[ « ...»
Содержание
ВВЕДЕНИЕ
1. ИНТЕЛЛЕКТУАЛЬНЫЕ СРЕДСТВА И МОДЕЛИРОВАНИЕ СИСТЕМ
ЗАЩИТЫ ИНФОРМАЦИИ
1.1. Анализ использования интеллектуальных средств в системах
защиты информации
1.2. Анализ методов защиты информации в биосистемах
1.3. Моделирование систем защиты информации и оценки
защищенности систем ИТ
Выводы по главе 1
2. РАЗРАБОТКА АДАПТИВНОЙ МОДЕЛИ СИСТЕМЫ ЗАЩИТЫ
ИНФОРМАЦИИ2.1. Иерархия уровней системы защиты информации
2.2. Методика проектирования адаптивной СЗИ
2.3. Разработка иерархической модели адаптивной системы защиты информации
2.4. Разработка комплекса показателей для систем ИТ
Выводы по главе 2
3. АСПЕКТЫ ОРГАНИЗАЦИИ АДАПТИВНЫХ СИСТЕМ ЗАЩИТЫ
ИНФОРМАЦИИ3.1. Разработка алгоритма адаптации нейросетевых СЗИ.................. 3.2. Организация безопасного хранения информации
3.3. Уровни описания нейросетевых СЗИ
3.4. Организация адаптивной СЗИ
Выводы по главе 3
Заключение
СПИСОК ИСТОЧНИКОВ
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ И УСЛОВНЫХ ОБОЗНАЧЕНИЙ
ВС Вычислительная система ГКС Глобальная компьютерная система ИБ Информационная безопасность ИИО Индекс информационного общества ИПК Индекс прозрачности коммуникаций ИТО Индекс технологической оснащенности ИР Информационные ресурсы МВС Многопроцессорные вычислительные системы МЗ Механизм защиты НВ Нечеткое высказывание НК Нейрокомпьютер НЛ Непрерывная логика НМ Нечеткое множество НП Непрерывная переменная НС Нейронная сеть НСД Несанкционированный доступ к информации НЧС Нечеткая связь ПО Программное обеспечение СД Семантическое данное СЗИ Средства защиты информации СИБ Система информационной безопасности ФН Формальный нейрон ХС Хозяйствующий субъект УПД Управление потоком данныхВВЕДЕНИЕ
Эволюция средств обработки информации осуществляется в направлении создания систем информационных технологий (ИТ) с элементами самоорганизации, в которых присутствуют процессы зарождения, приспособления и развития [1]. На названных процессах основаны биологические системы, для которых характерны опыт эволюции, селективный отбор. Заимствование архитектурных принципов биосистем привело к разработке теорий нейронных сетей (НС), нечетких множеств, эволюционных методов, лежащих в основе искусственных интеллектуальных систем.Для реализации названных процессов в технических системах совершенствуются методы нечетких вычислений, которые основываются на знаниях экспертов и хорошо зарекомендовали себя в условиях неполной достоверности и неопределенности информации. Задачи оптимизации решаются эволюционными методами, в том числе, с привлечением генетических алгоритмов. Нейросетевые технологии предоставляют адаптивные средства для реализации систем ИТ.
Эволюционный алгоритм можно рассматривать как итеративный алгоритм, который поддерживает популяцию индивидуумов. Первоначальная популяция создается в результате некоторого эвристического процесса. Новая популяция формируется с помощью отбора лучших индивидуумов путем отсеивания некоторых членов популяции в процессе эволюции. Каждый индивидуум - потенциальное решение задачи. При отборе решений используется критерий качества.
После генерации ряда популяций можно получить индивидуум, наиболее полно соответствующий критерию качества. Эволюционные алгоритмы следуют принципу: популяция индивидуумов претерпевает преобразования, в процессе которых индивидуумы повышают свою выживаемость.
Нейронные сети получили распространение в многочисленных прикладных сферах распределенных вычислениях при решении нечетких и трудно формализуемых задач. Внимание разработчиков ИТ к НС можно объяснить естественным параллелизмом НС в противовес последовательному характеру управления ходом вычислений, свойственных большинству известных систем ИТ. Немаловажными факторами, способствующими распространению нейросетевых вычислений, являются такие свойства НС, как адаптивность, высокие информационная защищенность, способность выделения и классификации скрытых в информации знаний. Данный перечень качеств в большей мере присущ биосистемам, к которым НС существенно ближе, чем к современным системам ИТ.
Как известно [2], биосистемы обладают многоуровневой иерархической системой жизнеобеспечения, реализованной с использованием комплекса механизмов информационной избыточности, защиты и иммунитета. Механизмы обеспечения информационной безопасности современных ИТ по возможностям далеки от биологических прототипов, в связи с чем разработка подхода к созданию адаптивных систем ИТ с встроенными функциями жизнеобеспечения, основанных на биосистемной аналогии, представляется актуальной.
Искусственным НС присуще свойство биологического подобия, как техническим моделям реальных биологических НС [3]. Нейросетевой базис можно рассматривать как основу для создания адаптивных командных пулов – аналога биологической ткани, в которых программно формируется иерархия функциональных устройств (комплекс взаимосвязанных органов) в соответствии с требованиями спецификации на разработку прикладной системы [4]. Механизмы информационной безопасности внутренне присущи, и адаптивным командным пулам, и функциональным компонентам системы ИТ, повторяя механизмы иммунной защиты организма.
НС свойственно нечеткое представление данных. Возможно представление данных в виде некоторой окрестности, нахождение значений в которой не вызывает изменения реализуемой НС функции. Информация в виде системы взвешенных межнейронных связей представляется в избыточной распределенной по НС форме, а искажение (снижение истинности) как оперативных, так и долговременных (системных) данных не приводит к утрате работоспособности НС. В процессах работы и адаптации НС участвует не локальная связь, а вся система межнейронных связей в форме нечеткого избыточного распределенного информационного поля НС.
Одним из перспективных направлений развития безопасных систем ИТ можно считать создание адаптивных СЗИ, удобных для технической реализации с привлечением современных наноэлектронных технологий [5] в виде СБИС, кремниевых пластин, ориентированных на высоконадежные механизмы жизнеобеспечения и информационной защиты биологических систем.
Высокая производительность систем ИТ при решении задач, характеризующихся нечеткой, недостоверной информацией, нерегулярными процессами обработки с изменяющимися в процессе эксплуатации системы составом и взаимосвязями компонентов, может обеспечиваться параллелизмом нейросетевых вычислений и управлением потоком данных (УПД). Подобные вычисления необходимы в задачах управления и обеспечения информационной безопасности сложных комплексов на основе адаптивных систем ИТ с защищенными процессами обработки и хранения больших объемов конфиденциальной информации.
Однако известные методы оказываются малопригодными для решения нечетких неформализуемых задач, где применимы нечеткие вычисления и нейросетевые средства. Существующие методы распределенных вычислений, архитектуры и программное обеспечение систем ИТ не ориентированы на решение задач обеспечения информационной безопасности сложных технических комплексов в динамично изменяющихся условиях эксплуатации, не учитывают специфику нечетких и нейросетевых вычислений. Не разработаны методы и модели адаптивных СЗИ для построения информационно безопасных систем ИТ, способных приспосабливаться к изменению поля угроз.
Необходима разработка моделей систем ИТ с встроенными функциями информационной безопасности на основе биосистемной аналогии. Необходима разработка архитектуры и механизмов обеспечения информационной защиты иерархических технических комплексов, позволяющих в полной мере реализовать комплекс механизмов жизнеобеспечения и информационной защиты, присущий биологическим системам.
В учебном пособии рассмотрен подход к разработке модели адаптивной защиты, реализуемой на основе биосистемной аналогии с использованием интеллектуальных механизмов нейронных сетей и нечеткой логики. Целью настоящей работы является разработка модели и методики построения адаптивной системы информационной безопасности (СИБ), использующих адаптивные наборы (матрицы) экспертных оценок для информационно безопасных систем ИТ, ориентированных на нейросетевые вычисления, модели, учитывающей изменение поля угроз на этапах жизненного цикла системы ИТ.
Основными объектами исследований являются системы защиты информации, а предметом исследований – модели и методы построения адаптивных нейросетевых систем защиты информации с распределенной архитектурой, формами параллелизма, нечетким распределенным представлением информации.
Основными вопросами, рассматриваемыми в настоящем пособии, являются:
Разработка модели адаптивной информационной защиты систем ИТ на основе нейро-нечетких средств защиты информации, используя аналогию с защитными механизмами биологических систем.
Разработка системы оценок информационной защищенности систем ИТ, учитывающей структурные и экономические показатели адаптивной системы защиты информации.
Разработка методики построения адаптивной системы защиты информации на основе предложенных оценок и адаптивной модели СИБ.
Разработка архитектурных решений информационно защищенных командных пулов, учитывающих детализацию описания НС.
Разработка инструментальных средств для поддержки методики построения адаптивной СИБ.
Для изложения материала пособия использованы методы теории информационной безопасности систем, нейронных сетей, нечетких множеств, а также моделирование и исследование нейросетевых систем защиты информации.
1. ИНТЕЛЛЕКТУАЛЬНЫЕ СРЕДСТВА И МОДЕЛИРОВАНИЕ СИСТЕМ
ЗАЩИТЫ ИНФОРМАЦИИ
В научных и научно-технических изданиях [6] активно обсуждается необходимость придания системам защиты информации в ИТ эволюционных качеств, присущих биосистемам, таких как возможность развития и адаптивность. Известные фирмы, например, Microsoft, заявляют о применении «технологии активной защиты» [7], основанной на оценке поведения программ с точки зрения их потенциальной опасности. В частности, СЗИ корректируют средства защиты компьютера при изменении его статуса или блокируют его, если возникает подозрение в заражении вирусом или проникновении злоумышленника [8].1.1. Анализ использования интеллектуальных средств в системах защиты информации Актуальна проблема эволюционного развития систем информационной безопасности (СИБ). Наряду с традиционными средствами защиты корпоративных сетей, такими как: антивирусы, детекторы уязвимостей, межсетевые экраны и детекторы вторжений используются средства автоматизации защиты, включающие корреляторы событий, программы обновлений, средства аутентификации, авторизации и администрирования (authentication, authorization, administration — ЗА) и системы управления рисками [9]. Корреляторы событий предназначены для анализа системных журналов СЗИ, операционных систем и приложений для выявления признаков нападения; программы обновления - автоматизации процедур установки исправлений для устранения выявленных уязвимостей (прежде всего, ошибок ПО) и поиска потенциальных уязвимостей системы; средства ЗА - управления идентификационной информацией и допуском пользователей к информационным ресурсам, а система управления рисками - моделирования и определения возможного ущерба от атаки на корпоративную сеть.
1.1.1. Интеллектуальные средства и задачи защиты информации В основном публикации о применении интеллектуальных систем защиты информации посвящены системам обнаружения атак [10-19], в качестве интеллектуального инструмента в которых, как правило, используются нейронные сети (НС), системы нечеткой логики (НЛ) и экспертные системы (ЭС) [20-25].
Схемы обнаружения атак разделяют на две категории: 1) обнаружение злоупотреблений и 2) обнаружение аномалий. К первым относят атаки, которые используют известные уязвимости системы ИТ, а ко вторым - несвойственную пользователям системы ИТ деятельность. Для обнаружения аномалий выявляется деятельность, которая отличается от шаблонов, установленных для пользователей или групп пользователей. Обнаружение аномалий, как правило, связано с созданием базы данных, которая содержит профили контролируемой деятельности [26-28], а обнаружение злоупотреблений – со сравнением деятельности пользователя с известными шаблонами поведения хакера [29, 30] и использует методы на основе правил, описывающих сценарии атак. Механизм обнаружения идентифицирует потенциальные атаки в случае, если действия пользователя не совпадают с установленными правилами.
Большинство систем обнаружения злоупотреблений и аномалий основаны на модели, предложенной Деннингом [31]. Модель поддерживает набор профилей для легальных пользователей, согласовывает записи подсистемы аудита с соответствующим профилем, обновляет профиль и сообщает о любых обнаруженных аномалиях.
Для определения аномального поведения часто используют статистические методы для сравнения используемых пользователем команд с нормальным режимом работы. Поведение пользователя может быть представлено как модель на основе правил [32], в терминах прогнозируемых шаблонов [33] или анализа изменения состояния [22], а для выявления факта атаки используют методы сопоставления с образцом.
Можно выделить следующие варианты применения НС в системах обнаружения атак. Дополнение нейронной сетью существующих экспертных систем для фильтрации поступающих сообщений с целью снижения числа ложных срабатываний, присущих экспертной системе. Так как экспертная система получает данные только о событиях, которые рассматриваются в качестве подозрительных, чувствительность системы возрастает. Если НС за счет обучения стала идентифицировать новые атаки, то экспертную систему также следует обновить. Иначе новые атаки будут игнорироваться экспертной системой, прежние правила которой не способны распознавать данную угрозу.
Если НС представляет собой отдельную систему обнаружения атак, то она обрабатывает трафик и анализирует информацию на наличие в нем злоупотреблений. Любые случаи, которые идентифицируются с указанием на атаку, перенаправляются к администратору безопасности или используются системой автоматического реагирования на атаки. Этот подход обладает преимуществом в скорости по сравнению с предыдущим подходом, т. к. существует только один уровень анализа, а сама система обладает свойством адаптивности. НС применяют также в системах криптографической защиты информации для хранения криптографических ключей в распределенных сетях [34].
Основным недостатком НС считают «непрозрачность» формирования результатов анализа [35]. Однако использование гибридных нейро-экспертных или нейро-нечетких систем позволяет явным образом отразить в структуре НС систему нечетких предикатных правил, которые автоматически корректируются в процессе обучения НС [36]. Свойство адаптивности нечетких НС позволяет решать не только отдельно взятые задачи идентификации угроз, сопоставления поведения пользователей с имеющимися в системе шаблонами, но и автоматически формировать новые правила при изменении поля угроз, а также реализовать систему защиты информации технической системы в целом.
1.1.2. Интеллектуальные средства для моделирования систем защиты информации Для обнаружения и противодействия несанкционированным действиям используют различные математические методы и интеллектуальный инструментарий, как в нашей стране [37-67], так и за рубежом [68-74].
В [37] описан математический аппарат скрытых Марковских цепей для контроля принадлежности потоков к процессу, исполняемому в системе ИТ, и выявления несанкционированных процессов, а в [38] - задача идентификации вычислительных сетей (ВС) по набору доступных для наблюдения параметров и отнесение ВС к одному из известных классов.
В ряде работ [45 - 49, 72 - 74] рассматривается использование интеллектуальных мультиагентных систем для защиты информации. В частности дается обзор инструментов реализации атак, онтология предметной области, определяются структура команды агентов СЗИ, механизмы их взаимодействия и координации. Другая группа работ [50 - 52] посвящена проблеме применения мультиагентных и интеллектуальных технологий для обнаружения вторжений на Web-сервер, тестирования защищенности и обучения систем ИТ. Предложены подходы к построению систем моделирования атак на Web-сервер, основанные на использовании онтологии сетевых атак, стратегий их реализации, а также применении хранилища уязвимостей и программ реализации атак.
Работы [53, 54] посвящены обсуждению специфики применения НС для целей идентификации динамических объектов исходя из математического описания многослойной НС и мониторинга информационных систем.
Применение аппарата НС и генетических алгоритмов для защиты сетей от программных атак, направленных на нарушение доступности ресурсов, рассмотрена в [55 - 58]. Причем НС используются для обнаружения признаков атак в сетевом трафике, идентификации форматов передаваемых данных, динамической идентификации участников обмена, а генетические алгоритмы - получения близкого к оптимальному решения в задачах управления маршрутами и параметрами трафика при наличие нечеткости данных идентификации атаки в условиях дефицита информации или информационного «шума».
В [59, 60] использован аппарат нечетких множеств для реализации активного аудита безопасности работы системы ИТ. Для оценки защищенности сетей от угроз НСД, обнаружения злоупотреблений пользователей и программных атак применены методы интеллектуального анализа данных, работающие по принципу адаптивной защиты от НСД - «анализ – прогнозирование – предупреждение».
Идентификации и аутентификации пользователя по биометрическим, фонетическим параметрам посвящены ряд исследований [61 - 67], использующих математический аппарат нейронных сетей, комбинированные методы быстрой цифровой обработки сигналов и НС.
Из проведенного анализа следует вывод о необходимости решения не отдельных задач защиты информации с помощью НС, систем нечеткой логики, экспертных систем, а разработки единого подхода применения интеллектуальных средств для создания комплексной адаптивной защиты систем ИТ на основе биоаналогии [3]. Проектирование следует осуществлять как единый процесс построения адаптивной системы ИТ с внутренне присущими функциями защиты информации [75].
Наилучшим сочетанием свойств для достижения поставленной цели обладают нечеткие НС, которые сочетают достоинства НС и нечеткой логики, опирающейся на опыт экспертов информационной безопасности. Механизм нечеткого логического вывода позволяет использовать опыт экспертов, овеществленный в виде системы нечетких предикатных правил, для предварительного обучения нечеткой НС [76 - 78]. Последующее обучение НС на поле известных угроз предоставляет возможность анализа процесса логического вывода для коррекции существующей или синтеза новой системы нечетких предикатных правил СЗИ [76, 79, 80].
Перечислим свойства нечетких НС, необходимые для адаптивных СЗИ:
1) функциональная устойчивость и защищенность элементной базы, 2) возможность классификации угроз, 3) описание соответствия «угрозы – механизмы защиты» в виде системы нечетких предикатных правил, 4) адаптивность нейро-нечетких СЗИ (системы нечетких правил), 5) «прозрачность» для анализа структуры связей нейро-нечетких СЗИ 6) распределенный параллелизм вычислений.
1.2. Анализ методов защиты информации в биосистемах Целью жизни является самовоспроизведение путем передачи генетической информации. Важно, чтобы за время жизни структуры она успевала построить хотя бы одну свою копию [2]. Копии содержат определенный процент "информационных дефектов" – мутаций, что является существенным условием эволюционного процесса. Метаболизм (обновление) самовоспроизведение, мутабильность, молекулярные механизмы переноса информации и наследования в организмах, обеспечивают совершенствование живых информационных систем [81].
Иерархия биосферы может быть подразделена на уровни системной организации генетического материала: нуклеотидный, триплетный, генный (образуют молекулярный уровень), хромосомный, клеточный уровень, тканевый уровень, органный уровень, организменный уровень, популяционный уровень, видовой уровень, биоценотический уровень, глобальный (биосферный уровень). Каждому уровню иерархии, начиная с молекулярного уровня, присуща генетическая преемственность и информационная защищенность структур.
1.2.1. Информационная основа биосистем Биосфера – иерархическая информационная система с единым подходом к способам и методам преобразования, хранения и переноса информации, которые обладают высокой защищенностью. Многообразию видов и форм существования жизни можно поставить в соответствие многообразие специализированных системы информационных технологий, различающихся по сложности структурной организации и свойствам (табл. 1.1 [3]). Имеет место аналогия между свойствами, характерными для биосферы как биосистемы и как сложной информационной системы (табл. 1.2 [3]). То есть биосфера представляет собой сложную информационную систему, подсистемы которой обладают набором механизмов и свойств, придающим им высокую информационную защищенность. Обеспечение высокого уровня защищенности и жизнеспособности видов обусловлено надежностью способа кодирования, хранения и передачи информации (в процессе размножения) - генетического кода вида.
Придание системам ИТ качеств биосистем и, прежде всего, отвечающих за защищенность информационных процессов, связано с наличием:
• иерархии функционально разнородных подсистем с встроенными функциями защиты, • защищенных механизмов сохранения и передачи информации, • свойств сложной кибернетической системы, • эволюционных качеств, а именно: способности к зарождению, росту и развитию, обучению и адаптации в динамической внешней среде.
1. Ядро Хранение, измене- Специализирован- Компоненты формальние кодирование и ные элементы и ных нейронов (ФН);
2. Клетка Деление, рост, мат- Специализирован- Уровень ФН 3. Ткань Среда межклеточ- Мультипроцессор; Фрагмент слоя из ФН;
5. Организм Законченная лока- Среда вычисле- Специализированная 6. Популяция Воспроизводство Гомогенная ло- Универсальная нейровидовой информа- кальная сеть ВМ сетевая вычислительная 8. Биоценоз Локальное сосуще- Отраслевая сеть Отраслевая сеть 9. Биогеоценоз Среда для локально- Домен глобальной Домен глобальной сети 10. Биосфера Глобальная взаимо- Глобальная сеть Глобальная сеть 1.2.2. Защита информации в биосистемах Защищенность биосистемы обеспечивается механизмами наследственности и изменчивости, которые носят информационный характер. Генетическим материалом биообъектов является ДНК - дезоксирибонуклеиновая кислота [2].
Популяции существуют благодаря размножению, которое сводится к передаче внутри вида генетической информации посредством ДНК. ДНК играет роль универсального и защищенного носителя информации. Специфика ДНК заключена в ее двойственном характере: с одной стороны, как защищенного носителя информации, а с другой - самой информации в виде генетического кода.
Биологическая система Сложная информационная система Упорядоченность системы Наличие иерархической организации Самовоспроизведение Процесс сохранения и передачи информации в системе Специфичность организации Отличие между системами различных уровней иерархии Целостность и дискретность Целостность и дискретность Рост и развитие Способность систем к наращиванию, самообучению и развитию Обмен веществ и энергии Открытость системы Наследственность и изменчи- Перенос информации и большой потенциал изменения как Раздражимость Наличие механизмов, обуславливающих поведение системы в зависимости от внешних воздействий Внутренняя регуляция Наличие кибернетических механизмов и информационных Специфичность взаимодейст- Специфичность реагирования на внешние воздействия кавия со средой ждой подсистемой.
Молекулы ДНК (рис. 1.1) – это линейные макромолекулы в виде двойных цепей полимеров, составленных из нуклеотидов, каждый из которых содержит по одной молекуле фосфорной кислоты (Ф) и сахара, а также одно из четырех азотистых оснований: аденин - A, гуанин - G, цитозин - C и тимин - T. Аденин и гуанин – пуриновые основания, цитозин и тимин – пиримидиновые. Сочетания трёх рядом стоящих нуклеотидов в цепи ДНК (триплеты, или кодоны) составляют генетический код. Нарушения последовательности нуклеотидов в цепи ДНК приводят к наследственным изменениям в организме — мутациям. ДНК точно воспроизводится при делении клеток, что обеспечивает передачу в поколениях наследственных признаков и специфических форм обмена веществ [2].
Надежность структуры ДНК обуславливается силой водородных связей между цепями, а уникальность - тем, что разнообразие видов в природе основано на 20 аминокислотах - АМК, входящих в генный код.
(правила Чаргаффа):
• число нуклеотидов, содержащих пуриновые основания равно числу нуклеотидов, содержащих пиримидиновые основания A+G = T+C ;
• в ДНК содержание аденина равно содержанию тинина, а содержание гуанина равно содержанию цитозина A = T, G = C, G +T = A + C;
• ДНК разных видов могут иметь различия из-за преобладанием аденина над гуанином и тимина над цитозином (А+Т>C+G), и наоборот (C+G >А+Т);
• отношение (C+G) / (А+Т) видоспецифично: во всех клетках организма отношение (C+G) / (А+Т) одинаково.
Кодирование аминокислот - избыточное вырожденное кодирование. Число комбинаций 43 = 64 втрое превышает разнообразие аминокислот, каждой из которых соответствует несколько кодонов (табл. 1.3).
АМК Кодон Мольная масса (Мк) Антикодон Мольная масса (Ма) Правило вырожденности: если два кодона имеют два одинаковых первых нуклеотида и их третьи нуклеотиды принадлежат к одному классу (пуриновому или пиримидиновому), то они кодируют одну и ту же аминокислоту.
В ДНК двойные цепи полимеров соединены между собой водородными связями, в соответствии с правилом комплементарности: каждый кодон имеет только один антикодон, способный связаться с ним по всем водородным связям.
Устойчивость структуры ДНК обуславливается силой водородных связей между цепями полимеров: аденин и тимин образуют между собой две водородные связи (А=Т), а гуанин и цитозин – три (CG). То есть связь А=Т слабее связи CG. Чем больше в геноме вида отношение (C+G) / (А+Т), тем вид устойчивее к внешним воздействиям. Увеличение отношения ограничивает количество кодов. Чем меньше вариантов, тем проще закодированная в геноме организация вида. Если в пределах периода цепи из 10 нуклеотидов необходимо обеспечить равномерность количества водородных связей между парами А=Т и CG, то количество пар А=Т д. б. равно 6, а CG – 4, так как 6*2 = 4*3.
Имеет место уравновешенность распределения массы ДНК. Число вариантов мольных масс системы «кодон+антикодон» равно 4 (табл. 1.4).
Суммарная масса М = Мк + Ма изменяется незначительно, что объясняется близостью мольных масс пар: для А=Т М = 134+125 = 259 и для CG М = 110+150 = 260.
Для 64 возможных комбинаций кодонов существует 20 вариантов различных мольных масс (табл. 1.5), т. е. их количество равно числу различных аминокислот. Мольная масса по длине полинуклеотидных цепей распределена равномерно: при любом чередовании нуклеотидов в спирали ДНК структура молекулы будет уравновешенной. Максимальная равномерность масс и связей между спиралями ДНК наблюдается у позвоночных: видоспецифичное отношение C+G A+T Количество кодонов Мольная масса Количество кодонов Мольная масса Для обеспечения информационной защищенности процесса передачи и хранения информации в ДНК используется принцип избыточности, как при размножении (передача информации), так и при хранении генома.
Чем сложнее организм, тем большая избыточность кода в геноме. Наиболее простая организация молекулы ДНК (без повторяющихся отрезков и пропусков в коде) у вирусов и бактерий. Простота молекулы ДНК компенсируется высокой скоростью размножения (избыточностью при передаче информации).
В ядрах клеток высших организмов много избыточной ДНК - геном состоит из тысяч повторяемых участков, чередующихся с уникальными последовательностями оснований.
Прослеживается тенденция: чем сложнее организм, тем сложнее способы размножения. Разделение особей на мужские и женские, внутривидовое разнообразие также являются гарантом повышения защищенности существования вида.
У многоклеточных организмов хранение генетической информации осуществляется в ядрах клеток, где находится удвоенное количество наследственной информации - диплоидный набор хромосом. Это объясняется процессами деления клетки - одна “копия” остается в родительской клетке, а вторая передается дочерней и в последствии также удваивается.
Таким образом, основные особенности кода ДНК, обеспечивающие информационную защищенность и функциональную устойчивость биосистем, можно свести к следующему: информационная избыточность и комплементарность кодирования, равномерность распределения масс и уравновешенность системы связей по молекуле ДНК.
Клеточный принцип построения биосистем – один из основных для обеспечения информационной защищенности генома из-за значительной избыточности: достаточно одной клетки, чтобы на основе наследственной информации восстановить организм с его видовыми и индивидуальными особенностями.
Биосистема - сложная система, состоящая из иерархии специализированных автономных компонентов, которые выполняют общесистемные функции по хранению всей наследственной информации и обрабатывают, декодируют только определенную часть общей информации, связанную с функциями данных компонентов.
Существует градация организмов по степени сложности - видовое разнообразие. Чем проще система (меньше структурная избыточность и защищенность), тем интенсивнее процесс передачи информации, т. е. большая избыточность за счет высокой скорости размножения. Большие объемы компенсируют возможную потерю или модификацию информации при передаче. Обратно, чем сложнее система, тем большая структурная избыточность и меньше скорость размножения.
Используется избыточность и самих информационных сообщений - большое число повторяющихся последовательностей нуклеотидов в кодах. Процесс передачи информации становится более защищенным - половое размножение.
В процессе трансляции сообщений осуществляется избыточная передача информации с одновременным увеличением периода между трансляциями.
Клетка является наименьшей структурой, которая осуществляет хранение и декодирование информации. Общая организация процессов декодирования информации внутри клетки обладает повышенной информационной защищенностью: декодирование триплетного кода ведется по принципу сопоставления каждый кодон имеет только один антикодон, способный связаться с ним по всем водородным связям. В процессе декодирования ДНК используются свойства комплементарности и близости мольных масс пар нуклеотидов: 260 (C+G) и 259 (А+Т). Важно также, что декодирование в клетке ведется не самой ДНК, а с ее копии - iРНК.
Ядро можно представить как компонент системы, в котором осуществляются только процессы хранения информации и копирования ее частей (аналог режима Read only). То есть оригинальная генетическая информация не покидает ядра и не претерпевает изменений (свойство стабильности), а дубликат информации подлежит дальнейшим преобразованиям с возможностью фиксации изменений во вновь созданных компонентах системы (свойство пластичности).
Особенности клетки как защищенной системы по хранению и обработке информации состоят в следующем:
• генетическая (системная) информация хранится в обособленной структуре - ядре, защищающем ее от внешних воздействий;
• декодирование генома производится над дублем системной информации вне ядра специальными обрабатывающими структурами, которые используют при декодировании принцип сопоставления при соблюдении комплементарности кода.
Таким образом, отдельные клетки и биологические организмы в целом являются информационными системами, которые благодаря иерархической организации, методам и принципам хранения, кодирования и декодирования информации являются информационно защищенными системами.
1.3. Моделирование систем защиты информации и оценки защищенности систем ИТ Моделирование СЗИ и оценки уровня защищенности систем ИТ – необходимый этап для автоматизации процедур анализа уязвимостей и выявления атак на корпоративную систему с целью придания ИТ эволюционных свойств адаптивности и развития [82-84].
1.3.1. Моделирование систем защиты информации В печати встречаются сообщения о разработке эффективных методик, способных снизить расходы от внедрения СЗИ, например, использующих имитационные модели [85]. Методики ориентированы на решение задачи создания экономически оптимальной СЗИ в разрезе инвестиций, минимизирующих общий ущерб при нарушениях ИБ. Применение относительно недорогих способов и средств обеспечения ИБ (антивирусные программы, организационные ограничения и т. п.) существенно снижает общий ущерб. Поэтому инвестиции СЗИ в сравнительно малых размерах эффективны в небольших организациях, не подвергающихся специальным компьютерным атакам. Для динамичных компаний, функционирующих в конкурентной изменяющейся среде, рост затрат на СЗИ не всегда ведет к снижению ущерба от атак на корпоративную систему.
Часто модели защиты являются частью системы управления рисками и учитывают такие параметры, как актуальные угрозы, имеющиеся ошибки в программном обеспечении, важность, интервал и время простоя различных ресурсов, вероятность атаки, варианты защиты и возможная величина ущерба.
Система управления рисками в системе ИТ позволяет просчитывать существующие риски, моделировать оптимальный комплекс контрмер, автоматически разрабатывать профиль защиты и оценивать остаточные риски [9].
Биосистемная аналогия в структуре защиты систем ИТ базируется на иерархии СЗИ, встроенных механизмах иммунной защиты и накопления опыта.
Известные СЗИ, как правило, ограничиваются реализацией функций нижнего уровня системы защиты и антивирусной направленностью средств иммунной защиты. Согласно [86] около 70% вирусных атак осуществляется извне через точку входа в защищаемую сеть и только около 30 % изнутри. Первые можно отнести к внешним угрозам жизнеобеспечению системы, вторые - внутренним.
В обоих случаях задействуется иммунная защита биосистемы. Реализация идеи информационной иммунной системы состоит в том, что в случае обнаружения в сети признаков заражения отправляют образец нового вируса в антивирусный центр, откуда, спустя некоторое время, получают обновление антивирусной базы, которое распространяют по корпоративной сети прежде, чем успеет распространиться вирус.
Названный подход входит в противоречие с биосистемной аналогией, в частности, с внутрисистемной реализацией иммунной защиты, т. к. в рассмотренной системе антивирусной защиты (в отличие от биосистемы) большая часть механизмов иммунной защиты находится в антивирусном центре, расположенным за пределами корпоративной сети.
Размещение антивирусного центра вне защищаемой системы ИТ позволяет злоумышленникам: во-первых, под видом обновления антивирусной базы сформировать канал для загрузки вирусов и троянских коней, во-вторых, в случае автоматической отправки на анализ подозреваемых на наличие вируса файлов получить доступ к конфиденциальной информации. Кроме того, время реакции подобной иммунной защиты в лучшем случае измеряется часами, что, наряду с перечисленными возможностями реализации каналов НСД, мало приемлемо для большинства критических приложений. Следовательно, сфера применения подобного подхода ограничена только восстановлением выведенной из строя корпоративной сети (аналог процесса реанимации больной биосистемы с помощью инъекций).
В биосистемах функции иммунной защиты реализуются через внутренние механизмы оперативной реакции на угрозы и дестабилизирующие воздействия, распределенные по уровням иерархии СЗИ, долговременные процессы накопления жизненного опыта, носящие эволюционный характер [81, 87].
Биосистемная аналогия систем ИТ в эволюционных процессах основана на реализации совокупности механизмов наследования, развития, адаптации и отбора, свойственных биосистемам. В то время как разрабатываемые интеллектуальные средства выявления атак и несанкционированных информационных процессов в корпоративной сети основное внимание уделяют лишь свойству адаптивности при построении перспективных СЗИ [21, 47, 55]. Причем СЗИ уровня почтовых шлюзов и межсетевых экранов в большей мере ориентированы на выявление внешних атак, а СЗИ серверного уровня - нейтрализацию внутренних угроз в корпоративной системе.
Известные интеллектуальные СЗИ [20-68], как правило, реализуют только механизмы оперативной реакции и нейтрализации угроз жизнедеятельности системы ИТ, практически не уделяя внимание координирующей роли, которую играет нервная система - верхний уровень иерархии защиты биологических систем в реализации эволюционного процесса накопления жизненного опыта системы (долговременного запоминания системной информации). В биосистемах имеют место процессы постепенной адаптации иерархической системы жизнеобеспечения и защиты с использованием всего арсенала средств эволюционных процессов.
В ИТ-системах помимо иммунного уровня СЗИ необходима иерархия уровней защиты и, прежде всего, наличие верхних уровней СЗИ (например, рецепторного уровня средств защиты), выполняющих функции нервной системы биологического организма по накоплению жизненного опыта, координации и установлению ассоциативных (долговременных) связей между процессами, происходящими на нижних уровнях СЗИ - атаками и изменением поля угроз.
Другими словами, в системах ИТ, в частности, корпоративной или локальной сети необходим иерархический уровень накопления жизненного опыта по нейтрализации атак, представленного в форме структурированных информационных полей, удобных для наследования в последующих реализациях системы.
1.3.2. Методы оценки защищенности систем ИТ Известны оценки защищенности системы ИТ, исходящие из наличия определенного набора средств и механизмов защиты, методик изготовления, эксплуатации и тестирования, позволяющие отнести то или иное устройство или систему ИТ к одному из дискретных уровней защищенности в соответствии с используемыми в данной стране стандартами [88].
В работе [89] предложено в качестве оценки защищенности использовать рейтинговый показатель, который учитывает распределение механизмов защиты по эшелонам многоуровневой модели системы информационной безопасности и изменение вероятности достижения злоумышленником объекта защиты в зависимости от эшелона многоуровневой модели СЗИ. К недостаткам модели следует отнести статичный характер оценки защищенности системы ИТ, не учитывающей такие параметры как ущерб от реализации угроз ИБ и частоту осуществления атак.
В работе [90] защищенность оценивается исходя из ущерба от реализации в системе ИТ угроз, носящих случайный характер, который оценивается через коэффициенты опасности угроз. Причем коэффициенты опасности представляются нечеткими величинами, а показатель защищенности системы ИТ определяется посредством формируемой методом экспертных оценок матрицы нечетких отношений между коэффициентом опасности совокупности угроз и степенью защищенности системы ИТ. Недостатком подобного оценивания является отсутствие привязки показателей защищенности к местоположению МЗ в структуре СЗИ. Как и в предыдущем случае сохраняется статичность оценки защищенности ИБ системы ИТ.
В работе [85] предлагается для проведения инвестиционного анализа СЗИ и оценки ущерба в случае реализации угроз ИБ учитывать ущерб, как в стоимостном исчислении, так и "нематериальный" ущерб, нанесенный репутации, конкурентным возможностям хозяйствующего субъекта (табл.1.6) [85].
Величина ущерба Характеристика показателя "величина нематериального ущерба" Ничтожный Ущербом можно пренебречь Незначительный Ущерб легко устраним, затраты на ликвидацию последствий реализации угрозы невелики Умеренный Ликвидация последствий реализации угрозы не связана с крупными затратами и не затрагивает критически важные задачи, но положение рынке ухудшается, часть клиентов теряется Серьезный Затрудняется выполнение критически важных задач. Утрата на длительный период положения на рынке. Ликвидация последствий реализации угрозы связана со значительными инвестициями Критический Реализация угрозы приводит к невозможности решения критически важных задач. Организация прекращает существование В последнем случае вводят семантические показатели "величина нематериального ущерба" и «вероятность нанесения ущерба», которая связана с частотой реализации угрозы за определенный период времени (табл.1.7) [85].
Частота реализации Значение Семантическая характеристика реализации угрозы Нулевая Около нуля Угроза практически никогда не реализуется 1 раз за несколько лет Очень низкая Угроза реализуется редко 1 раз в месяц Средняя Скорее всего, угроза реализуется 1 раз в неделю Выше средней Угроза почти обязательно реализуется По мнению [85], нет приемлемых методик для нахождения нужного оптимума для динамичных компаний, функционирующих в конкурентной изменяющейся среде. Анализ различных вариантов обеспечения ИБ по критерию "стоимость/эффективность" предлагается осуществлять, учитывая соображения:
стоимость СЗИ не должна превышать определенную сумму (как правило, не более 20% от стоимости системы ИТ);
уровень ущерба не должен превышать некоторое значение, например, "незначительный".
Известные [88-90] оценки отражают статическое состояние объекта защиты, исходя из наличествующих механизмов защиты, не учитывают действительную загруженность механизмов защиты по нейтрализации последствия атак, динамику изменения поля угроз, возможность адаптации СЗИ к изменению поля угроз, не дают указаний на изменение состава механизмов защиты и структуры многоуровневой СЗИ.
Выводы по главе 1. Показана необходимость придания системам защиты информации в ИТ эволюционных качеств, присущих биосистемам, и, прежде всего, возможность развития и адаптивность. Наряду с традиционными средствами защиты корпоративных сетей, такими как: антивирусы, детекторы уязвимостей, межсетевые экраны и детекторы вторжений используются средства автоматизации защиты, включающие корреляторы событий, программы обновлений, средства 3А (аутентификации, авторизации и администрирования) и системы управления рисками.
Анализ показал, что для обнаружения атак применяют системы защиты информации, в качестве интеллектуального инструмента в которых, как правило, используются нейронные сети, системы нечеткой логики и основанные на правилах экспертные системы; что необходимо решать не отдельные задачи защиты информации, а разрабатывать единый подход применения интеллектуальных средств для создания комплексной адаптивной защиты систем ИТ на основе биоаналогии.
2. Биологические системы образуют иерархию информационных систем с единым подходом к способам и методам преобразования, хранения и переноса информации, которые обладают высокой защищенностью. Защищенность биосистемы обеспечивается механизмами наследственности и изменчивости, которые носят информационный характер.
Особенности кода ДНК, обеспечивающие информационную защищенность биосистем:
• информационная избыточность и комплементарность кодирования, • равномерность распределения масс и уравновешенность системы связей по молекуле ДНК, а особенности клетки:
• генетическая информация хранится в обособленной структуре - ядре, защищающем ее от внешних воздействий;
• декодирование генома производится над дублем системной информации вне ядра специальными обрабатывающими структурами, которые используют при декодировании принцип сопоставления при соблюдении комплементарности кода.
Показано что, отдельные клетки и биологические организмы в целом являются информационными системами, которые благодаря иерархической организации, методам и принципам хранения, кодирования и декодирования информации являются информационно защищенными системами.
3. Моделирование СЗИ и разработка показателей защищенности систем ИТ – необходимый этап для автоматизации процедур анализа уязвимостей и выявления атак на корпоративную систему с целью придания ИТ эволюционных качеств адаптивности и развития Анализ показал, что для разработки эффективных методик, способных снизить расходы от внедрения СЗИ, используют имитационные модели, модели системы управления рисками, которые учитывают актуальность угроз, имеющиеся ошибки в программном обеспечении, важность, интервал и время простоя различных ресурсов, вероятность атаки, варианты защиты и возможная величина ущерба, что позволяет моделировать оптимальный комплекс контрмер и автоматически разрабатывать профиль защиты.
Отмечено, что биосистемная аналогия в структуре защиты систем ИТ основана на иерархии СЗИ, встроенных механизмах иммунной защиты и накопления опыта. Известные СЗИ, как правило, ограничиваются антивирусной направленностью средств иммунной защиты и реализацией функций нижнего уровня в иерархии СЗИ.
Существующие показатели защищенности системы ИТ отражают статическое состояние объекта защиты, исходя из наличия механизмов защиты, и не учитывают активность механизмов защиты по нейтрализации последствия атак, динамику изменения поля угроз, возможность адаптации СЗИ к изменению поля угроз, не дают указаний на изменение состава механизмов защиты и структуры многоуровневой СЗИ.
4. Показано, что перспективными задачами обеспечения ИБ являются:
Разработка модели адаптивной информационной защиты систем ИТ на основе нейро-нечетких средств защиты информации с использованием аналогии с иерархией защитных механизмов биологических систем.
Разработка системы оценок информационной защищенности систем ИТ, учитывающей структурные и экономические показатели адаптивной системы защиты информации.
Разработка метода построения адаптивной системы защиты информации на основе предложенных оценок и иерархической адаптивной модели СЗИ.
Разработка архитектурных решений нейросетевых СЗИ.
Разработка инструментальных средств для поддержки метода построения адаптивной СЗИ.
2. РАЗРАБОТКА АДАПТИВНОЙ МОДЕЛИ СИСТЕМЫ ЗАЩИТЫ
ИНФОРМАЦИИ
Наблюдается тенденция использования в создаваемых человеком сложных технических системах элементов организации живой природы. В частности, в области информационных технологий данная тенденция проявляется в искусственных нейронных сетях, топология которых ближе к организации нервной системы биологических систем, чем к архитектуре современных систем ИТ.2.1. Иерархия уровней системы защиты информации Как следует из предыдущей главы, биологическим системам свойственна иерархическая организация системы защиты информации. Биосистемная аналогия в структуре защиты систем ИТ базируется на иерархии СЗИ: механизмах иммунной защиты и механизмах накопления опыта в информационных полях нейронных сетей нервной системы.
Особую роль в эволюции биосистем играет нервная система как адаптивный инструмент взаимодействия с внешней средой. Нервная система - феномен самоорганизации возникла для формирования элементарных рефлексов в ответ на внешние воздействия. Т. е. рефлексия является продуктом верхних уровней информационной защиты биосистемы в результате внешнего раздражения. Информация о рефлексах сохраняется в генетической памяти на нижних уровнях информационной защиты и передается по наследству [81].
Феномен самоорганизации обусловливает целенаправленность поведения биосистемы, приводит к необходимости в системе воспитания развивает новую форму памяти в виде адаптивного информационного поля НС [91].
Переход нервной системы в качественно новую форму связан с появлением в биосистеме поведенческих реакций, свидетельствующих о развитии сложной связи между внешними воздействиями и реакцией организма. Происходит разделение информации между носителями различной природы: ДНК и нервными клетками. Поведенческая информация формируется на основе генетически передаваемых посредством ДНК поведенческих реакций, фиксируемых в информационном поле нервной системы. Однако поведенческие реакции биосистемы не ограничиваются только передаваемыми по наследству. Для них характерно накопление жизненного опыта и передача его потомкам через обучение. Результаты обучения фиксируются в ДНК для передачи в поколениях.
Построение безопасных интеллектуальных систем ИТ основано на иерархической организации информационной защиты, а также:
• биосистемной аналогии в архитектуре систем ИТ, • известных механизмах информационной защиты биосистем, а именно:
иерархия уровней защиты в биосфере: нуклеотид - кодон – ген – хромосома – ДНК -…- организм - … - биосфера, на нижних уровнях иерархии (кодон – ген – хромосома – ДНК) организовано сохранение генетической информации, реализация механизма мутаций, кодирование и декодирование информации, разделение сообщений по критерию «свой/чужой», на верхних уровнях иерархии – реализована связь системы с внешней средой через органы чувств – рецепторы и накопление опыта в НС нервной системы, изменение генетической информации связано не с изменением формы представления, а содержания информации – жизненного опыта, информационная безопасность биосистемы обеспечивается за счет адаптивности - приобретения жизненного опыта, позволяющего успешно оперировать смысловыми ситуациями, в частности, распознавать своих и чужих, выбирать поведение в сложной и постоянно изменяющейся окружающей среде, • наличии иерархии уровней информационной защиты систем ИТ:
информация в адаптивных СЗИ хранится в виде информационных полей на 2-х уровнях иерархии: внизу, как поля идентифицирующего угрозы и вверху иерархии, как поля жизненного опыта, ставящего в соответствие полю известных угроз механизмы защиты информации, нижний уровень адаптивных СЗИ – иммунный, на котором осуществляется проверка соответствия передаваемых сообщений в системе по критерию «свой/чужой», проверяется форма представления информации (контейнер), идентифицирующая информация - своя для каждой системы и связана с формой, но не содержанием информации, верхний уровень СЗИ – рецепторный необходим для связи с внешней средой и накопления опыта в виде информационного поля адаптивных перенос и наследование информации в адаптивных СЗИ – это передача информационных полей НС иммунного и рецепторного уровней, сформированных в процессе жизненного цикла некоторой системы ИТ, в последующие реализации системы (потомкам), • свойствах НС, необходимых для реализации функций информационной возможность наследования ранее накопленного опыта подобных систем в виде информационных полей нижнего и верхнего уровней адаптивных СЗИ, способность к кластеризации (расширению классификации) угроз адаптация информационного поля уровней иерархии адаптивных СЗИ, коррекция жизненного опыта адаптивных СЗИ - адаптация информационного поля уровней иерархии СЗИ, возможность анализа, коррекции и переноса (наследование) информации в СЗИ других систем.
2.2. Методика проектирования адаптивной СЗИ Метод проектирования адаптивных систем защиты информации базируется на основных свойствах НС и нечетких систем, связанных с адаптивностью, обучаемостью, возможностью представления опыта специалистов информационной безопасности (ИБ) в виде системы нечетких правил, доступных для анализа.
Возможность обучения рассматривается как одно из наиболее важных качеств нейросетевых систем, которое позволяет адаптироваться к изменению входной информации. Обучающим фактором являются избыточность информации и скрытые в данных закономерности, которые видоизменяют информационное поле НС в процессе адаптации. НС, уменьшая степень избыточности входной информации, позволяет выделять в данных существенные признаки, а соревновательные методы обучения - классифицировать поступающую информацию за счет механизма кластеризации: подобные вектора входных данных группируются нейронной сетью в отдельный кластер и представляются конкретным формальным нейроном - ФН-прототипом. НС, осуществляя кластеризацию данных, находит такие усредненные по кластеру значения функциональных параметров ФН-прототипов, которые минимизируют ошибку представления сгруппированных в кластер данных.
Метод проектирования адаптивной защиты систем ИТ включает:
1) решение задачи классификации а) угроз по вектору признаков атак и б) механизмов защиты (МЗ) по вектору угроз; производится соотнесение посылок (на нижних уровнях защиты - нечеткого вектора признаков атак, на верхних уровнях защиты - нечеткого вектора угроз) с классификационными заключениями (на нижних уровнях - выявленными угрозами, на верхних уровнях – механизмами защиты, необходимыми для нейтрализации поля известных угроз);
2) решение задачи кластеризации угроз по признакам атак и МЗ по вектору угроз как саморазвитие классификации при расширении поля угроз; производится разбиение входных векторов на группы (на нижних уровнях защиты векторов признаков атак, на верхних уровнях защиты - векторов угроз) и отнесение вновь поступающего входного вектора к одной из групп либо формирование новой группы (на нижних уровнях - группы угроз, на верхних уровнях – группы механизмов защиты, необходимых для нейтрализации поля известных угроз);
3) формирование матриц экспертных оценок для определения степени соответствия на нижних уровнях защиты - угроз признакам атаки и, на верхних уровнях защиты – механизмов защиты полю угроз;
4) представление в виде систем нечетких правил результатов решения задач П. 1 и 3, полученных в процессе нечеткого логического вывода классификационных заключений по нечетким посылкам (на нижних уровнях защиты - соотношения «признаки атаки - угрозы», на верхних уровнях защиты – соотношения «угрозы - МЗ»);
5) реализацию систем нечетких правил в виде специализированных структур - нейро-нечетких классификаторов (на нижних уровнях защиты - классификаторов «признаки атаки - угрозы», на верхних уровнях защиты – классификаторов «угрозы - МЗ»);
6) реализацию результатов решения задачи п.2 в виде четких классификаторов на основе самообучающейся НС (на нижних уровнях защиты - классификаторов «признаки атаки - угрозы», на верхних уровнях защиты – классификаторов «угрозы - МЗ»);
7) наследование (передачу) опыта адаптивной СЗИ по обеспечению информационной безопасности, приобретенного в процессе эксплуатации подобной ИТ-системы, в проектируемую СЗИ путем перенесения информационных полей четких и нейро-нечетких классификаторов (на нижних уровнях защиты - классификаторов «признаки атаки - угрозы», на верхних уровнях защиты – классификаторов «угрозы - МЗ»);
8) обучение классификаторов по П. 5, 6 на обучающей выборке – подмножестве входных векторов (на нижних уровнях защиты - векторов признаков атак, на верхних уровнях защиты - векторов угроз) с целью формирования информационных полей четких и нейро-нечетких классификаторов;
9) адаптацию в процессе эксплуатации ИТ-системы информационных полей четких и нейро-нечетких классификаторов (на нижних уровнях защиты - классификаторов «признаки атаки - угрозы», на верхних уровнях – классификаторов «угрозы - МЗ»);
10) коррекцию адаптируемых матриц экспертных оценок (п. 3) и систем нечетких правил (п. 4) по результатам адаптации;
11) формулирование новых нечетких правил в случае расширения классификации по результатам выполнения П. 2 и 9 (на нижних уровнях защиты - классификации «признаки атаки - угрозы», на верхних уровнях – классификации «угрозы - МЗ»);
12) формирование комплекса оценок защищенности ИТ-системы исходя из результатов выполнения п. 10 и распределения механизмов защиты по иерархии СЗИ;
13) анализ структуры связей нейро-нечетких классификаторов, «прозрачной» системы нечетких правил и комплекса оценок защищенности по п. 12 для выявления наиболее используемых или отсутствующих в ИТ-системе механизмов защиты;
14) формирование спецификации на разработку отсутствующих МЗ;
15) коррекция структуры системы информационной безопасности за счет расширения перечня используемых МЗ и их размещения в иерархии адаптивной СЗИ.
Порядок действий согласно методу проектирования адаптивных СЗИ может изменяться, но обязательными являются:
1) формирование матриц адаптируемых экспертных оценок и на их основе создание исходных систем нечетких правил и классификаторов (на нижних уровнях защиты - классификаторов «признаки атаки - угрозы», на верхних уровнях защиты – классификаторов «угрозы - МЗ»);
2) идентификация выявленной угрозы и при расширении поля известных угроз - кластеризация угроз с последующей адаптацией информационных полей путем обучения НС уровней защиты;
3) кластеризация вследствие изменения поля угроз сопровождается коррекцией или расширением системы нечетких правил;
4) изменение поля угроз вызывает модификацию систем нечетких правил и матриц экспертных оценок в результате обучения классификаторов уровней защиты;
5) при расширении системы нечетких правил формируется описание нового (отсутствующего) механизма защиты;
6) «прозрачность» системы нечетких правил позволяет сформулировать спецификацию на создание отсутствующего МЗ;
7) на основании анализа комплекса оценок защищенности ИТ-системы (в случае экономической целесообразности) включают новый МЗ в состав СЗИ.
2.3. Разработка иерархической модели адаптивной системы защиты информации Модель адаптивной защиты использует принцип биосистемной аналогии, в частности, иерархию системы защиты информационных процессов и ресурсов в биологической системе, согласно которой на нижних уровнях иерархии задействованы механизмы иммунной системы, а на верхних - механизмы адаптивной памяти и накопления жизненного опыта нервной системы [84].
Модель адаптивной защиты в системах ИТ характеризуется следующими атрибутами: СЗИ - многоуровневая иерархическая, использует экспертные оценки для привнесения априорного опыта в СЗИ в виде системы нечетких предикатных правил, эволюционный характер СЗИ обеспечивается, прежде всего, адаптивными свойствами нейро-нечетких сетей, реализующих систему нечетких предикатных правил.
Внизу иерархии СЗИ решается задача классификации/кластеризации атак по совокупности признаков, носящих неполный и не вполне достоверный характер. Т. е. нейронная сеть нижнего уровня СЗИ, исходя из опыта экспертов ИБ, реализует систему нечетких правил, которая описывает процесс логического вывода получения заключения (тип атаки), используя в качестве нечетких посылок векторы входных признаков.
На нижних уровнях иерархии используют аппаратно-программные средства идентификации атак, в том числе и нейросетевые [58]. Задача нечеткой классификации успешно решается с применением нейро-нечетких сетей [76, 101].
Если достоверность классификации по известным угрозам меньше некоторого уровня, то при наличии признаков атаки классификация расширяется за счет введения новой градации в классификацию – решается задача кластеризации угроз.
Кластеризация расширяет систему нечетких правил соответствующих уровне СЗИ, т. к. классифицируется ранее неизвестная угроза.
На верхних уровнях иерархии защиты для каждого эшелона многоуровневой СЗИ средства защиты информации используют результаты классификации нижних уровней иерархии в виде посылок системы нечетких предикатных правил для формирования заключений - соответствий «угрозы-механизмы защиты». То есть решается задача классификации механизмов защиты (нечеткие заключения) по вектору нечетких признаков угроз, для нейтрализации последствий которых данные МЗ предназначены.
Другими словами, для каждого эшелона многоуровневой СЗИ, используя результаты нечеткой классификации (тип атаки) в качестве посылок, системой нечетких правил описывается соответствие «угрозы – механизмы защиты», исходя из опыта экспертов ИБ. НС данного уровня СЗИ после обучения будет отражать достоверность нейтрализации заданного в отдельном правиле набора угроз соответствующим механизмом защиты рассматриваемого эшелона многоуровневой СЗИ.
Если при увеличении размерности вектора признаков угроз после обучения НС достоверность классификации по механизмам защиты (активность механизмов защиты отдельных эшелонов) меньше некоторого уровня, то при наличии признаков атаки классификация МЗ расширяется за счет введения новой градации в классификацию – задача кластеризации механизмов защиты.
После обучения нечеткой НС соответствующего эшелона анализ нечеткого правила по вновь введенному МЗ позволяет сформулировать спецификацию на отсутствующий механизм защиты.
Для эшелонов многоуровневой СЗИ на основе экспертных оценок целесообразно сформировать лингвистические переменные «частота реализации угрозы» и «потенциальный ущерб» (например, табл. 1.6 и 1.7).
Верхний уровень иерархии СЗИ также необходим для обобщения результатов (посылок) в виде активности МЗ, частоты реализации и ущерба от угрозы с целью формирования системы нечетких предикатных правил - заключений о целесообразности расширения состава активированных механизмов защиты по отдельным эшелонам СЗИ. Активация МЗ производится, если интегральные оценки, учитывающие величину потенциального ущерба, частоту реализации угроз и достоверность нейтрализации угроз данным механизмом защиты, превышают заданные пороговые значения.
2.3.1. Структура иерархической модели адаптивной СЗИ При проектировании адаптивной системы защиты информации следует учитывать комплексный характер решаемой задачи (рис. 2.1).
Связующим звеном адаптивной модели СЗИ является методика оценки защищенности ИТ-системы, которая координирует взаимосвязь классификаторов угроз и механизмов защиты (в виде НС, нечетких НС, систем нечетких предикатных правил), структурной модели СИБ, инструментальных средств расчета показателей защищенности и рейтинга ИТ-системы.
Динамичный характер поля угроз выдвигает свойство адаптивности ИТсистем в разряд первоочередных качеств, необходимой СЗИ. С другой стороны, не менее важным качеством является возможность реализации в СЗИ накопленного опыта, который овеществляется в виде информационно-полевой компоненты иерархии механизмов защиты. Однако нецелесообразно в объекте информатизации использовать всевозможные МЗ, а ограничиваются минимальным комплектом, достаточным для отражения угроз, оговоренных в спецификации на проектирование ИТ-системы.
В соответствии с заданием на проектирование системы защиты информации выбирается структурная модель СИБ в виде иерархии уровней механизмов защиты, а априорный опыт экспертов представляется массивами экспертных оценок, на базе которых формируются системы нечетких предикатных правил для классификации 1) угроз по признакам атак и 2) МЗ на поле угроз.
Системы нечетких предикатных правил для последующей адаптации и анализа представляются в виде нечетких НС, которые обучают на некотором подмножестве входных векторов признаков атаки. Одновременно обучают классификаторы в виде обычных НС таким образом, чтобы число образуемых кластеров равнялось числу правил в системе нечетких предикатных правил.
Аналогично обучают нейросетевые классификаторы механизмов защиты по векторам известных угроз.
Для исходных массивов экспертных оценок производят расчет показателей защищенности и рейтинга ИТ-системы, которые используются методикой оценки защищенности ИТ-системы для анализа и коррекции, как массивов экспертных оценок, так и функциональных параметров нейросетевых классификаторов и систем нечетких предикатных правил.
Информация в адаптивной СЗИ хранится и может передаваться в поколениях (тиражирование и последующие модификации ИТ-систем) в виде распределенных адаптивных информационных полей НС: 1) поля известных угроз иммунных уровней защиты и 2) поля жизненного опыта рецепторных уровней защиты. Процесс адаптации первых связан с решением задач классификации, кластеризации, приводящих к расширению информационного поля известных угроз на нижних уровнях иерархии СЗИ. Изменение перечня известных угроз ИБ отражается на верхних уровнях иерархии СЗИ в соответствующей модификации информационного поля жизненного опыта, реализованного в виде специализированных структур нечетких НС, которые, в свою очередь, описывается системами нечетких предикатных правил. Процесс адаптации вторых связан с обучением нечетких НС (конструктивные алгоритмы обучения), которое адекватно видоизменяет систему нечетких предикатных правил, ставящую в соответствие известным угрозам механизмы защиты информации.
2.3.2. Механизмы реализации модели адаптивной СЗИ Основным механизмом реализации адаптивных свойств СЗИ следует считать способность нечеткого распределенного информационного поля нейронной сети к накоплению знаний в процессе обучения.
Вторым по важности механизмом с точки зрения адаптивной модели СЗИ является нечеткий логический вывод, который базируется на нечетком представлении информации в НС и позволяет использовать опыт экспертов в области информационной безопасности, овеществленный в виде системы нечетких предикатных правил, для предварительного обучения нейро-нечеткой сети).
Возможность отображения системы нечетких предикатных правил на структуру СЗИ и последующее ее обучение на поле известных угроз позволяют не только устранить противоречивость исходной системы нечетких предикатных правил, но и дает возможность проанализировать сам процесс логического вывода с целью дальнейшего уточнения существующей или синтеза новой системы нечетких предикатных правил адаптивной СЗИ.
Третьим механизмом, необходимым для реализации адаптивных СЗИ, является способность нейронных и нейро-нечетких сетей к классификации и кластеризации.
Нечеткий логический вывод Нечеткие НС сочетают достоинства нейросетевых ВС и нечетких логических систем, опирающихся на априорный опыт в виде заданной системы нечетких предикатных правил. Механизм нечетких выводов основан на базе знаний, формируемой специалистами предметной области (экспертами) в виде системы нечетких предикатных правил вида:
где x и y, соответственно, входная переменная (например, угроза) и переменная вывода (к примеру, механизм защиты), а Ai и Bi - функции принадлежности семантических данных.
Нечеткое отношение R = A B отражает знания эксперта A B в виде причинного отношения предпосылки (угрозы) и заключения (механизма защиты), где операция соответствует нечеткой импликации. Отношение R можно рассматривать как нечеткое подмножество прямого произведения X Y полного множества угроз X и механизмов защиты Y, а процесс получения нечеткого результата вывода B ' по предпосылке A ' и знаниям A B - в виде композиционного правила: B ' = A ' • R = A ' • ( A B), где • - операция, например, max-minкомпозиции [102].
Логический вывод, как правило, включает следующие этапы (рис. 2.2) [76]:
1) Введение нечеткости (fuzzification): по функциям принадлежности, заданным на области определения входных НП, исходя из фактических значений НП, назначается степень истинности каждой угрозы для каждого правила;
2) Логический вывод: по степени истинности угроз формируются заключения по каждому из правил, образующие нечеткое подмножество для каждого механизма защиты;
3) Композиция: полученные на этапе 2 нечеткие подмножества для каждого механизма защиты объединяются с целью формирования нечеткого подмножества для всех механизмов защиты (по всем правилам);
4) Приведение к четкости (defuzzification): сводится к преобразованию нечеткого набора выводов по всем правилам в четкое значение итоговой защищенности системы.
Этапы логического вывода для системы нечетких правил:
проиллюстрированы на рис. 2.2 [102], где х, у и z – входные НП, соответствующие известным угрозам, w - НП вывода, соответствующая итоговой защищенности системы, а A, В, С, D, Е, F- функции принадлежности семантических данных.
1) на основании значений непрерывных переменных по семантикам A, В, С находятся степени истинности ( x 0 ) = A( x 0 ), ( y 0 ) = B( y 0 ), и ( z 0 ) = C ( z 0 ) угрозы для каждого из нечетких предикатных правил; 2) операцией min в соответствии со степенью истинности ( x 0 ), ( y 0 ), и ( z 0 ) удаляются верхние части семантик D, Е и F, формируются заключения по каждому из правил, образующие нечеткое подмножество для каждого механизма защиты; 3) операцией max производится объединение усеченных семантик и формирование комбинированного нечеткого подмножества, описываемого семантикой (w) и соответствующего логическому выводу для выходной переменной w итоговой защищенности системы ИТ; 4) определяется значение выходной непрерывной переменной, например, с использованием центроидного метода находится центр тяжести w0 для кривой (w).
Нечеткая классификация В механизме классификации адаптивных СЗИ целесообразно использовать сочетание возможностей НС и нечеткой логики. Нейронные сети и системы с нечеткой логикой имеют специфические особенности: с одной стороны, возможность обучения НС, а с другой, процесс решения задач системами с нечеткой логикой прозрачен для объяснения получаемых выводов. Объединение двух подходов в нечетких НС позволяет сочетать достоинства нейросетевых и нечетких логических систем, опирающихся на априорный опыт специалистов в области информационной безопасности.
Как следует из опыта разработки нечетких НС (таб. 2.1) [76] для целей классификации реализуют нейро-нечеткие сети типа 1, которые решают задачу отнесения нечеткого входного вектора к четкому классу, а нейро-нечеткие сети типов 2, 3 и 4 применяют для построения нечетких систем, основанных на системе нечетких правил вывода.
Рассмотрим подход к организации нейро-нечеткого классификатора, использующего механизм нечеткого логического вывода для классификации МЗ по нечетким векторам угроз нейронной сетью с нечеткими связями [101].
Механизм нечеткого логического вывода основан на базе знаний, формируемой экспертами информационной безопасности в виде системы нечетких предикатных правил вида:
где xi и y j - нечеткие входные переменные и переменные вывода, соответствующие угрозам и МЗ, а Aij и Bi, i = 1, k, j = 1, n - функции принадлежности.
Пусть задано полное пространство угроз (предпосылок) X = {~,..., ~ } и полное пространство механизмов защиты (заключений) Y = {y1,..., yn }. Между ~ и ~, i = 1...m, j = 1...n, существуют нечеткие причинные отношения xi y j ~ ~, которые можно представить в виде матрицы R с элементами rij, i = 1...m, j = 1...n, а предпосылки и заключения - как нечеткие множества A и B на пространствах X и Y, отношения которых можно представить в виде: B = A • R, где • - операция композиции, например, max-minкомпозиция.
Для реализации системы нечетких предикатных правил нейро-нечеткий классификатор механизмов защиты по нечетким векторам угроз должен выполнять следующие действия:
• введение нечеткости - по функциям принадлежности, заданным на области определения входных НП, в соответствии со значением НП назначается степень истинности для каждой угрозы;
• логический вывод - по степени истинности угроз формировать заключения по каждому из правил, образующие нечеткое подмножество для каждой переменной вывода - МЗ;
• композиция - полученные на предыдущем этапе нечеткие подмножества для каждой переменной вывода по всем правилам объединять с целью формирования нечеткого подмножества для всех переменных вывода.
В полном пространстве угроз X = {~1,..., ~m } максимально число входных нечетких векторов задается всевозможными сочетаниями координат ~, i = 1...m. Каждому входному вектору из пространства X можно поставить в соответствие нечеткий ФН нейро-нечеткого классификатора, выполняющий операцию логического вывода, например, min. Отображение множества результатов логического вывода в полное пространство заключений Y = {y1,..., yn } можно реализовать посредством операции композиции, и каждому выходному вектору из пространства Y можно поставить в соответствие нечеткий ФН нейро-нечеткого классификатора, выполняющий операцию, к примеру, max.
Нейро-нечеткий классификатор m-мерных нормализованных векторов угроз Х с нечеткими координаторами ( x1,..., x m ) будем представлять в виде трехслойной нечеткой НС (рис. 2.3), в которой:
• первый слой содержит m, по числу координат входного вектора угроз, нечетких ФН с комплементарными нечеткими связями, формирующих m пар нечетких высказываний вида: x i есть S, xi есть L, i = 1...m ;
• средний слой содержит до 2m нечетких ФН, выполняющих операцию логического вывода (например, min) над сочетаниями НВ 1-го слоя НС для формирования системы нечетких классификационных заключений;
• выходной слой содержит n, по числу координат выходного вектора, нечетких ФН, выполняющих операцию композиции (например, max) над классификационными заключениями 2-го слоя НС для формирования n-мерных векторов Y выходных нечетких заключений ( ~1,..., ~n ).
Нечеткие ФН 1-го слоя формируют комплементарные пары значений истинности для входных НП ~i координат входного вектора угроз Х.
При заданном значении координаты вектора угроз Х на отрезке области определения каждому значению НП соответствует значение ординат функций принадлежности S (small) и L (large), которые в сумме дают 1 (рис. 2.4).
Рис. 2.2. К иллюстрации процедуры логического вывода Рис. 2.3. Нейро-нечеткий классификатор Рис. 2.4. Функции принадлежности комплементарной нечеткой связи Пара функций принадлежности, например S и L, образуют две нечеткие связи, составляющие одну комплементарную нечеткую связь.
Если во 2-м слое нечеткой НС содержится максимальное число нечетких ФН «И», то промежуточный вектор нечетких заключений будет содержать всевозможные нечеткие классификационные заключения, которые могут следовать из всех возможных векторов угроз.
Третий слой нечеткой НС образован из нечетких нейронов «ИЛИ» (по числу нечетких заключений ~ j, j = 1...n ) и формирует вектор выходных нечетких заключений в соответствии с заданной экспертами информационной безопасности системой нечетких предикатных правил.
Последующее обучение нейро-нечеткого классификатора МЗ по нечетким векторам угроз может производиться по алгоритмам адаптации нейро-нечетких сетей, в частности с использованием механизма нечеткой связи. Обучение нейро-нечеткого классификатора на наборе векторов известных угроз (обучающая выборка) позволит выявить возможную противоречивость системы нечетких предикатных правил и устранить из структуры НС незначащие связи (неточные заключения в системы нечетких правил) [76, 102].
Введение избыточности в информационные поля нейросетевых классификаторов СЗИ Обратной стороной специализации слоев нечеткой НС, обеспечивающей структурную «прозрачность» информационного поля нейро-нечеткого классификатора СЗИ, является отсутствие информационной избыточности, что негативно сказывается на функциональной устойчивости и защищенности информационных полей НС к деструктивным воздействиям.
При сохранении специализации отдельных слоев нейро-нечеткоих сетей в соответствии с правилами нечеткого логического вывода, удобной для последующего анализа, необходимо ввести избыточность в информационное поле нейро-нечеткого классификатора. Избыточность информационного поля создает предпосылки для распределенного хранения информации в структурированных полях нечеткой НС в виде системы комплементарных нечетких связей [118], а структурная специализация слоев ФН в нечетких НС позволяет анализировать результаты обучения информационных полей НС.
Систему нечетких правил логического вывода можно отождествлять с формальным описанием логических преобразований нечетких высказываний (НВ). В качестве аппарата для формализации преобразований над НВ можно использовать аналог нормальных форм для четких высказываний в виде дизъюнктивной (ДНФ) и конъюнктивной (КНФ) нормальных форм. Причем НВ на выходе функции S соответствует инверсному значению некоторой нечеткой переменной, а L – прямому значению той же переменной (рис. 2.5).
Если применить подобный подход комплементарного дублирования и к скрытым слоям нейро-нечеткой сети, то можно добиться формирования взаимопротивоположных результатов, как для этапа логического вывода, так и этапа композиции, что позволяет увеличить избыточность информационных полей нейро-нечеткого классификатора (рис. 2.6).
Представляется целесообразной также следующая форма введения избыточности в информационное поле нейро-нечеткого классификатора – увеличение размерности входных данных путем добавления к входному вектору Х вектора Z текущего состояния СИБ (рис. 2.7).
Подобная коррекция структуры СЗИ вызывает не только увеличение размерности входных данных классификатора, но и расширяет систему нечетких правил логического вывода, которая учитывает не только координаты входного вектора Х, но и координаты вектора Z текущего состояния СИБ, что, в свою очередь, также приводит к возрастанию избыточности информационного поля нейро-нечеткого классификатора. В процессе работы классификатора производится не только идентификация вектора Y по векторам X и Z, но и формируются предложения С по изменению состояния системы.
Рассмотрим модель (рис. 2.8) адаптивной системы информационной безопасности, в которой отражены изменения в структуре уровней защиты, аналогичные приведенным на рис. 2.7.
Для иммунного уровня защиты координаты вектора Z могут отражать системные характеристики ИТ-системы, к примеру, такие как:
• тип установленного программного обеспечения и обновлений к нему, • работающие сервисы, • поддержка многозадачности, • поддержка многопользовательского режима, • наличие в ИТ-системе таких устройств ввода/вывода информации, как дисководы, CD, DVD-приводы, USB-порты и пр., • наличие устройств «горячей» замены, к примеру, RAID массивов, других средств резервного копирования информации, • возможность беспроводного доступа в систему и пр.
Для рецепторного уровня защиты координаты вектора Z могут отражать структурные характеристики СЗИ, к примеру, такие как:
• множество используемых в СЗИ механизмов защиты, • распределение МЗ по иерархии СЗИ, • активность уровней иерархии СЗИ, • активность используемых в СЗИ механизмов защиты, • показатели защищенности ИТ-системы, включая рейтинговые и пр.
Рис. 2.5. Входной узел нейро-нечеткого классификатора Рис. 2.6. Структура избыточного нейро-нечеткого классификатора Рис. 2.7. Коррекция иерархического уровня нейро-нечеткого классификатора Наличие регистров состояния в составе иерархических уровней СЗИ приводит к существенному возрастанию избыточности информационных полей НС, как за счет увеличения размерности входных векторов классификаторов, так и последующего приведения формальной записи системы нечетких правил логического вывода к аналогу совершенной формы (например, СовДНФ).
Анализ информационных полей обученных нечетких НС классификаторов уровней адаптивной защиты, сформированных с учетом текущего состояния ИТ-системы и СЗИ, позволяет оценивать влияние отдельных координат векторов X и Z на вектор Y (например, на идентификацию угроз).
В частности, на иммунном уровне защиты целесообразно при идентификации угроз учитывать состояние ИТ-системы, включая аппаратно-программную составляющую СЗИ, а на рецепторном уровне защиты - активность отдельных МЗ, уровней СЗИ, показатели защищенности ИТ-системы.
Накопление опыта в адаптивных СЗИ Накопление опыта в информационных полях нейро-нечетких классификаторов, входящих в состав иерархических уровней адаптивных СЗИ, происходит в процессе обучения нейросетевых средств защиты информации.
Рассмотрим вариант алгоритма обучения нейро-нечетких классификаторов, основанных на системе нечетких предикатных правил. Предположим, что нейро-нечеткий классификатор с размерностью входного вектора N (, например, число заданных угроз) по обучающему множеству {( x, y ),..., ( x, y )} должен реализовать некоторое отображение: y k = f ( x k ) = f ( x1k, x 2,..., x N ), k = 1,..., n, где k – размерность обучающего множества.
Для описания отображения f используем один из алгоритмов нечеткого вывода, применяя следующую систему предикатных правил для всех i = 1,.... т, где i – количество используемых механизмов защиты:
где vij - семантическое данное, соответствующее j-й уязвимости для i-го механизма защиты, - вещественное число, определяющее степень использования i-го механизма защиты в формировании значения итоговой защищенности системы.
Степень истинности i-го правила i определяется с помощью моделирования логического оператора «И», например, операцией умножения:
i = vij ( x k ). В соответствии с центроидным методом выход системы опреj деляется как: o = i z i / i, а функции ошибки для k-го предъявленk ного образца, например, как: E k = 0.5(o y ).
Для подстройки параметров системы исходных предикатных правил в нечеткой НС можно использовать градиентный метод и как в обычных НС корE k i где - константа скорости обучения.
Изначально в адаптивном уровне СЗИ формируется система нечетких предикатных правил для всех известных механизмов защиты информации { z k, k = 1, K }, также как нейросетевые средства идентификации угроз обучены на всем поле известных угроз { x p, p = 1, P }. Незаданным угрозам во входном векторе x соответствуют нулевые значения координат, а деактивированным механизмам защиты – близкие к 0 значения степени использования данного механизма защиты в формировании значения итоговой защищенности системы.
Задавая пороговые значения для величин z k, k = 1, K, можно определять, как наименее задействованные, так и эффективно используемые механизмы в обеспечении безопасности защищаемой системы.
После активации всех потенциальных механизмов защиты информации и введения дополнительных ФН в последний скрытый слой НС, соответствующий размерности вектора известных механизмов защиты, происходит расширение системы нечетких предикатных правил. Таким образом, СЗИ самостоятельно формируют правило, описывающее отсутствующий механизм защиты информации в защищаемой системе. При последующей адаптации произойдет обучение СЗИ под отсутствующий механизм защиты информации, направленный на нейтрализацию неспецифицированной угрозы x p. Анализ дополнительного нечеткого предикатного правила позволяет сформировать спецификацию на проектирование отсутствующего в системе средства или механизма защиты информации.
2.3.3. Модель адаптивной СЗИ и этапы жизненного цикла систем ИТ Целью этапов проектирования и создания системы жизненного цикла является формирование корректной (без несанкционированных возможностей) прикладной информационно безопасной системы ИТ. На начальном этапе жизненного цикла в соответствии с требованиями спецификации на проектирование системы осуществляется формирование системы ИТ и СЗИ с заданной совокупностью свойств.
Для реализации функции СЗИ, соответствующих системе нечетких предикатных правил (например, для классификации механизмов защиты), формируются адаптивные информационные поля адаптивных уровней защиты прикладной системы ИТ. Производится предэксплуатационное обучение нейронечетких классификаторов и нейронных кластеризаторов с применением корректных алгоритмов, т. е. выполняется адаптация информационных полей НС под задачи информационной защиты.
Процессы настройки (обучения) производятся в режиме адаптации системы при непосредственном участии и под контролем доверенных лиц, в частности, администратора системы ИТ. Процесс настройки завершается блокировкой режима адаптации и переводом сформированной системы в режим работы.
Многоуровневая модель информационной безопасности системы на первом этапе соответствует минимальной активации потенциальных механизмов защиты и полноте информационного поля известных угроз.
Целью этапа эксплуатации жизненного цикла системы является корректное исполнение системой заданных функций. Основной режим – работа. Предусмотрен режим адаптации функций системы защиты информации, который использует механизм адаптации для реагирования на изменение внешних факторов - происходит дальнейший рост, самообучение системы и изменение информационных полей СЗИ. Как и на предыдущем этапе, процессы коррекции функций СЗИ производятся в режиме адаптации системы при непосредственном участии администратора системы ИТ. Процесс настройки завершается блокировкой режима адаптации и переводом системы в режим работы.
Многоуровневая модель адаптивной СЗИ на втором этапе динамически пополняется путем перевода механизмов защиты из статуса «потенциальный» в статус «активированный» и привязки активированного механизма к соответствующему эшелону модели СЗИ. Увеличивается число элементов в подмножестве заданных угроз, как за счет включения элементов из множества известных угроз, так и за счет пополнения самого множества известных угроз ранее неизвестными угрозами. Возможно расширение множества потенциальных механизмов защиты за счет описания в виде нечетких предикатных правил и последующей реализации ранее отсутствующих механизмов защиты.
Целью этапа вывода системы из эксплуатации является постепенное сворачивание прикладных функций системы при корректной работе СЗИ и сохранении основных системных функций.
Модель информационной безопасности прикладной системы достигает максимального насыщения, как механизмами защиты, так и содержанием информационного поля известных угроз. Накопленный опыт СЗИ подлежит анализу и использованию (наследованию) в создаваемых ИТ-системах.
2.4. Разработка комплекса показателей для систем ИТ Применение модели адаптивной защиты, основанной на принципе биологической аналогии [3] позволяет [92]:
обеспечить близкое к оптимальному соотношение "стоимость/ эффективность" СЗИ за счет постепенного наполнения многоуровневой модели ИБ только необходимыми механизмами защиты, в динамике отслеживать наиболее задействованные механизмы защиты при изменении поля угроз, формировать спецификацию требований на отсутствующие механизмы оценивать защищенность системы ИТ через величины относительного ущерба и интегральные показатели активности распределенных по структуре СЗИ механизмов защиты.
2.4.1. Показатели защищенности системы ИТ Решение о расширении классификаций атак и механизмов защиты производится в соответствии с системой оценок достоверности нейтрализации угроз в разрезе отдельных механизмов защиты или отдельных эшелонов СЗИ и аналогичных оценок потенциального ущерба, также соотносимых с отдельными механизмами защиты или отдельными эшелонами СЗИ. Далее по тексту потенциальный ущерб будем рассматривать в относительных величинах, к примеру, по отношению к значению максимально допустимого ущерба в информационной системе хозяйствующего субъекта.
Можно использовать распределение используемого в системе ИТ подмножества механизмов защиты по эшелонам многоуровневой модели СЗИ, аналогичное изображенному на рис. 2.9 [89], учитывая, что количество механизмов защиты и требований безопасности, оговоренных в действующих стандартах информационной безопасности, превышает 250 (см., например, [100]).
Результаты экспертных оценок, а также последующего обучения нечетких НС могут быть представлены в виде матрицы достоверности «угрозы – механизмы защиты» МЕ Рис. 2.8. Модель адаптивной системы информационной безопасности Рис. 2.9. Иллюстрация распределения механизмов защиты по эшелонам где m – число механизмов защиты, n - число эшелонов СЗИ.
Активность эшелона СЗИ по нейтрализации угроз, входящих в систему предикатных правил в качестве посылок, определяется строкой интегральных показателей, представленных, например, строкой показателей значимости (как в [93]) эшелона в многоуровневой СЗИ нормированных, например, по значению максимального из x j, j = 1,..., n или Сопоставление интегральных показателей в пределах строки позволяет выявить наиболее задействованные эшелоны в многоуровневой модели СЗИ по нейтрализации поля действующих на систему ИТ угроз.
Аналогично по матрице достоверности использования механизмов защиты для нейтрализации угроз можно получить столбец интегральных показателей активности использования отдельного механизма защиты во всех эшелонах многоуровневой СЗИ для нейтрализации последствий действующего поля угроз Сопоставление интегральных показателей в пределах столбца позволяет выявить наиболее задействованные механизмы защиты в многоуровневой СЗИ.
Анализ интегральных показателей матрицы достоверности «угрозы – механизмы защиты» дает возможность обосновать целесообразность использования механизма защиты в составе соответствующего эшелона многоуровневой СЗИ.
Использование экспертных оценок и последующее отражение в структуре нейро-нечеткой сети априорного опыта экспертов ИБ сопровождается проверкой на непротиворечивость результатов опроса экспертов. Непротиворечивость оценок экспертов ИБ может быть обеспечена применением, например, метода экспертных оценок матрицы нечетких отношений [90] или метода на основе расчета максимального собственного значения матрицы парных сравнений [93].
Приведенные выше показатели будут более информативными, если учитывать не только достоверность использования механизмов защиты в структуре СЗИ, но и показатели потенциального ущерба, возникающего в результате реализации атак на систему ИТ и который может быть предотвращен системой информационной безопасности. С этой целью по аналогии с [90] оценку защищенности можно косвенно связать с предотвращением ущерба системе ИТ, и, кроме того, использовать экспертные оценки для сопоставления, с одной стороны, поля угроз ИБ с потенциальным ущербом от их реализации, с другой стороны, размера потенциального ущерба с местом реализации угрозы в структуре ИТ.
2.4.2. Методика оценки защищенности системы ИТ Для каждого эшелона многоуровневой СЗИ формируется экспертная оценка достоверности нейтрализации поля известных угроз известными механизмами защиты и потенциального ущерба, исходя из опыта экспертов ИБ. Ущерб от реализации угроз в системе ИТ следует оценивать в относительных величинах, например, по отношению к максимально допустимой для данного хозяйствующего субъекта величине. Расчет потенциального ущерба производится за определенный промежуток времени с учетом частоты активации угроз (например, табл.1.7).
1. Исходные данные (экспертные оценки) представляют в матричной форме.
Для каждого эшелона многоуровневой СЗИ оценивается достоверность нейтрализации угроз механизмами защиты с последующим формированием матрицы достоверности «МЗ-угрозы» MT i = 1,..., m – число механизмов защиты, j = 1,..., p - число известных угроз, и матрицы достоверности «угрозы-эшелоны» TE i = 1,..., p - число известных угроз, j = 1,..., n - число эшелонов СЗИ.
Для каждого эшелона многоуровневой СЗИ оценивается уровень потенциального ущерба и формируются матрицы «эшелоны-ущерб» ЕT i = 1,..., n - число эшелонов СЗИ, j = 1,..., p - число известных угроз, и матрицы «ущерб-МЗ» TМ i = 1,..., p - число известных угроз, j = 1,..., m – число механизмов защиты.
2. Для каждого эшелона многоуровневой СЗИ экспертные оценки в виде системы нечетких предикатных правил отображают в структуре нейронечетких сетей. В процессе последующей адаптации нечетких НС в составе иерархических СЗИ на обучающей выборке, соответствующей некоторому подмножеству поля известных угроз производится автоматическая коррекция системы нечетких предикатных правил, а также показателей потенциального ущерба и достоверности (истинности) нейтрализации набора угроз соответствующим эшелоном или МЗ многоуровневой СЗИ. Корректность исходных экспертных оценок может быть проверена сопоставлением элементов вышеперечисленных матриц либо сопоставлением интегральных оценок защищенности до и после процесса обучения нейро-нечетких СЗИ.
3. Интегральные оценки защищенности получают в результате операций над матрицами. В частности умножение матриц достоверности «МЗ-угрозы»
МТ и «угрозы-эшелоны» ТЕ позволяет получить матрицу «МЗ-эшелоны» МЕ – матрицу достоверности активации известных механизмов защиты, распределенных по эшелонам многоуровневой СЗИ, для нейтрализации известных угроз i = 1,..., m – число механизмов защиты, j = 1,..., n - число эшелонов СЗИ, а умножение матриц потенциального ущерба «эшелоны-ущерб» ЕТ и «ущерб-МЗ»
ТМ - матрицу потенциального ущерба «эшелоны-МЗ» ЕМ, отражающую распределение потенциального ущерба от реализации известных угроз по механизмам защиты и эшелонами многоуровневой СЗИ i = 1,..., n - число эшелонов СЗИ, j = 1,..., m – число механизмов защиты.
Промежуточные оценки в виде строки (1) и столбца (2) интегральных показателей характеризуют активность использования отдельного механизма защиты либо отдельного эшелона в рамках многоуровневой СЗИ, а также позволяют оценить потенциальный ущерб в разрезе механизмов защиты и эшелонов системы информационной безопасности.
4. Дальнейшие операции над матрицами МЕ и ЕМ дают возможность обобщить в диагональных элементах итоговой матрицы как показатель достоверности активации механизма защиты в результате атаки, так и потенциального ущерба от ее реализации.
«