Научная статья на тему 'Об адаптивности систем обнаружения вторжений угрозам информационной безопасности'

Об адаптивности систем обнаружения вторжений угрозам информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
300
37
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Саламатова Т. А.

Рассматриваются методы обнаружения вторжений, их достоинства и недостатки. Для адаптивности систем обнаружения вторжений новым угрозам информационной безопасности предлагается применение аппарата искусственных иммунных сетей.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Саламатова Т. А.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

TO ADAPTIVENESS OF THE INTRUSION DETECTION SYSTEMS THREATS TO INFORMATION SECURITY

The intrusion detection systems, intrusion detection methods, and advantages and disadvantages of methods are discussed. To adapt the intrusion detection systems to new security threats, using the apparatus of artificial immune networks is suggested.

Текст научной работы на тему «Об адаптивности систем обнаружения вторжений угрозам информационной безопасности»

Решетневскце чтения

Согласно методу анализа иерархий строится иерархическое дерево свойств (см. рисунок), вычисляются метрики (числа) для каждого ребра дерева, которые можно определить стоимостным, экспертным или вероятностным методом. На основании иерархического дерева вычисляются матрицы попарных сравнений, общие оценки и собственный вектор общей оценки [4], который позволяет впоследствии сравнивать риски информационной безопасности в области организационных мер и/или комплексной защиты информации для различных организаций.

Таким образом, применение метода анализа иерархии позволяет провести оценку качественных параметров системы обеспечения ИБ, что дает более достоверную оценку.

При этом следует учитывать, что данный метод не ставится в противопоставление существующей методике оценки, а дополняет его для получения более полной и достоверной оценки системы обеспечения ИБ организации в комплексе. Однако остается ряд вопросов, которые еще предстоит решить. К таким

вопросам можно отнести вопрос оптимального выбора конкретных методов определения метрик в разных ситуациях и детальности составления иерархического графа для определения оценки

Библиографические ссылки

1. Методика оценки соответствия информационной безопасности организаций банковской системы РФ требованиям СТО БР ИББС-1.0-20хх [Электронный ресурс]. URL: http://www.cbr.ru/credit/ gubzi_docs/st-12-xx.pdf (дата обращения 19.09.12).

2. ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Методы и средства обеспечения безопасности. Ч. 3. Методы менеджмента безопасности информационных технологий [Электронный ресурс]. URL: http://www.gosthelp.ru/gost/gost5475.html (дата обращения 19.09.12).

3. Андрианов В. В., Обеспечение информационной безопасности бизнеса. М. : Альпина Паблишер, 2011.

4. Саати Т. Метод анализа иерархий. М. : Радио и связь, 1993.

A. G. Pyatkov

Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk

HIERARCHY ANALYSIS METHOD APPLICATION TO ESTIMATE RISKS IN ORGANIZATION PROVISIONS OF INFORMATION SECURITY

A risk measurement problem in organization provisions of Information Security is studied. Increase of risk evaluation trustworthiness by hierarchy analysis method application are also considered as a possible solution.

© Пятков А. Г., 2012

УДК 004.056

Т. А. Саламатова

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск

ОБ АДАПТИВНОСТИ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Рассматриваются методы обнаружения вторжений, их достоинства и недостатки. Для адаптивности систем обнаружения вторжений новым угрозам информационной безопасности предлагается применение аппарата искусственных иммунных сетей.

Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся системы разграничения доступа, МЭ, системы аутентификации во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности. Одной из технологий, позволяющей обнаруживать нарушения, которые не могут быть идентифицированы при помощи традиционных моделей контроля доступа, является технология обнаружения вторжений (СОВ).

Системами обнаружения вторжений (Intrusion Detection Systems) называют программные и программно-аппаратные технические средства, реализующие функции автоматизированного обнаружения в информационных системах действий, направленных на преднамеренный несанкционированный доступ к информации, а также специальных воздействий на информацию в целях ее добывания, уничтожения, искажения или блокирования [1].

Эффективность СОВ во многом зависит от применяемых методов обнаружения вторжений, основным из которых являются:

Методы и средства защиты информации

1) опознавание сигнатуры;

2) обнаружение аномалий.

Способ опознавания сигнатуры заключается в описании атаки в виде сигнатуры (signature) и поиска данной сигнатуры в контролируемом пространстве (сетевом трафике, журнале регистрации и т. д.). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную активность в автоматизированной системе.

Несмотря на эффективность метода, существует проблема создания такой сигнатуры, которая бы описывала все возможные модификации атаки. Для решения этой проблемы применяется метод обнаружения аномалий Данный метод помогает обнаруживать отклонения от нормального функционирования автоматизированной системы, используя эталонную модель функционирования. Вначале определяются типичные значения для таких параметров, как загруженность ЦПУ, активность работы диска, частота входа пользователей в систему и другие. Потом при возникновении значительных отклонений от этих значений система сигнализирует о возникшей ситуации [2].

Основные достоинства метода обнаружения аномалий:

- обнаружение новых типов вторжений, сигнатуры для которых еще не разработаны;

-нет необходимости в сигнатурах и правилах обнаружения вторжений.

Недостатки систем на основе метода обнаружения аномального поведения:

- системы требуют длительного и качественного обучения;

- не исключены ошибки первого и второго рода [3].

Примером ошибки первого рода может служить

блокирование СОВ легального сетевого запроса, не являющегося атакой («ложное» срабатывание), или СОВ не смогла блокировать реальную атаку.

Применение искусственных иммунных сетей является перспективным решением проблемы адаптивности к неизвестным вторжениям и «ложным» срабатываниям. Иммунные сети строятся по аналогии с иммунной системой живого организма. Имеется достаточно много различий между живыми организмами и компьютерными системами, поэтому необходимы подобия, переносимые в компьютерную модель защи-

ты. Искусственная иммунная система строится, как правило, только на двух центральных положениях: антиген - антитело [4].

В качестве антигенов выступают системные вызовы или сетевые пакеты. При первичной встрече иммунной системы с антигеном последний изучается, и на основании составленного шаблона вырабатываются антитела: уничтожающие, блокирующие или пропускающие антиген.

При обнаружении аномалий система имитирует механизм негативной селекции, в результате которой генерируются ранее неизвестные сигнатуры, которые, в свою очередь, сравниваются с нормальным профилем. Алгоритмы негативной селекции оперируют вероятностными характеристиками - вместо точного соответствия с нормальным профилем используется частичное, степень которого может произвольно варьироваться.

Изменение степени в конечном итоге должно приводить к уменьшению или увеличению частоты «ложных» срабатываний. Однако применимость метода ограничена устойчивостью иммунной системы только в пределах той сети, в которой она обучалась (только локальная устойчивость).

Иммунная система является самообучающейся и адаптивной, поэтому внедрение искусственных иммунных сетей в систему обнаружений вторжений является перспективным направлением развития, ведущего к снижению количества «ложных» срабатываний и адаптации СОВ к ранее не известным вторжениям.

Библиографические ссылки

1. Требования к системам обнаружения вторжений [от 6 декабря 2011 года № 23088] [Электронный ресурс]. URL: http://www.fstectest.com.ru/index.php/ ru/novosti/118-prikazy-sert/3 94-informatsionnoe-pismo-fstek-rossii-informatsionnoe-pismo-fstek-rossii (дата обращения: 16.09.2012).

2. Норткатт С., Новак Д. Обнаружение вторжений в сеть. Настольная книга специалиста по системному анализу. М. : Лори, 2001.

3. Лукацкий А. Обнаружение вторжений. СПб. : БХВ-Петербург, 2001.

4. Ройт А., Бростофф Мейл Д. Иммунология. М. : Мир, 2004.

T. A. Salamatova

Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk

TO ADAPTIVENESS OF THE INTRUSION DETECTION SYSTEMS THREATS TO INFORMATION SECURITY

The intrusion detection systems, intrusion detection methods, and advantages and disadvantages of methods are discussed. To adapt the intrusion detection systems to new security threats, using the apparatus of artificial immune networks is suggested.

© CajiaMaTOBa T. A., 2012

i Надоели баннеры? Вы всегда можете отключить рекламу.