Общая концепция выявления вторжений неизвестного типа на основе нейронных сетей

Симаворян Симон Жоржевич кандидат технических наук доцент, кафедра Прикладной математики и информатики, Сочинский государственный университет 354003, Россия, Краснодарский край, г. Сочи, ул. Пластунская, 94 Simavoryan Simon Zhorzhevich PhD in Technical Science Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University 354003, Russia, Krasnodarskii krai, g. Sochi, ul. Plastunskaya, 94 simsim@mail.ru Другие публикации этого автора     Симонян Арсен Рафикович кандидат физико-математических наук доцент, кафедра прикладной математики и информатики, ФГБОУ ВО "Сочинский государственный университет" 354000, Россия, г. Сочи, ул. Островского, 37, кв. 91 Simonyan Arsen Rafikovich PhD in Physics and Mathematics Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University 354000, Russia, g. Sochi, ul. Ostrovskogo, 37, kv. 91 oppm@mail.ru Другие публикации этого автора     Попов Георгий Александрович доктор технических наук Заведующий кафедрой Информационной безопасности, Астраханский государственный технический университет 414025, Россия, Астраханская область, г. Астрахань, ул. Татищева, 16 Popov Georgii Aleksandrovich Doctor of Technical Science Head of the Department of Information Security, Astrakhan State Technical University 414025, Russia, Astrakhanskaya oblast', g. Astrakhan', ul. Tatishcheva, 16 popov@astu.org Другие публикации этого автора

Улитина Елена Ивановна кандидат физико-математических наук доцент, кафедра Прикладной математики и информатики, Сочинский государственный университет 354003, Россия, Краснодарский край, г. Сочи, ул. Пластунская, 94 Ulitina Elena Ivanovna PhD in Physics and Mathematics Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University 354003, Russia, Krasnodarskii krai, g. Sochi, ul. Plastunskaya, 94 ulitina@rambler.ru Другие публикации этого автора

Введение

Среди множества всех возможных угроз информационной безопасности (ИБ) наиболее опасными являются угрозы, которые не фиксируются системой обеспечения информационной безопасности в автоматизированных системах обработки данных (АСОД). То есть система безопасности объекта даже понятия не имеет, что система обработки данных подверглась успешной злонамеренной атаке, на момент совершения атаки механизмов противодействия этим новым атакам практически нет. В результате объекту защиты может быть нанесён ущерб, причём величина этого ущерба может оказаться столь огромной, что может подорвать существование самого объекта защиты, особенно в условиях рыночной экономики. Причины, порождающие подобное состояние в процессе противодействия атакам, могут самыми разными, в частности, существующие средства противодействия против данной атаки неэффективны ввиду того, что возможности средств противодействия существенно слабее возможностей атаки (например, ввиду устаревания этих средств); атака является абсолютно новой по типу (например, при появлении новых компьютерных вирусов или шпионских программ, против которых существующие антивирусные программы пока не успели сформировать эффективные механизмы и процедуры нейтрализации); дефекты в самой системе обеспечения информационной безопасности.

Из вышесказанного следует, что разработка мер противодействия подобным скрытым атакам представляется весьма актуальной. Данной тематике и посвящена данная работа, в которой описывается процедура обнаружения скрытых, не выявленных атак на основе использования нейронных сетей, на базе системно-концептуального подхода ^[1].

Отметим следующие уровни (стадии) злонамеренного воздействия на активы объекта защиты. Существуют три уровня (стадии) угрозы ИБ:

1. Стадия наличия потенциально возможной угрозы, когда реальное или потенциальное злонамеренное воздействие находится вне контролируемой зоны, и объект защиты непосредственно не может воздействовать на него. Это – типовая ситуация противодействия возможным злонамеренным воздействиям, не требующая, вообще говоря, принятия неотложных мер.

2. Стадия атаки, когда угроза проникла в контролируемую зону, но ещё не добралась до зоны хранения информационных активов, представляющих ценность. Это – предаварийная ситуация, когда достаточно велика вероятность возможного проникновения атаки в зону нахождения информационных ценностей (данных ограниченного доступа). Ситуация требует принятия активных мер по нейтрализации атаки.

3. Стадия вторжения, когда атака смогла проникнуть в зону нахождения ценных информационных активов и закрытых данных и требуется принятие неотложных мер по её нейтрализации. Это - аварийная ситуация, и решающим фактором в этой ситуации является время реакции системы обеспечения ИБ на объекте защиты.

Наиболее опасным является такое состояние вторжения, когда не всякое вторжение может быть обнаружено, и, следовательно, целенаправленно нейтрализовано. Работ по описанной тематике в открытой печати относительно немного, укажем на работы ^{[2 - 4]}. Отметим также работы ^{[5, 6]} авторов данной статьи.

Основная часть

1. Процедура выявления вторжений на основе нейронных сетей.

Нейронные сети, которые мы рассматриваем в данной статье, имеют многоуровневое строение (слои). Напомним, что нейронная сеть (НС) представляет собой ориентированный граф, каждая дуга имеет свой вес ^{[6, 7]}. Основная суть работы алгоритма НС заключается в пересчёте этих весов на основе полученных входных данных. На выходе НС мы имеем число от 0 до 1, указывающие соответственно на отсутствие или наличие вторжений. Разрабатываемая нейронная сеть предназначена для ответа на основной базовый вопрос: есть (было) вторжение или нет.

Мы ограничимся рассмотрением только НС прямого действия ^{[8 - 10]}. Они линейны и иерархичны. В НС выделяем входной слой и выходной, и определённое количество промежуточных слоёв. Каждая вершина первого слоя соединяется с вершинами второго слоя, каждая вершина второго слоя связывается с каждой вершиной третьего слоя, и т.д. Параметры модели: параметры функции активации, число слоёв в НС, число вершин в каждом слое. Отметим, что наиболее распространённая функция активации – сигмоидальная. Критерием оценки качества НС является величина среднеквадратической (или дисперсионной) ошибки приближения – функция потерь. Поиск новых значений весовых коэффициентов предполагается осуществлять на основе метода градиентного спуска. Таким образом, все основные параметры нейронной сети, по которым мы будем работать, перечислены.

На вход НС подаётся совокупность всех возможных характеристик всех, перечисленных выше сущностей, способных оказать влияние на объект или систему защиты. На выходе НС получаем оценку по 10-ти бальной шкале уровня блокирования или уничтожения защищаемых данных в результате воздействия вторжения. На основе этой оценки может быть получена другая важная оценка - оценка уровня контролируемости процесса противодействия.

Одной из ключевых основ этих методов является их обучаемость. В нашем случае это обучение способности, прежде всего, выявлять абсолютно новые атаки, реализованные в виде различных злонамеренных файлов – шпионских программ, вирусов, троянских коней и др. Для этого система должна, прежде всего, найти этот зловредный файл. Мы рассматриваем ситуацию, когда существующие программы по обеспечению ИБ найти этот файл не смогли.

Первым шагом построения НС является формирования перечня входных параметров сети. Для этого прежде всего перечислим все основные сущности, участвующие в процессе выявления вторжения: 1) Вторжение/атака; 2) Система обработки данных (информационная система); 3) Система обеспечения ИБ; 4) Организационно-техническая среда, включающая персонал и все техническое и документальное обеспечение, связанное с его работой. Последняя сущность особо важна в случае проникновения на объект защиты с использованием физической среды, хотя даже в атаках с использованием только информационной среды данная сущность имеет определённую важность; например, в вопросах готовности инфраструктуры АСОД. Общая структура стационарной взаимосвязи всех перечисленных сущностей приведена на рис. 1.

Рис. 1. Взаимосвязь сущностей – участников процесса обнаружения вторжений

2. Формирование системы входных показателей.

Проведём анализ состава набора параметров, характеризующих каждую сущность, представленную на рис. 1. Методы их количественного измерения обсуждаются ниже.

1. Первая сущность «Вторжение/атака»:

1.1. Предполагаемое время проникновения атаки в зону нахождения информационных активов представляющих ценность. Чем быстрее злоумышленник преодолел внешние периметры объекта защиты и прошёл данную зону, тем атака является лучше подготовленной – хорошо продумана и профессиональна организована.

1.2. Предполагаемый источник атаки. Отметим, что речь не идёт обязательно о первоисточнике. Единственно необходимо выявить возможные объекты (субъекты) на пути распространения угрозы, с помощью которых бы можно было бы заблокировать и прервать возможное дальнейшее проникновение данной угрозы. Знание источника позволит также оценить возможную степень опасности атаки, предполагаемые объекты вторжения, уровень профессионализма подготовки атаки.

1.3. Уровень опасности атаки. Знание величины или оценки данного показателя будет определять, какие из мер защиты следует, прежде всего, применять, вплоть наиболее кардинальных (например, уничтожение всех ценных активов).

1.4 Предполагаемые объекты атаки и ожидаемые уровни нанесения ущерба. Целесообразно предварительно составить перечень возможных объектов атаки в рамках объекта защиты, приведя для каждого объекта оценку среднего возможного ущерба при успешном для злоумышленника завершении атаки, а также возможные особенности атаки в случае, когда рассматриваемый объект является одной из целей атаки. Знание предполагаемых объектов атаки с оценкой ожидаемых с этими атаками рисков позволяет принять дополнительные меры по их защите. Оценки вероятностей могут оперативно уточняться по мере развития атаки/вторжения.

1.5. Допустимое время нейтрализации атаки - с учётом интенсивности атаки, описываемых перечисленными выше параметрами). Данный показатель оценивается на основе оценочных значений предыдущих показателей. Данный показатель имеет важное значение, поскольку и формирует основное требование к системам, функционирующим в режиме аварийной ситуации, - требование по временным ограничениям.

1.6. Возможные зоны проникновения вторжения внутри объекта защиты. Данный показатель также использует значения предыдущих показателей. Знание данного показателя позволяет усилить превентивные меры по изоляции и блокированию тех зон, которые вторжение «посетило» либо прошло через эти зоны. Предварительно целесообразно составить перечень всех возможных отдельных элементарных/базовых зон на объекте защиты, то есть неделимых по физической среде и по информационной среде в АСОД.

1.7. Возможные участники, в том числе неявные. Здесь под участниками понимаются не только субъекты, в частности сотрудники, но и информационные технологии, программно-аппаратные средства, которые могли способствовать успешному проникновению атаки в зону нахождения ценных информационных активов. Знание данной характеристики позволит принять дополнительные меры по немедленной изоляции этих участников. Для удобства можно также составить предварительный перечень всех потенциально возможных участников процесса обработки данных, которые могут осознанно или неосознанно способствовать успешному проникновению вторжения в зону нахождения ценных информационных активов.

Таким образом, по первой сущности сформирован состав из 7 параметров.

2. Вторая сущность – Система обработки данных (информационная система).

2.1. Средний объем перерабатываемых данных за единицу времени. Данный показатель необходим для того, чтобы оценить потери в результате реализации процедур блокировки, изолирования и прекращения обработки данных в процессе противодействия вторжению.

2.2. Средний объем буферной памяти. Объем буферной памяти определяет, насколько быстро и насколько полно можно будет выгрузить содержимое всех обрабатываемых процессов; в частности, при реализации процедуры изолирования. Более того, по технологическим и иным причинам может возникнуть необходимость завершить выполнение некоторых процессов до определённой промежуточной точки с запоминанием промежуточных результатов, что также может потребовать дополнительных объёмов памяти для их хранения. При этом может быть реализован защищённый режим выполнения этих процессов с использованием защищённой буферной памяти. Наконец, часть передаваемых данных может быть временно до разрешения ситуации сохранена в буферной памяти. Отметим, что в зависимости от ценности данных буферная память может быть дифференцирована по уровню секретности и, как следствие, иметь разные механизмы информационной безопасности. При этом все виды буферной памяти, включая память для хранения текущих открытых данных, должны быть защищены.

2.3. Объем оперативной памяти. Данный показатель может оказаться важным при срочной загрузке большого числа программных средств, связанных с процессом противодействия вторжению, а также для более эффективной и быстрой реализации процедуры изолирования программ. Кроме того, при большой памяти можно загрузить большой объем «ложных» программных средств, похожих на истинные, которые могут представлять интерес для злоумышленной атаки, с целью отвлечь вторгнувшую программу и тем самым выиграть определённое время для более эффективной организации противодействия.

2.4. Состояние операционной среды. То есть, какие программные системы и средства в момент обнаружения вторжения присутствует в информационной системе и насколько каждая из этих программных средств важно для процесса обработки в текущий момент времени. Данный показатель необходим для выработки наиболее приемлемого варианта немедленной или оперативной выгрузки части программ из операционной среды либо изменения режима их работы, что, возможно, поможет избежать злонамеренной атаки по отношению к этим программам.

2.5. Глубина проникновения вторжения в АСОД. В данном показателе, в отличие от показателя 1.6, необходимо указать степень повреждения и ограничение функционала каждой из процедур, используемых в АСОД.

2.6. Степень защищенности информационных ценностей. Прежде всего, тех информационных активов, которые могут представлять интерес для злоумышленного вторжения. Данный показатель позволит более рационально и адаптивно распределить ресурсы и усилия в процессе противодействия вторжению.

Таким образом, для второй сущности сформирован состав из 6 показателей.

3. Третья сущность - система обеспечения информационной безопасности.

3.1. Область поражения элементов системы обеспечения ИБ вторжением на текущий момент. Знание данного показателя позволит выработать наиболее приемлемую тактику противодействия вторжению. В частности, какие программно-аппаратные и иные средства не смогли обнаружить атаку, противодействовать ей и насколько долго смогли задержать ее продвижение в случае противодействия. Данный показатель позволяет оценить степень опасности вторжения/атаки и оценить возможности различных средств противодействия с целью нейтрализации вторжения либо минимизации ущерба, который может нанести это вторжение.

3.2. Ожидаемые объекты совершения атаки в АСОД с учётом имеющихся средств обнаружения и противодействия с указанием времени до начала этих атак для каждого из объектов. Данный показатель может оказаться крайне важным для оперативной корректировки процесса противодействия вторжению.

3.3. Непосредственные текущие источники распространения атаки. То есть по каким элементам АСОД и обеспечения ИБ в текущий момент проходит фронтальная линия движения вторжения в зону нахождения ценных информационных активов, а также в других направлениях внутри АСОД и объекта защиты. Знание данного показателя позволит значимо повысить эффективность процесса оперативного противодействия вторжению; в частности, путём привлечения дополнительных средств и механизмов защиты в элементы ИС, куда произойдёт продвижение вторжения из фронтальных элементов.

3.4. Степень готовности системы обеспечения ИБ эффективно противодействовать вторжению. Данный показатель для принятия базовых решений и соответствующих управляющих воздействий со стороны руководства/ответственных лиц по противодействию вторжению.

Таким образом, для третьей сущности получаем 4 показателя.

4. Четвёртая сущность - «Организационно-техническая система».

4.1. Степень эффективности действий элементов организационно-технической защиты в процессе проникновения вторжения. Предварительно целесообразно, как и для ряда других перечисленных выше показателей, составить перечень всех элементов организационно-технической защиты, включая персонал, входящий в состав системы организационно-технической защиты. Данный показатель позволит оценить степень эффективности действий соответствующих элементов инженерно-технической защиты в процессе обнаружения и противодействия вторжению. Этот показатель также может оказаться важным в случае покидания вторжением объекта защиты.

4.2. Готовность элементов организационно-технической составляющей системы обеспечения ИБ последующему оперативному противодействовать вторжению. Данный показатель позволяет оценить эффективности организационно-технической составляющей на текущем и последующих этапах процесса противодействия вторжению.

4.3. Уровень ценности данных по текущему вторжению. Данный показатель важен для последующего детального анализа всего процесса противодействия вторжению с целью совершенствования и повышения эффективности функционирования системы обеспечения ИБ.

Таким образом, данной сущности сопоставлено 3 показателя. В целом для системы выявления вторжений и противодействия им сформирован состав из 7+6+4+3= 20 параметров.

3. Шкалы оценки значений сформированных показателей.

Рассмотрим теперь методы измерения значений перечисленных показателей. Отметим, что при более детальном анализе многие из перечисленных выше показателей оказываются многомерными и, следовательно, измеряются векторными величинами. Как продолжение, эти параметры как входные характеристики НС, требует для себя набора входных контактов НС. Опишем наборы числовых характеристик для каждого из перечисленных выше параметров. Отметим, что отдельной задачей является разработка процедур и методов оценки значений этих показателей в конкретных условиях функционирования системы.

1. Блок «Вторжение/атака».

1.1. Данный показатель описывается двумя числовыми характеристиками

а) Среда проникновения – физическая (то есть через физический периметр организации/объекта защиты) – значение показателя равно 0, или информационный (локальная, корпоративная или глобальная сеть) – значение показателя равно 1.

б) Предполагаемое время преодоления внешних периметров объекта защиты ;

в)) Предполагаемое время преодоления контролируемой зоны до места нахождения ценных активов внутри объекта защиты .

Данные временные показатели могут быть даны также в интервальном виде. Тогда в качестве входных показателей этих величин можно середину интервала и отклонение, равное половине длины интервала. Таким образом, в зависимости от способа задания данный показатель требует 2 входных контакта НС в случае численной оценки значений и и до 4 контактов в случае интервальной оценки. Мы возьмём за основу интервальные оценки этих показателей, считая, что при числовой оценке их значений отклонения равны 0. Итого – 4 входных контакта. Последнее, в качестве единицы измерения времени, в зависимости от интенсивности атаки, могут быть взяты секунды или минуты. При некоторых типах атак время может измеряться днями, месяцами и даже годами. Например, атака на Иранский ядерный центр со стороны США развивалась в течение нескольких лет.

1.2. Обычно, однозначно назвать источник атаки достаточно сложно. Поэтому, примем, имеется набор возможных источников с соответствующими вероятностями, что это источник и непосредственно связан с данной атакой. Число возможных источников в перечне ограничим некоторой величиной, например 10. Предварительно целесообразно сформировать перечень потенциально возможных источников атак (при необходимости данный перечень может оперативно пополняться и изменяться); тогда каждый потенциальный источник получит свой порядковый номер, и этот номер будет подаваться в качестве входного значения. Таким образом, показатель 1.2 описывается набором из 20 числовых значений (10 пар – номер источника и соответствующая вероятность).

1.3. Для измерения данного показателя необходимо задать шкалу уровней опасности. В соответствии с тем, как это делается во многих аналогичных ситуациях (например, при оценке уровня опасности землетрясений), предлагается выбрать шкалу от 0 до 10. Тогда оценка будет представлять некоторое число (обычно целое или полуцелое) из указанного промежутка.

1.4. Данный показатель измеряется набор троек чисел. Каждая пара состоит из двух чисел: первое число – порядковый номер компонента объекта защиты, на который совершается атака, из заранее подготовленного перечня возможных объектов атаки; если указанного перечня нет, то приводится наименование компонента. Второе число – оценка средней величины ожидаемых потерь в случае успешной злоумышленной атаки на рассматриваемый компонент. Поскольку получить оценки потерь в денежных единицах в сфере ИБ крайне затруднительно, то предлагается оценки потерь приводить в условных единицах, например, по сто бальной шкале. Третье число – оценка вероятности атаки на данный компонент объекта защиты. Примем, что максимально возможное число компонентов, которые могут быть подвергнуты нападению при конкретной атаке, не превосходит 5 (для конкретных объектов это число возможно потребует уточнения). Тогда общее число входных контактов равно 21.

1.5. Данный параметр характеризуется двумя числовыми характеристиками: среднее время до завершения атаки и среднее отклонение от этой величины. Данный показатель может также задавать интервальной оценкой. Как было описано выше, оба типа оценок достаточно просто переводятся одна в другую. Если есть точные значения, то отклонение равно нулю. Итого: 2 входных контакта.

1.6. Для каждой зоны/элемента, куда вторжение проникло, указывает его номер по составленному перечню базовых зон либо наименование (расположение) зоны, если перечня нет. Примем, что таких зон не более 50. Также для каждой зоны приводится оценка вероятности того, что эта зона была подвергнута нападению вторжения, и оценочная величина доли поражения этой зоны в процентах, то есть по сто бальной шкале. Итого, 50*3=150 входных контактов на данный показатель.

1.7. Указываются порядковые номер возможных участников процесса проникновения вторжения и оценка вероятности его возможного участия. Принимая, что число таких участников не превосходит 10, получаем необходимость выделения 20 входных контактов на этот показатель.

Суммируя количество входных контактов по каждому показателю, получаем в итоге, что число всех входных контактов по первой сущности «Вторжение/атака» равно 218. Значения их – числовые и, возможно, также текстовые.

2. Блок «Информационная система»

2.1. Данный показатель необходимо разбить на два, один из которых связан, прежде всего, с экономическими потерями, а второй – с потерями в сфере информационной безопасности.

а) Средний объем всей обрабатываемой информации за единицу времени. Прекращение обработки данных, как было отмечено выше, потенциально может привести к экономическим потерям и издержкам. Если данный показатель достаточно сильно изменяется во времени (по дням месяца, недели, часам дня), то можно данный показатель сделать динамически изменяющимся, и при противодействии выбирать его значение, соответствующее текущему промежутку времени. Необходимо также среднее отклонение от среднего объема всей обрабатываемой информации. Итого – необходимо выделить 2 входных контакта.

б) Средний объем обрабатываемой закрытой информации разного уровня доступа (закрытости). Выделим следующие уровни секретности. Применительно к государственной тайне: 1) для служебного пользования; 2) секретную, 3) совершенно секретную; 4) особо важную. Другие виды закрытой информации: 5) коммерческая; 6) конфиденциальная; 7) служебная; 8) профессиональная. И ещё две позиции добавим для других видов закрытой информации, которые могут востребоваться в связи с необходимостью учёта специфики объекта защиты (например, информацию о научно-технических разработках) – всего 10 типов данных По каждой из перечисленных категорий данных на соответствующий входной контакт подаётся число, описывающее объем обрабатываемых данных (в мега-, гега- или терабайтах) на текущий момент. Если соответствующей категории данных нет или нет необходимости учитывать, то на входной контакт подаётся число ноль. Необходимо, также, как и выше, ввести также среднее отклонение от рассматриваемого среднего значения.

Итого получаем 2+2*10=22 входных контактов для показателя 2.1.

2.2. Объем всей буферной памяти будем измерять в терабайтах. Однако, мы выделим внутри область буферной памяти, где будут храниться закрытые данные. Теоретически эта область при необходимости может быть дифференцирована на 10 частей в соответствии с уровнями секретности/закрытости данных, перечисленным выше. Таким образом, в нашем случае данный показатель задаётся двумя входными контактами, на первый из которых подаётся число, характеризующее общий объем буферной памяти, а на второй – объем буферной памяти для хранения закрытых данных; последняя область должны иметь более сильные механизмы защиты информации.

2.3. Объем оперативной памяти измеряем в гигабайтах или терабайтах. Таким образом, данному показателю необходим один входной контакт.

2.4. Необходимо составить перечень всех используемых системных, прикладных и пользовательских программ с указанием уровня их востребованности в текущий момент времени. Целесообразно предварительно сформировать реестр всех используемых в ИС программных средств. Тогда по каждой программной системе и прикладной/пользовательской программе необходимо указать пару: номер программы в реестре используемых программных средств и уровень ее востребованности в текущий момент времени по заданной шкале; рекомендуется использовать десятибалльную шкалу. Ориентировочно предлагается выделить максимально 50 программных средств в этом перечне – применительно к конкретному объекту защиты данная величина должна уточняться. Тогда общее число входных контактов по данному показателю равно 100.

2.5. Для оценки значения данного показателя предлагается предварительно составить перечень всех выполняемых в ИС процедур и функций, исходя из утверждённого перечня программных средств, включённых в состав ИС. Оценка вероятности нарушения правильности и полноценности реализации каждой из процедур/функций в результате реализации вторжения, а также оценка доли правильности работы этих процедур (по сто бальной шкале) в этих условиях опирается на знание предыдущих показателей, прежде всего, показателя 1.6. Считая, что общее число процедур не превосходит 200, выводим: необходимо наличие 3*150=450 входных контактов.

2.6. Предлагается уровень защищенности каждого закрытого информационного актива оценить по десятибалльной шкале заранее. При обнаружении вторжения уровень защищенности данных (информационных активов), которые могут представлять интерес для вторжения, следует повысить путём подключения дополнительных механизмов защиты и затем переоценить и подправить оценки данного показателя для этих информационных активов. Предполагая, что число закрытых информационных активов не превосходит 20, получаем необходимость в предоставлении данному показателю 20 входных контактов.

Таким образом, для показателей второго блока требуется 22+2+1+100+450+20=587 входных контактов.

3. Блок «Система обеспечения информационной безопасности»

3.1. Предварительно необходимо ставить перечень всех имеющихся или доступных средств и механизмов обеспечения ИБ на объекте защиты – программно-аппаратных, технических, должностных (персонал и его функции). Применительно к текущему событию (вторжению) по каждому средству необходимо указать следующий набор показателей: а) вероятность того, что вторжение прошло через зону ответственности данного среда/механизма защиты информации, то есть вероятность того, что данное средство могло возникнуть на пути проникновения вторжения в систему; б) вероятность его бездействия либо неэффективности действия при возможном соприкосновении с вторжением либо оценку степени эффективности его участия в процессе противодействия вторжению – предлагается для оценки использовать десятибалльную шкалу; в) вероятность того, что это средство повреждено. Поскольку данные оценки должны выполняться и оперативно корректироваться в режиме реального времени, опираясь на предыдущие показатели и всю доступную информацию о вторжении, то необходимо наличие специальной подсистемы, которая бы и вычисляла значения этих характеристик. Условно предполагая, что всех средств противодействия в перечне не превосходит 50 (эта величина при практическом применении нейронной сети должна уточняться), находим, что общее количество входных контактов равно 50*4=200.

3.2. Опирается на перечни имеющихся элементов защиты и средств противодействия атаке, который дополняется перечнем зон ответственности (то есть защищаемых элементов АСОД) для каждого средства. Также необходимо указать оценки вероятности совершения атаки на каждый объект из списка элементов АСОД и оценку ожидаемого промежутка времени (в секундах или долях секунды) до момента совершения атаки. Так как всего элементов в АСОД, требующих обеспечения защиты, выше ограничено числом 100, то данный показатель требует выделения ему 100*3=300 входных контактов.

3.3. Основой для оценки данного показателя является перечень всех элементов АСОД, который дополняется для каждого элемента вероятностью того, что данный объект является фронтальным, то есть потенциальным источников продолжения атаки. Итого 100*2=200 входных контактов.

3.4. Данный показатель оценивается двумя характеристиками: оценкой (возможно, нижней оценкой вероятности успешного противодействия вторжению со стороны системы обеспечения ИБ объекта защиты и временем до принятия решений до кардинальным вопросам противодействия, включая крайнюю меру, связанную с уничтожением всех или части ценных информационных активов. Итого необходимы 2 входных контакта.

Таким образом, общее количество входных контактов для третьего блока равно 200+300+200+2= 702.

4. Блок «Организационно-техническая система».

4.1. Для оценки степени эффективности действий элементов системы организационно-технической защиты необходимо к перечню элементов системы организационно-технической защиты добавить следующие три столбца, относящиеся к каждому элементу:

а) порядковый номер элемента в перечне элементов системы организационно-технической защиты;

б) вероятность того, что данный элемент уже находился в процессе противодействия вторжению;

в) степень правильности и точности выполнения элементом своих функций; для персонала – должностных обязанностей; предлагается оценивать по десятибалльной шкале – чем больше значение показателя, тем выше уровень правильности и точности действий;

г) степень эффективности действий элемента в процессе противодействия вторжению (если показатель б) положителен); для персонала – степень профессионализма действий: предлагается измерять по десятибалльной шкале – чем выше показатель, тем эффективность действий выше.

Считая, что общее число объектов в перечне элементов организационно-технической защиты не превосходит 100, выводим, что для данного показателя необходимо иметь 100*4 = 400 входных контактов.

4.2. Схема оценки данного показателя аналогично оценке предыдущего показателя.

а) Номер элемента в перечне элементов системы организационно-технической защиты;

б) Вероятность того, что данный элемент окажется востребованным в процессе последующих (за текущим моментом) действий по противодействию вторжению;

в) уровень готовности элемента правильно и точно выполнять свои функциональные обязанности; для технических устройств и систем – степень их технической готовности; измерять по десятибалльной шкале аналогично показателю 4.1в);

г) степень ожидаемой эффективности действий элемента в процессе возможного противодействия вторжению; для персонала – уровень профессиональной подготовленности лица, занимающего рассматриваемую должность; предлагается измерять по десятибалльной шкале аналогично показателю 4.1г).

Для использования показателя 4.2 в НС, так же, как и для показателя 4.1, потребуется 400 входных контактов.

4.3. Уровень ценности собираемых данных предлагается оценивать по показателям полноты p, достоверности d и адекватности a собранных данных применительно к рассматриваемому процессу вторжения. Значение этих показателей определяется частотой сбора данных, месторасположением датчиков и программ сбора данных, эффективностью системы их последующего анализа, а также скоростью передвижения вторжения в АСОД. Показатели p, dи aпредлагается оценивать по десятибалльной шкале. В качестве результирующей оценки данного показателя предлагается выражение . Данный показатель целесообразно использовать также в процессе противодействия, поскольку он позволяет более точно оценить реальное состояние по процессе противоборства системы обеспечения ИБ с вторжением. На текущий момент достаточно наличия по одному контакту на каждый из показателей – всего 3 входных контакта.

Оценим общее число входных контактов для четвертой сущности: 1+400+400+3=803 входных контакта. Тогда общее число входных контактов нейронной сети равно: 77+597+702+803 = 2310.

Далее для построения НС необходимо оценить число промежуточных уровней и число узлов на каждом промежуточном уровне. Также необходимо описать методы подготовки входных данных, которые, как было указано выше, имеют достаточно сложное содержание и поэтому для их оценивания потребуется формирование специальных подсистем.

4. Анализ параметров конфигурации нейронной сети.

Выше, опираясь на методы системного анализа, была сформирована общая схема востребованных и используемых в НС исходных данных. Для завершения описания общей структуры НС необходимо также указать следующие ее характеристики: количество слоев в иерархической структуре НС и число вершин на каждом уровне.

Первый вопрос, который встаёт при построении НС – это сколько уровней должно быть в НС? В нашем случае входные показатели достаточно разнородны, их число весьма велико, и содержательно выходной показатель достаточно слабо связан с большинством входных показателей. Поэтому наличие одного промежуточного уровня недостаточно для того, чтобы обеспечить требуемый уровень взаимовоздействия одних показателей на значения других при их смешивании в НС. Поэтому необходимо наличие двух или более промежуточных уровней в НС. Предлагается взять НС с двумя промежуточными уровнями. Практический опыт использования НС показывает, что использование двух промежуточных уровней обычно обеспечивает требуемый уровень взаимовлияния и взаимной корректировки значений входных показателей в процессе формирования требуемого выходного показателя. Таким образом, выбираем НС в двумя промежуточными уровнями: показатели первого (входного) уровня связаны со всеми показателями второго (первого промежуточного) уровня – каждый с каждым; аналогично второго уровня связаны со всеми показателями третьего (второго промежуточного) уровня; а показатели третьего уровня с выходным показателей – четвертым уровнем.

Следующий важный вопрос – это выбор числа нейронов во втором и третьем уровнях – в промежуточных (скрытых) уровнях. Имеются эмпирические рекомендации для данной задачи, которые рекомендуют следующую процедуру выбора числа нейронов на промежуточных уровнях – правило геометрической пирамиды. Обозначим через число нейронов в i-ом слое. По этому правилу число нейронов и во втором (первом скрытом) и третьем (втором скрытом) уровнях соответственно вычисляются по формулам:

; ,. (1)

где и - округление числа aдо целого значения.

В нашем случае , . Тогда по приведенным формулам находим: , ; . Получились большие числа по сравнению с исходным количеством переменных. Поэтому данный эмпирический принцип в нашем случае, видимо дает неадекватные результаты ввиду специфики нашей сети: число входных нейронной 2179 существенно превосходит число выходных – 1. Поэтому число нейронов в промежуточных слоях следует выбирать, исходя из других соображений.

Предлагается следующий подход к выбору числа нейронов и во втором и третьем слоях. Будем считать, что для любого i, относящегося к промежуточному слою, число нейронов в среднем на % точнее на длю больше, чем в примыкающим к этому слоя слоям с номерами i-1 и i+1. То ест справедливо соотношение:

(2)

В нашем случае для промежуточных слоев получаем систему из следующих двух уравнений:

, (3)

Подставив второе соотношение в первое, получаем:

,

откуда

(4)

Тогда из (3) выводим:

(5)

Обсудим выбор значения параметра . Увеличение количества нейронов в промежуточном слое связано с рисками возникновения ситуаций, когда необходимо лучше перемешать значения (i-1)-го слоя для получения более качественного результата, но с учётом количества нейронов на следующем слое, куда будет передан результат перемешивания. Обычно в ряде других сфер для обеспечения подобных гарантий используется уровень порядка 30-33%. Поэтому, по аналогии с этими сферами, предлагается значение .

Из вышесказанного применительно к нашему случаю получаем соотношения напомним, , ):

По правилам округления получаем значение.

Для по формуле (3) находим

Отсюда

Таким образом, все основные параметры НС по выявлению вторжений оценены, что позволяет представить искомую НС в виде диаграммы. Однако, так как число на входном и скрытых уровнях достаточно велико, то нарисовать НС в виде четырехуровневого иерархического графа на бумаге формата А4 крайне затруднительно. Поэтому в работе применена несколько иная форма отображения искомой НС (рис. 2а-2г).

Рис. 2а.

Рис. 2б.

Рис. 2в.

Рис 2г.

Рис. 2а-2г. Диаграммы связей нейронной сети по выявлению вторжений: рис. 2а – общая структура диаграммы; рис. 2б – левая половина верхней части диаграммы; рис. 2в – правая половина верхней части диаграммы; рис. 2г – нижняя половина диаграммы.

Именно на рис. 2а приведён эскиз диаграммы, не котором отдельные детали трудно различимы. На рисунке 2б, 2в, и 2г отдельно приведены левая и правая половины верхней части диаграмм и нижняя е часть соответственно. При этом входной уровень разбит на две части, первая часть отображена вертикально на левой половине левой половины верхней части диаграммы, вторая половины входного уровня изображена вертикально в правой верхней половине диаграммы. Ввиду сложности изображения всех нейронов первых трёх уровней при изображении используются нейроны изображаются группами в соответствии с теми показателями, к которым относятся (в случае входных нейронов). При этом соединительные дуги от каждой группы изображаются в виде одной линии для всей группы, то есть каждая такая линия представляет собой пучок линий от каждого отдельного нейрона группы. Второй (первый скрытый уровень представлен в средней части верхней половины диаграммы и верхней части нижней половины. Таким образом, первые два уровня изображены в нестандартном виде. Остальные уровни представлены в нижней части диаграммы в традиционном виде.

5. Общая структура подсистемы выявления вторжений.

Непосредственно нейронная сеть имеет относительно простую логическую структуру. Однако, как уже отмечалось выше, её вспомогательные модули, связанные, прежде всего, с формированием входных данных, представляют довольно сложную структуру взаимосвязанных модулей, в частности, значения одних показателей используют оценочные значения других, непосредственно методы и процедуры вычисления отдельных показателей достаточно сложны как по используемым методам, так и по их интерпретации. Непосредственно сами показатели имеют достаточно сложное содержание, поэтому оценка значений многих из них является достаточно серьёзной научной задачей. Причём все вычисления должны быть в условия жёстких временных ограничений, что также накладывает дополнительные ограничения на выбор методов оценки показателей и процедуру их использования. Поэтому в рамках данной работы не представляет возможных детально описать содержание всех используемых методов и процедур. Мы ограничимся задачами выделения отдельных модулей и описания технологической взаимосвязи этих модулей.

Прежде всего, укажем, что ввиду логической близости показателей одной группы предлагается выделить четыре модуля подготовки входных данных для построенной выше НС – по одному модулю на каждую входную группу параметров (каждая группа показателей раскрывает содержание одной из описанных на рис. 1 четырёх сущностей).

Приведём вначале краткое наименование каждого из выявленных выше 20 показателей. Как отмечалось выше, оценка значения каждого из перечисляемых ниже показателей представляет собой достаточно серьёзную научную задачу.

1.1. Оценка времени проникновения атаки непосредственно к защищаемым ресурсам.

1.2. Предполагаемый источник атаки.

1.3. Уровень опасности атаки.

1.4 Предполагаемые объекты атаки и ожидаемый ущерб.

1.5. Допустимое время нейтрализации атаки.

1.6. Возможные зоны проникновения вторжения внутри объекта защиты.

1.7. Возможные участники процесса вторжения.

2.1. Средний объем перерабатываемых данных за единицу времени в текущий момент времени.

2.2. Средний объем буферной памяти на текущий момент времени.

2.3. Объем доступной оперативной памяти на текущий момент.

2.4. Состояние операционной среды.

2.5. Глубина проникновения вторжения в ИС.

2.6. Степень защищенности информационных ценностей.

3.1. Область поражения элементов системы обеспечения ИБ.

3.2. Ожидаемые объекты совершения атаки в обеспечения ИБ.

3.3. Непосредственные текущие источники распространения атаки.

3.4. Степень готовности системы обеспечения ИБ эффективно противодействовать вторжению.

4.1. Эффективность действий подсистемы организационно-технической защиты.

4.2. Готовность противодействовать вторжению.

4.3. Уровень ценности данных по текущему вторжению.

Таким образом, в системе имеется 20 подмодулей – по одному на каждый показатель. Эти модули взаимосвязаны, именно, выходные данные одного модуля могут быть использованы в качестве входных данных для другого модуля. Отметим, вся текущая информация доступна всем модулям и подмодулям.

На основе анализа содержания каждого показателя и характера их взаимосвязи и взаимозависимости построена общая схема (концепция) системы выявления вторжений, которая приведена на рис. 3. Данная система должна стать необходимой составной частью системы поддержки принятия решений в процессе обеспечения ИБ.

Приведённые на рис. 3 взаимосвязи показателей в целом, исходя из их содержательного смысла, достаточно понятны. Подробнее их обсуждение в рамках данной работы затруднительно ввиду большого объёма обсуждаемого материала; полноценный анализ этих связей предполагает желательность описания характера и количественной оценки степени влияния одного показателя на другой, что требует отдельного самостоятельного исследования. Однако отметим некоторые особенности приведённой схемы. Например, показатель 1.2 «Источник атаки» важен для оценки значений ряда других показателей: время проникновения атаки (1.1), уровень опасности атаки (1.3), возможные зоны проникновения атаки внутри объекта защиты (1.6), уровень ценности данных (4.3), на которые нацелена атака. Чем профессиональнее лучше подготовлен источник, тем меньше время он тратит на проникновение, тем опаснее атака.

Единственным показателем, который не оказывает влияние на другие, является готовность системы защиты противодействовать вторжению (4.2), но он определяется практически всей основной совокупностью остальных показателей. Также достаточно нагруженным является показатель степени готовности системы защиты противодействовать вторжению (3.4), оценка которого определяется больших набором факторов, охватываемых другими показателями.

При анализе связей во внимание принимаются следующие соображения: на основе времени скрытого проникновения атаки в систему можно сделать выводы о степени профессионализма атаки; чем выше параметры обработки данных в АСОД, тем быстрее система обеспечения ИБ может завершить обработку критической информации и затем блокировать (отключить) атаку; чем профессиональнее источник, тем он более опасен, целенаправлен и рационален в своих действиях.

Заключение

В работе разработана задача построения общей процедуры системы выявления вторжений (атак) на защищаемые информационные ресурсы АСОД на основе построения нейронной сети, предназначенной для решения задачи обнаружения ранее не выявленных вторжений. Исследование проведено на основе системно-концептуального подхода, в соответствии с которым вначале сформирован перечень всех основных сущностей – участников процесса выявления вторжений. Затем на основе этого перечня сформирован набор показателей, описывающих этих участников в процессе выявления вторжения. На следующем этапе сформирован набор измеряемых характеристик, описывающих процесс вторжения. Эти характеристики и использованы при формировании структуры нейронной сети по выявлению вторжений. Указанная структура, а также её место в системе выявления вторжений детально описаны в данной работе.

Рис. 3. Общая схема системы выявления вторжений.

Реализация разработанной в работе нейронной сети по выявлению неизвестных вторжений позволит, прежде всего, получить в режиме реального времени оценку вероятности наличия вторжения, что при реальной опасности наличия вторжения позволит оперативно предпринять меры противодействия, в том числе и из числа тех, которые перечислены в работе. Кроме того, на основе анализа результатов работы отдельных подмодулей нейронной сети можно получить ответы на многие важные вопросы апостериорного анализа системы обеспечения ИБ и её совершенствования; в частности, по потенциально опасным источникам вторжения, оценки степени готовности системы обеспечения ИБ по противодействию вторжениям, её сильные и слабые стороны, степень защищенности информационных ценностей, готовность персонала в процессе противодействия вторжениям, перечень потенциально возможных заражённых источников.

Таким образом, имеем, что общая концепция системы выявления вторжений на основе использования нейронных сетей сформирована.

Дальнейшие направления исследований авторов в рамках выполняемого гранта РФФИ № 19-01-00383 предполагают: 1) разработку требуемых технологий реализации всех модулей, приведённых на рис. 3, для эксплуатации объектов сетевой инфраструктуры ^[11]; 2) разработку модели (процесса) обучения НС ^{[12, 13]}, учитывающей специфику объекта исследования – системы выявления вторжений неизвестного типа.

Благодарности. Работа выполнена при финансовой поддержке гранта РФФИ № 19-01-00383.