Секция «Методы и средства зашиты информации»
образовании Уолша. Разработанный алгоритм программно реализован и может применяться для исследования криптостойкости алгоритмов блочного шифрования.
Библиографические ссылки
1. Чалкин Т. А. О перспективах исследований шифрования по алгоритму ГОСТ 28147-89 с использованием подхода, основанного на теории булевых функций // Актуальные проблемы безопасности ин-
формационных технологий : матер. IV Междунар. науч.-практич. конференции / под общей ред. О. Н. Жданова, В. В. Золотарева; СибГАУ. Красноярск, 2011. С. 17-19.
2. Mister S., Adams C. Practical S-box design // Proc. Workshop in selected areas of cryptography. SAC'96. 1996. 17 p.
© Вашкевич А. В., 2012
УДК 004.056
А. И. Верхорубов Научный руководитель - В. Г. Жуков Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
О ПРОБЛЕМЕ АНАЛИЗА ИНТЕГРИРОВАННЫХ РЕЗУЛЬТАТОВ РАБОТЫ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
Рассматривается применение самоорганизующихся карт Кохонена в задаче кластерного анализа интегрированных результатов работы средств защиты информации.
Инцидент информационной безопасности - событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий информационной безопасности (ИБ), имеющих значительную вероятность компрометации бизнес-операции и создания угрозы ИБ.
Под событием ИБ понимается идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности [1].
Небезопасные события, происходящие внутри автоматизированной системы фиксируются сразу несколькими средствами защиты информации (СЗИ): антивирусные программы; средства защиты от несанкционированного доступа (НСД); межсетевые экраны; модули создания виртуальных частных сетей (VPN); средства обнаружения/предотвращения вторжений (IDS/IPS); различные средства обеспечения целостности и конфиденциальности информации; модули идентификации и аутентификации; средства комплексного обеспечения безопасности.
Различные инциденты информационной безопасности, зафиксированные средствами защиты, фиксируются в журналах безопасности, специальных для каждого средства защиты: журналы регистрации событий операционных систем серверов и рабочих станций; журналы регистрации событий приложений (например, веб-серверов, серверов баз данных); журналы регистрации событий средств безопасности (например, антивирусных программ, средств контроля изменений, систем выявления/предотвращения вторжений); журналы регистрации событий внешнего прокси-сервера; журналы регистрации событий приложений конечного пользователя.
При этом возникает проблема децентрализованно-сти, так как каждое СЗИ хранит данные в своей сис-
теме. Также существует проблема анализа самих инцидентов, ввиду того, что каждое средство защиты использует свой формат для хранения полученных данных, а также из-за очень большого количества информации в самих журналах.
Если проблему децентрализованности можно решить, перенаправив файлы на отдельный сервер, то проведение анализа интегрированных результатов работы СЗИ все равно остается трудным процессом из-за сложности инфраструктуры и большого количества инцидентов, и требует применение дополнительных инструментов анализа. Соответственно возникает проблема, при помощи какого инструмента анализа не просто учитывать сам факт возникновения инцидента, но и понять суть проблемы. Организовать многомерные наблюдаемые данные в наглядные структуры возможно с помощью методов кластерного анализа.
Под кластерным анализом понимается задача разбиения исходных данных на поддающиеся интерпретации группы, таким образом, чтобы элементы, входящие в одну группу были максимально «схожи» (по какому-то заранее определенному критерию), а элементы из разных групп были максимально "отличными" друг от друга. При этом число групп может быть заранее неизвестно, также может не быть никакой информации о внутренней структуре этих групп.
Преимущества кластеризации при решении задачи анализа интегрированных результатов работы СЗИ следующие:
• уменьшение объема информации о зарегистрированных инцидентах ИБ. Фактически количество данных остается тем же, но наглядно и визуально объем уменьшается. Возможно представление многомерных результатов в формах меньшей размерности;
• решение задачи классификации инцидентов ИБ по разным параметрам. Возможна совместная классификация инцидентов, зарегистрированных различными СЗИ в разных форматах;
Актуальные проблемы авиации и космонавтики. Информационные технологии
• возможность исследования самой природы возникновения инцидента ИБ, обнаружение скрытых закономерностей между инцидентами, зафиксированными различными СЗИ.
Для кластерного анализа многомерных данных об инцидентах информационной безопасности предлагается использовать самоорганизующиеся карты Кохо-нена - нейросетевой алгоритм, предполагающий обучение «без учителя». В нейросетевых алгоритмах, предполагающих обучение «с учителем», для нахождения соотношения между данными требуется, чтобы один или более выходов были точно заданы вместе с одним или более входами. Карта, напротив, отображает данные большей размерности на карте меньшей размерности, состоящей из решетки нейронов. Немаловажным свойством алгоритма самоорганизующихся карт Кохонена является то, что в нем все нейроны упорядочены в некоторую структуру (обычно двумерную сетку) [2].
У самоорганизующихся карт есть ряд областей применения, наиболее важная с практической точки зрения - анализ данных с целью поиска закономерностей и проведения кластеризации данных. Анализ данных с помощью самоорганизующихся карт основан на том, что они позволяют представить множество объектов, заданных в многомерном пространстве в виде двумерных карт, причем близко расположенным в многомерном пространстве объектам соответствуют близко расположенные точки на плоской карте. Соответственно если имеется множество из сотен или тысяч объектов, каждый из которых описывается как минимум несколькими свойствами, то проанализиро-
вать это множество на наличие закономерностей и аномалий весьма сложно. Поэтому можно провести обучение самоорганизующейся карты и получить на выходе достаточно наглядные двумерные карты.
Отличительные особенности применения самоорганизующихся карт Кохонена в области анализа результатов СЗИ:
• обучение нейросети происходит «без учителя» на основе только входных данных, т.е. для проведения анализа данных не нужно быть специалистом в области искусственного интеллекта;
• наглядное представление результатов в виде цветных двумерных карт, на которых схожие в исходном пространстве инциденты оказываются рядом.
Применение самоорганизующихся карт Кохонена позволит перейти к интеллектуальному анализу интегрированных результатов работы СЗИ и повысить их эффективность путем отражения найденных скрытых закономерностей в политики их работы, которые могут остаться без внимания при использовании только статистических методов
Библиографические ссылки
1. ISO/IEC TR 18044:2004 Information technology - Security techniques - Information security incident management (IDT).
2. Дебок Г., Кохонен Т. Анализ финансовых данных с помощью самоорганизующихся карт / пер. с англ. М. : Изд. дом «АЛЬПИНА», 2001. 317 с.
© Верхорубов А. И., 2012
УДК 338.45
А. Ю. Володин, Ю. А. Ильин, И. М. Петров, О. О. Титов Научный руководитель - В. Г. Яцуненко Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
СОВРЕМЕННОЕ СОСТОЯНИЕ ИННОВАЦИОННОЙ ДЕЯТЕЛЬНОСТИ В ОПК
Показано, что инновационный процесс в ОПК затруднен в силу повсеместного развития «институтов». Фактически субъекты инновационного развития ОПК используют весь инструментарий нецелевого использования институтов.
Структурная перестройка отечественной экономики предполагает модернизацию различных отраслей народного хозяйства, амортизированных на 50-70 %, с использованием современных достижений научно-технического прогресса. Для создания инновационной экономики необходимо затратить до 2020 года около ста триллионов рублей [1]. Оборонно-промышленный комплекс (ОПК), как источник новых технологий, характеризуется в последние годы резко возрастающими объемами государственного оборонного заказа (ГОЗ). В настоящее время разрабатываются Государственные программы вооружений и развития ОПК на 2012-2020 годы, которые предусматривают ассигнования на приобретение оружия и военной техники для Вооруженных сил России в размере около 22 трлн руб.
Для чего будут пересмотрены планы научных и
конструкторских работ по созданию новых образцов вооружения. По данным Министерства обороны РФ, в российских Вооруженных силах новые вооружения составляют не более 10 %.
Однако даже с учетом значительного наращивания за последние годы расходов на научные исследования с учетом выделения значительных сумм на военные НИОКР, доля расходов России на оборонные НИОКР - 0,6 % ВВП [2].
По мнению директора Института США и Канады РАН С. М. Рогова, у ведущих стран Запада расходы на НИОКР составляют 2-3 % ВВП, в том числе у США - 2,7 %, а у таких стран, как Япония, Швеция, Израиль, достигают 3,5-4,5 % ВВП. Высокими темпами наращивает расходы на НИОКР Китай (1,7 % ВВП). Ожидается, что в следующем десятилетии КНР