть представлены как графические образы п-мерного ограниченного пространства (где п - число контролируемых параметров). Тогда задача обнаружения атаки в данном случае аналогична задаче распознавания образов, относящейся к теории статистических решений [3]. Однако, применение данного подхода имеет множество нерешенных проблем. Возможность нейросети аппроксимировать входные данные может привести к тому, что одно «опасное» значение, окруженное большой областью «безопасных» данных, может быть смазано, и нейросеть может не распознать атаку. С другой стороны, если нейросеть будет иметь низкие показатели аппроксимации, входные данные, не попавшие в статистическую модель, могут быть не распознаны. Помимо проблемы с параметрами обучения, существует проблема с выбором структуры нейросети. Большая размерность входных данных (порядка 1000 нейронов во входном слое при анализе атаки на обычный WWW сервер) заставляет разработчика применять сложные ансамблевые архитектуры нейросетей, что приводит к трудностям при обучении нейросети [4, 5]. И тем не менее, результаты проведенных экспериментов показывают хорошие качественные показатели, что говорит о эффективности использования нейросетей при создании системы обнаружения атак в сложных информационных системах.
Библиографический список
1. Лукацкий А.В. Обнаружение атак. СПб.: БХВ-Петербург, 2001. 624 с.
2. Агеев А.Д., Балухто А.Н. и др. Нейроматематика. М.: ИПРЖР, 2002. 448 с.
3. Васильев В.И. Распознающие системы. Справочник. Киев: Наукова думка, 1969. 292 с.
4. Осовский С. Нейронные сети для обработки информации. М.: Финансы и статистика, 2002.
344 с.
5. ТереховВ.А., Ефимов Д.В. и др. Нейросетевые системы управления. М.: ИПРЖР, 2002. 480 с.
