Решетневскце чтения
симально соответствуют значениям показателей в журнале аудита.
5. Производится интерпретация векторов H согласно списку произошедших инцидентов и формируется отчет.
Применение дифференцированного ГА позволит повысить размерность решаемой сложной задачи оптимизации, качество и количество типов обнаруживаемых инцидентов и, таким образом, создать интеллектуальную систему обнаружения инцидентов информационной безопасности DGAS-SATA.
Библиографические ссылки
1. Gassata L. M. A Genetic Algorithm as an Alternative Tool for Security Audit Trails Analysis [Электронный ресурс]. URL: http://www.rennes. supelec.fr/ren/rd/ssir/publis/raid98_me.pdf (дата обращения 15.09.2011).
2. Жуков В. Г., Паротькин Н. Ю. Дифференцированный адаптивный генетический алгоритм // Вестник Новосиб. гос. ун-та. Сер. Информ. технологии. 2011. Т. 9. Вып. 1. С. 5-11.
V. G. Zhukov, N. Yu. Parotkin Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
ABOUT APPLICATION OF THE DIFFERENTIATED GENETIC ALGORITHM AT INFORMATION SECURITY INCIDENTS DETECTION
The authors consider a procedure of detection of process of automation of information security incidents by differentiated genetic algorithm on data base analysis of the audit log information system.
© Жуков В. Г., Паротькин Н. Ю., 2011
УДК 004.056
В. Г. Жуков, Т. С. Хеирхабаров
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
О КОНЦЕПТУАЛЬНОЙ МОДЕЛИ МНОГОАГЕНТНОЙ СИСТЕМЫ ФИЛЬТРАЦИИ НЕЗАПРАШИВАЕМОЙ ЭЛЕКТРОННОЙ КОРРЕСПОНДЕНЦИИ
Рассматривается модель многоагентной системы фильтрации незапрашиваемой электронной корреспонденции. Приводится описание уровней фильтрации и методов фильтрации на каждом из уровней.
На сегодняшний день разработано большое количество методов и средств фильтрации незапрашиваемой электронной корреспонденции, или спама. Большинство из них ориентированы на функционирование в автономном режиме, т. е. решение об отнесении электронного письма к спаму принимается исключительно на основе данных из собственной базы знаний программы-фильтра.
Автономная фильтрация незапрашиваемой электронной корреспонденции эффективна до тех пор, пока в базе знаний фильтров имеются сигнатуры для обнаружения спама определенной тематики и содержания. Как только содержимое принимаемых спам-писем становится отличным от того, на котором осуществлялось формирование базы знаний, фильтр начинает ошибаться. Необходимо сформировать новые сигнатуры или правила фильтрации, чтобы подстро-ить/дообучить фильтр под новый тип спам-писем. Следует отметить, что при автономном режиме фильтрации невозможно быстро выработать новые сигнатуры и правила, так как содержимое и тематика спам-писем меняются от рассылки к рассылке.
Предлагаемый многоагентный подход к фильтрации незапрашиваемой электронной корреспонденции позволит избежать подобных ограничений автономных систем фильтрации. Идея данного подхода заключается в том, что агенты обмениваются между собой информацией из своих баз знаний. В качестве агентов могут выступать как программы-фильтры почтовых клиентов, так и программы-фильтры почтовых серверов. Данный подход уже нашел свое применение у крупных провайдеров услуг электронной почты, однако он может быть применим и в корпоративных системах электронной корреспонденции.
В предлагаемом подходе можно выделить два уровня фильтрации: уровень почтового сервера и уровень почтового клиента. На уровне почтового сервера фильтрация осуществляется сигнатурным методом. Сигнатура однозначно идентифицирует электронное письмо как спам. Предлагается метод выработки сигнатур, основанный на алгоритмах поиска нечетких дубликатов текста. Сигнатуры, полученные по таким алгоритмам, устойчивы к небольшим изменениям содержимого электронных писем. Небольши-
Методы и средства защиты информации
ми изменениями назовем такие изменения, которые не нарушают основного содержания письма.
На почтовом сервере сигнатуры вырабатываются только для тех писем, которые однозначны были идентифицированы на уровне почтового клиента как спам. Таким образом, фильтрация на уровне сервера позволит избежать рассылки одних и тех же спам-писем нескольким почтовым клиентам, обслуживаемым данным сервером. Клиентская часть предоставляет на выбор два режима работы в случаях, если на уровне сервера письмо было идентифицировано как спам:
- режим «доверия», при котором дополнительная проверка на клиентском уровне не производится;
- режим дополнительной проверки на клиентском уровне. Решение, принятое на уровне клиента, обладает большим приоритетом. Если на клиентском уровне письмо было идентифицировано как легитимное, то на сервере эта информация фиксируется в специальной таблице исключений для сигнатуры, соответствующей данному письму. Как только количество исключений для сигнатуры превышает некоторое граничное значение, сигнатура удаляется. Это позволит избежать «отравления» базы сигнатур, заключающегося в умышленном заполнении базы сервера сигнатурами легитимных электронных писем. Сигнатура будет действительна, только если большинство клиентов считает ее достоверной.
Помимо сигнатурного метода, на уровне сервера должна быть применена фильтрация по спискам и анализ заголовков почтового сообщения на соответствие стандартам формирования электронных писем.
На уровне почтового клиента предлагается использовать статистические методы фильтрации незапрашиваемой электронной корреспонденции. При этом каждый клиент хранит свою собственную базу статистических данных по ранее полученной корреспонденции.
Статистические методы заключаются в расчете суммарного веса письма путем объединения весов отдельных слов. Веса слов рассчитываются на основе статистической информации о встречаемости слова
в спаме и легитимной почте, хранящейся в базе данных. Если для какого-либо слова в базе отсутствует запись, то осуществляется запрос необходимой информации у других клиентов. Если получено несколько ответов с различными значениями встречаемости в спаме и легитимной почте, то в качестве эталонного значения для показателя вычисляется среднее. После того как письмо классифицировано, происходит обновление статистической информации в базе данных.
В предлагаемом подходе поддерживается механизм обратной связи с пользователем. Если письмо было ошибочно идентифицировано как спам, или наоборот, пользователь может запустить переобучение системы на данном письме. На основании ответа пользователя осуществляется обновление счетчиков в статистической базе и выработка новой сигнатуры на уровне сервера, если рассматриваемое письмо является спамом.
Предлагаемый подход объединяет преимущества сигнатурного и статистических методов фильтрации, а также позволяет достаточно быстро адаптироваться к новым типам рассылок незапрашиваемой электронной корреспонденции. Еще одним преимуществом предложенного подхода является отсутствие необходимости обучения вновь подключенного агента при наличии хотя бы одного ранее обученного агента, чья база статистических данных реплицируется и затем корректируется для нового пользователя на основе обратной связи с ним [1-3].
Библиографические ссылки
1. Зеленков Ю. Г., Сегалович И. В. Сравнительный анализ методов определения нечетких дубликатов для Web-документов [Электронный ресурс] // RCDL'2007. URL: http://download.yandex.ru/company/download/ paper_65_v1.pdf (дата обращения: 11.09.2011).
2. Никитин А. П. Многоагентная система борьбы со спамом // Мавлютовские чтения : материалы Все-рос. молодежной науч. конф. Т. 1. Уфа, 2008. С. 12.
3. Holmes D. Statistical Methods in Spam Filtering / University of Durham. England, Durham, 2009.
V. G. Zhukov, T. S. Heirkhabarov Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
ABOUT CONCEPTUAL MODEL OF SPAM FILTERING MULTIAGENT SYSTEM
The authors consider a model of spam filter multi-agent system and describes levels of filtering and filtration methods at each level.
© Жуков В. Г., Хеирхабаров Т. С., 2011