|
DOI: 10.25136/2409-7543.2020.4.33736
Дата направления статьи в редакцию:
24-08-2020
Дата публикации:
13-11-2020
Аннотация:
Предметом исследования является задача анализа возможностей применения механизмов функционирования иммунной системы человека (ИмС) применительно к системам обеспечения информационной безопасности (ОИБ) в автоматизированных системах обработки данных (АСОД). Объектами исследования являются: ИмС и системы ОИБ в АСОД. Исследование в работе проводится на базе достижений системно-концептуального подхода к защите информации в АСОД, разрабатываемых в рамках финансируемого проекта РФФИ № 19-01-00383 в части создания интеллектуальных систем защиты информации на основе нейросетевых систем обнаружения атак (СОВ) и механизмов искусственных иммунных систем В работе проведен анализ на аналогию и различие между структурами ИмС и ОИБ. Особое внимание было уделено на выявление особенностей функционирования механизмов по обнаружению зловредных вторжений в эти системы соответственно. Методологические исследования выбранного направления исследований проводятся с использованием достижений в области создания СОВ, построенных с использованием искусственных иммунных механизмов, функционирующих подобно ИмС. Основным результатом проведенного исследования является вывод о том адаптивные системы обеспечения информационной безопасности, содержащие в себе средства и механизмы защиты, построенные по аналогии с иммунной системой человека, могут обеспечить успешную и эффективную защиту информации в АСОД. Особенность и важность данного вывода заключается в том, что реализовать его возможно, и это несмотря на то, что нет полной аналогии между структурами ИмС и ОИБ, более того, многие механизмы защиты реализованные в ИмС отсутствуют в системах ОИБ и наоборот.
Ключевые слова:
иммунная система, интеллектуальные системы, защита информации, обеспечение информационной безопасности, системы обнаружения вторжений, стратегии защиты информации, нейронные системы, адаптируемые системы, система обнаружение атак, программная защита информации
Abstract: The subject of this research is the analysis of possible implementation of the mechanisms of functionality of human immune system applicable to information security systems in automated data processing systems. The objects of this research are the human immune system, information security systems, and automated data processing systems. The research is conducted on the basis of achievements of systemic-conceptual approach towards information protection in automated data processing systems, developed within the framework of the project sponsored by the Russian Foundation for Basic Research No. 19-01-00383 on creation of intelligent information protection systems based on the neural network intrusion detection systems and the mechanisms of artificial immune systems. The article reviews similarity and difference between human immune system and information security systems. Special attention is given to identification of peculiarities of functionality of the mechanisms on detection of harmful intrusions into these systems respectively. Methodological research on the topic are carried out using the achievements in the area of creation of neural network intrusion detection system, built on the basis of artificial immune mechanisms that function similar to human immune system. The main result consists in the conclusion that adaptive information security systems containing the means and mechanisms of protection and built by analogy with the human immune system, may provide successful and effective protection of information in automated data processing systems. The specificity and importance of this conclusion is substantiated by the fact that it can be implemented despite the absence of full analogy between human immune system and information security system; moreover, multiple mechanism of protection implemented in human immune system are absent in the information security system, or the other way around.
Keywords: immune system, intelligent systems, information protection, information security support, intrusion detection systems, information protection strategies, neural systems, adaptable systems, attack detection system, software information protection
Введение
Проблема противодействия вторжениям (атакам) в автоматизированных системах обработки данных (АСОД), то есть атакам на информационные ресурсы этих систем непосредственно в зоне нахождения этих ресурсов, продолжает оставаться одной их важнейших в системах обеспечения информационной безопасности (ОИБ). С одной стороны, появление все
новых злонамеренных вредоносных программ, использующих все более изощренные и эффективные технологии вторжения, а с другой стороны, естественное запаздывание в реакции типовых средств противодействия атакам, нередко является залогом успешности злонамеренной атаки. Типовым средствам противодействия требуется определенное время для того, чтобы сформировать механизмы нейтрализации новоявленных злонамеренных угроз. Поэтому настоятельно встает задача формирования таких механизмов противодействия угрозам, которые бы в режиме реального времени смогли бы своевременно и адекватно среагировать на новые атаки.
В работах [1],[2],[3] предлагается использовать для этих целей системы и механизмы, аналогичные механизмам противодействия живых организмов на атаки микроорганизмов, прежде всего микробов, бактерий и вирусов - все эти механизмы являются частью иммунной системы живого организма. Поэтому в качестве образца для копирования и подражания при построении систем нейтрализации вторжений предлагается использовать иммунную систему человека, как наиболее эффективную и успешную при решении задачи защиты организма от внешних вторжений, хотя вопрос о том, является ли иммунная система человека наиболее совершенной, требует серьезных научных обоснований. Отметим, что последние сообщения о наличии бессимптомных проявлений заражения COVID-19 указывают на несовершенство иммунной системы человека: после обследования экипажа авианосца «Теодор Рузвельт» у порядка 60% членов экипажа (из 600 заболевших моряков) заболевание проходило бессимптомно [4] – речь идет о крепких здоровых мужчинах, состояние здоровья которых постоянно находится под постоянным контролем. То есть иммунная система по крайней мере у 60% населения планеты (реально существенно больше, поскольку у большинства населения состояние здоровья намного хуже, чем у военных моряков США) просто оказалась неспособной выявить наличие массированной уничтожающей атаки на организм, оказалась «слепой и глухой». «В отношении COVID-19 мы узнаем, что скрытность в форме бессимптомной передачи является секретным оружием этого врага», — заявил контр-адмирал ВМФ США Брюс Джиллингем [4]. Тем не менее, за неимением ничего лучшего с точки зрения противодействия чужеродным вторжениям выбрана иммунная система человека в качестве образца для подражания, то есть в качестве аналога.
Заметим, что в указанных выше работах [1],[2],[3] используются лишь отдельные вырезки и фрагменты из иммунной системы человека.
В данной работе проводится анализ возможности формирования аналога иммунной системы (ИмС) человека в максимальной ее конфигурации в системах информационной безопасности, которые реализуются с помощью искусственных иммунных систем (ИИС), и прежде всего в тех ее подсистемах, которые связаны с противодействием вторжениям. Отметим, что элементы используемого авторами подхода к построению систем обеспечения информационной безопасности представлены в работах авторов [5],[6],[7] на базе системно-концептуального подхода. В этих положена основа приоритетного направления по дальнейшей разработке теоретических и практических основ построения интеллектуальных систем защиты информации на основе искусственных интеллектуальных систем обнаружения атак на базе системно-концептуального подхода, с применением методов моделирования, обобщения, сравнения, анализа, синтеза и алгоритмизации. В данной работе проводится анализ функциональной структуры иммунной системы человека как механизма противодействия чужеродным вторжениям.
Основная часть.
Для анализа общей функциональной структуры иммунной системы человека как механизма противодействия чужеродным вторжениям, прежде всего, проведем сравнительный анализ понятийной базы в сфере иммунологии и в сфере ОИБ.
Одним из фундаментальных параметров классификации является разделение всех механизмов защиты, имеющихся в иммунной системе, на врожденные и адаптивные (приобретенные) [8]. Применительно к системам ОИБ данное деление равносильно разделению всех механизмов ОИБ на тех, которые формируются в системе защиты на стадии ее разработки и создания - аналог врожденным механизмам, и механизмы, которые внедряются в систему ОИБ на стадии ее эксплуатации - аналог адаптивных механизмов ИмС. Однако, в этом плане имеются очень важные отличия между ИмС и системами ОИБ, реализованными с помощью ИИС. Именно, врожденные механизмы ИмС существенно отличаются от адаптивных; в частности, во врожденной подсистеме ИмС отсутствует память, и поэтому при повторном появление в организме антигена (то есть инфекций, инвазий, паразитов, микробов и т.п.), с которым организм уже встречался в прошлом, врожденная ИмС повторяет весь прежний цикл защиты, как будто встречается с этим антигеном впервые. В адаптивной же подсистеме ИмС имеется память об антигенах, с которыми организм сталкивался в прошлом. В системах ОИБ различия между встроенными и специфическими механизмами защиты по существу отсутствуют: практически любой из существующих механизмов защиты в системах ОИБ может быть реализован как на стадии создания системы, так и в процессе ее эксплуатации. Отметим, что память, как элемент технологии защиты в системах ОИБ, обычно имеется в виде баз данных (БД) в антивирусных программах, БД по прецедентам и др.
Более того, врожденные механизмы ИмС обладают очень богатой и содержательной внутренней инфраструктурой, включающей большое количество специфических объектов, аналоги которых в системах ОИБ вообще отсутствуют. Поэтому необходимо провести функциональный анализ всех компонентов врожденной ИмС с целью выявления их специфических функций, как компонентов системы защиты организма от чужеродных агентов внешней среды и возможности формирования их аналогов в системах ОИБ, а также аналогичные ИмС схемы функционирования и взаимосвязи этих объектов.
Перечислим основные компоненты врожденной ИмС [8, 9], аналоги которых возможны в системах ОИБ: непосредственно физическая оболочка, само тело и его компоненты (кожа, слизистая оболочка, кашлевой рефлекс); химический барьер (уровень кислотности pH, жирные кислоты); система комплемента, как внеклеточный элемент врожденной ИмС; лихорадка, интерфероны, другие вещества, высвобождаемые лейкоцитами; молекулы, распознающие структуру патогенов; белки сыворотки (β-лизин, фермент лизоцим, полиамины, кинины; фагоцитирующие клетки (гранулоциты, макрофаги, микроглиальные клетки центральной нервной системы). Как видно из приведенного перечисления, врожденная ИмС существенно сложнее существующих встроенных механизмов систем ОИБ. Возможно, создание аналогов многих из перечисленных компонентов ИмС в системах ОИБ позволит существенно повысить уровень обеспечения информационной безопасности в современных АСОД. Данный вопрос требует дальнейшего анализа.
Ниже из перечисленного перечня объектов ИмС выбраны только наиболее важные и востребованные с точки зрения целей данной работы. Отметим, всюду ниже, слово «микроб» используется как единый термин как для микробных, так и для вирусных объектов.
Сравним теперь адаптивные механизмы ИмС и систем ОИБ. Прежде всего, по терминам. Одним из основных понятий адаптивной ИмС является понятие антигена - чужеродного вещества или структуры, которые способны вызывать иммунный ответ, то есть агрессивную реакцию на это вещество/структуру иммунной системы, нацеленную на нейтрализацию (обычно, уничтожение) этого объекта. Теоретически любая молекула может быть антигенной, попав в организм, который воспринимает ее как чужеродную и дает на нее иммунный ответ. Аналогом антигена в системах ОИБ является понятие угрозы (атаки, вторжения).
Следующим важным понятием является понятие антитела (иммуноглобулина) - специальные белки (глобулины), которые «прилипают» к микробам и вызывают их гибель. Также антитела могут нейтрализовать некоторые токсины. В системах ОИБ прямого аналога антителу нет. Более того, пока и не может, поскольку ИмС и системы ОИБ реализованы на основе различных принципов управления. Система ОИБ реализуется на основе принципа централизованного управления, когда все процессы в системе находятся под полным контролем некоторого специального центра управления. Иммунные системы реализованы на основе одного из вариантов распределенного децентрализованного управления, когда имеется множество самостоятельных агентов со своими механизмами адаптивного реагирования (в том числе и управления) и один из центров управления (в ИмС человеческого организма их несколько) влияет на эти агенты через среду, в которой они находятся. Децентрализованное управление имеет более высокий уровень адаптивности по сравнению с централизованной, существенно проще в управлении, но сложнее по структуре, медленнее в реакции.
Отличие принципов управления определяется, прежде всего, масштабами деятельности. ИмС непрерывно противостоит огромному количеству атак (чужеродных агентов) самого разнообразного характера (микробы, бактерии и вирусы, паразиты, насекомые, химические вещества, механические предметы, физические поля и облучения, мутированные клетки организма и др.), в то время как атаки в системах ОИБ происходят существенно реже. Кроме того, в системах ОИБ время реакции является существенно более значимым фактором, чем в системах ИмС. Также укажем, что на платформе управления на основе химических агентов сформировать централизованную систему управления процессом защиты живого организма практические невозможно. Создание же децентрализованных механизмов управления в системах ОИБ представляет интерес, прежде всего, для противодействия угрозам, которые типовая система ОИБ не выявляет и которые совершают свое злонамеренное действие безнаказанно: при наличии большого числа разнообразных относительно самостоятельных стражей-агентов существенно возрастает вероятность обнаружения и выявления угроз, которые ранее совершенно бесследно проникали в систему обработки данных и беспрепятственно исчезали из нее. Однако, пока концепций построения подобных децентрализованных (либо гибридных) систем управления нет.
Сравним теперь основные элементы ИмС и систем ОИБ, непосредственно противостоящих вторжениям. В ИмС этими основными элементами являются естественные барьеры - кожа, слизистая оболочка и т.д. Применительно к системам ОИБ прежде всего, выделим три основные возможные среды проникновения вторжений: физическая, связанные с кражей и хищением материальных ценностей; информационная, связанная с локальными и глобальными сетями; и полевая среда, связанная с физическим, прежде всего, электромагнитные излучения и наводки (искусственные помехи, несанкционированное вещание и передача сигнальной информации). Тогда аналогами естественных барьеров в системах ОИБ являются: в физической среде - внешние ограждения, двери, окна и их проемы, крыша, подвал; в информационной среде – программно-аппаратные средства межсетевого экранирования; для полевой среды - средства экранирования помещений и сооружений, пассивные подавители и установщики помех).
Если антигену удается преодолеть эти препятствия, то он сталкивается с иммунными клетками ИмС. Основные функции распознавания и реагирования выполняют лимфоциты. Выделим следующие основные иммунные клетки, а также опишем возможные их аналоги в системах ОИБ.
Прежде всего, основные типы иммунных клеток, которые первыми встречают опасность, выявляют ее и сигнализируют ИмС о вторжении, являются:
1. Т-хелперы, входящие в группу Т-лимфоцитов; их функция заключается в распознавании конкретных видов микробов и вирусов. Применительно к системам ОИБ аналогами являются подсистемы контроля доступа в информационную систему, в том числе системы идентификации и аутентификации.
2. Базофилы – клетки, участвующие в аллергических реакциях. Но при появлении инородных объектов реагируют на них как на аллерген, выделяя большое количество сигнальных веществ (цитокинов) и привлекая этим другие иммунные клетки в очаг воспаления. Таким образом, базофилы выполняют главным образом сигнальную функцию. Аналогами в системах ОИБ можно считать средства информирования всех ответственных сторон (программно-аппаратных модулей) и субъектов о возникновении нетиповой ситуации, которая может быть вызвана также несанкционированным вторжением. Однако, в системах ОИБ данная функция обычно не отделена от процедур контроля состоянии систем обработки данных и ОИБ. С учетом опыта и эффективности работы иммунной системы, возможно целесообразно выделить указанную сигнальную систему в отдельную модель.
3. Т-киллеры, которые уничтожают зараженные вирусами клетки, чтобы остановить развитие инфекции. Опять же, данная функция в системах ОИБ, связанная с блокированием и возможным уничтожением зараженных программных модулей, их обновлением, заменой, не используется столь активно, как в ИмС. Поэтому, целесообразно провести анализ ввозного выделения данной функции в виде отдельного самостоятельного программно-аппаратного модуля.
4. Т-супрессоры регулируют силу и продолжительность иммунной реакции. То есть контролируют объем выделенных ресурсов на нейтрализацию возникшего вторжения, а также фиксируют факт успешной нейтрализации атаки и возможности отключения средств и ресурсов, выделенных для противодействия вторжению. В точности та же задача решается и в системах ОИБ. Однако, принципиальным отличием решения данной задачи в системах ОИБ является централизованное решение данной задачи, в то время как в ИмС данная задача решается самостоятельно каждым Т-супрессором. Таким образом, прямых аналогов Т-супрессорам в системах ОИБ нет и не может быть в силу централизованного принципа управления в них. Данный вопрос выше обсуждался. При появлении систем ОИБ с децентрализованными механизмами управления в них аналоги Т-супрессоров могут быть созданы в них.
5. В-лимфоциты предназначены для уничтожения чужеродных микробов и вирусов. Механизм их работы: вырабатывают (синтезируют) специальные белки - антитела, которые «прилипают» к микробам и вызывают их гибель. Также антитела могут нейтрализовывать некоторые токсины. В системах ОИБ их возможными аналогами являются различные средства нейтрализации и уничтожения вторжений
6. Натуральные киллеры (NK-клетки). Эти клетки находят и убивают клетки, пораженные вирусами, и раковые клетки. В отличие от Т-киллеров, которые относятся к системе адаптивного иммунитета, NK-клетки относятся к системе врожденного иммунитета. В современных системах ОИБ им аналогов нет. Для реализации идеологии ОИБ, предполагающей наличие аналогов натуральных киллеров, необходимо разбиение крупных программных систем на большую совокупность отдельных автономных модулей, и наличие механизмов восстановления отдельных модулей в случае их заражения злонамеренными программами, повреждения и т.п. Многие существующие программные системы не удовлетворяют описанным требованиям модульного построения. Поэтому в ближайшем будущем аналогов натуральных киллеров в системах ОИБ, по-видимому, не будет.
7. Нейтрофилы и макрофаги. Предназначены для осуществления фагоцитоза, то есть вылавливания и переваривания микробов, а также остатков погибших клеток и других чужеродных или токсичных для организма частиц. Входят в систему врожденного иммунитета – в отличие от В-лимфоцитов, входящих в систему адаптивного иммунитета. Нейтрофилы - это «отряд быстрого реагирования» в системе антимикробной защиты. Около 70% всех нейтрофилов сохраняется в виде резерва, откуда они под влия
|
Рус
© 1998 – 2024 Nota Bene. Publishing Technologies. NB-Media Ltd.
