Алгоритмы активного аудита информационной системы на основе технологий искусственных иммунных систем тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Кашаев, Тимур Рустамович

Актуальность темы

Обеспечение безопасности информации в современном бизнесе является одной из ключевых задач. Быстрое развитие компьютерных сетей и их объединение в глобальную сеть Интернет привело к росту числа преступлений, связанных с нарушением основополагающих принципов информационной безопасности: доступности, целостности и конфиденциальности информации. Несмотря на развитие средств защиты, таких как межсетевые экраны, количество вторжений в информационные системы компаний возрастает с каждым годом. Увеличение числа атак на ресурсы локальных вычислительных сетей (ЛВС) приводит к необходимости применения средств защиты не только на рубеже «Интернет/Интранет», но и внутри самой ЛВС. Согласно статистическим отчетам аудиторской компании Deloitte & Touche, в 2007 г. внутренним атакам подвергались более 38% опрошенных компаний. Для обнаружения атак внутри сетей используются различные классы инструментальных средств, такие как системы обнаружения атак (IDS), системы предотвращения атак (IPS), сканеры уязвимостей, комплексные системы управления безопасностью. Однако использование этих средств сегодня ограничено рядом факторов:

- высокая стоимость и сложность их развертывания и поддержки;

- низкая эффективность функционирования при наличии неизвестных атак;

- высокая нагрузка на компоненты ЛВС.

В настоящее время исследования в области защиты объектов ЛВС ведутся в направлении разработки средств «активного аудита», которые позволяют решить часть этих проблем за счет использования технологий интеллектуального анализа данных, модульности и многоагентного подхода. Вместе с тем, многие вопросы при построении этих систем, связанные с надёжностью применения новых методов и технологий и их реализацией в режиме реального времени, остаются открытыми и не до конца исследованными, поэтому тема диссертации, посвященная разработке интеллектуальных систем активного аудита информационных систем с использованием одного из перспективных направлений на основе искусственных иммунных систем, является актуальной.

Цель работы

Целью диссертационной работы является повышение эффективности процессов аудита безопасности информационной системы (ИС) на основе разработки алгоритмов и программного обеспечения интеллектуальной системы активного аудита с использованием технологий искусственных иммунных систем.

Задачи исследования

Для достижения поставленной цели в диссертационной работе решаются следующие задачи:

1. Разработка комплекса системных моделей системы активного аудита.

2. Разработка алгоритмов активного аудита ИС на основе технологии искусственных иммунных систем.

3. Оценка эффективности предложенных алгоритмов активного аудита ИС на основе технологий искусственных иммунных систем.

4. Реализация исследовательского прототипа интеллектуальной системы активного аудита ИС с использованием механизмов искусственных иммунных систем.

Методы исследования

В работе использовались методы теории принятия решений, математической статистики, системного анализа, теории распознавания образов, теории нейронных сетей и нечеткой логики, искусственных иммунных систем, теории информационной безопасности.

Научная новизна

Научная новизна работы заключается в следующем:

1. Разработан комплекс системных моделей системы активного аудита ИС с применением SADT-методологии, позволивших выделить основные бизнес-процессы, лежащие в основе её функционирования, и сформулировать требования к реализации системы, исходя из современных требований к обеспечению защищенности ИС.

2. Разработаны алгоритмы активного аудита ИС, основанные на применении технологий искусственных иммунных систем, повышающие эффективность обнаружения атак за счёт отказа от использования конечного множества сигнатур известных атак и перехода к использованию более общего принципа распознавания «свой - чужой».

3. Предложен модифицированный алгоритм генерации детекторов системы обнаружения атак, основанный на использовании генетического алгоритма, позволяющий сократить сроки обучения и повысить эффективность функционирования системы активного аудита на основе механизмов искусственной иммунной системы.

Практическая ценность

Предложенные алгоритмы построения интеллектуальной системы обнаружения атак позволяют повысить эффективность обнаружения атак, в том числе обнаружения неизвестных атак, т. е. атак, для которых не существует эталонной сигнатуры, до 85%, при этом в проведенных экспериментах ошибка второго рода не превысила 6%.

Разработанный прототип интеллектуальной системы активного аудита ИС может быть интегрирован в существующую инфраструктуру систем управления информационной безопасностью ИС, в том числе в гетерогенных ЛВС.

Исследовательский прототип интеллектуальной системы активного аудита ИС зарегистрирован в Федеральной службе по интеллектуальной собственности, патентам и товарным знакам (№2008611107 от 29 февраля 2008г.).

Основные результаты диссертационной работы внедрены в РНТИК «Баштехинформ», а также в учебный процесс Уфимского государственного авиационного технического университета на кафедре «Вычислительная техника и защита информации».

Результаты, выносимые на защиту

1. Функциональная, информационная и динамическая модели системы активного аудита И С.

2. Алгоритмы обнаружения атак в ИС на основе технологий искусственных иммунных систем.

3. Результаты экспериментальных исследований эффективности предложенных алгоритмов построения интеллектуальной системы активного аудита ИС.

4. Исследовательский прототип интеллектуальной системы активного аудита ИС с использованием технологий искусственных иммунных систем.

Апробация работы

Основные научные и практические результаты диссертационной работы докладывались и обсуждались на:

Всероссийской молодежной научно-технической конференции «Интеллектуальные системы управления и обработки информации», г.Уфа, 2003.

Научно-практической конференции студентов и молодых ученых с международным участием «Вопросы теоретической и практической медицины», г. Уфа, 2004.

7 и 8 Международных научных конференциях «Компьютерные науки и информационные технологии» (CSIT), г.Уфа, 2005; г. Карлсруэ, Германия, 2006.

2 Региональной зимней школе-семинаре аспирантов и молодых ученых "Интеллектуальные системы обработки информации и управления", г. Уфа, 2007.

3 Всероссийской зимней школе — семинаре аспирантов и молодых ученых, г. Уфа, 2008.

Публикации

Результаты диссертационной работы отражены в 13 публикациях, в том числе в 7 научных статьях, из них 1 статья в издании из перечня ВАК РФ, а также в 6 материалах докладов международных и российских конференций.

Структура работы

Диссертация состоит из введения, четырех глав, заключения, приложений и библиографического списка. Работа содержит 130 страниц машинописного текста, включая 40 рисунков и 17 таблиц. Библиографический список включает 105 наименований.

Основные результаты и выводы можно сформулировать следующим образом:

1. Современные коммерческие системы обнаружения вторжений, представленные на рынке, обладают низкой эффективностью при решении задачи обнаружения внутренних (особенно неизвестных) атак. Для решения данной проблемы необходимо применить новые подходы к построению систем активного аудита, в том числе основанные на использовании механизмов искусственных систем.

2. Разработан комплекс системных моделей системы активного аудита ИС с использованием SADT методологии, позволивших обоснованно выбрать структуру системы активного аудита и разработать алгоритм её работы.

3. На основе разработанных моделей предложены алгоритмы активного аудита ИС, основанные на применении технологии искусственных иммунных систем, что позволило существенно повысить эффективность обнаружения атак.

4. Предложен модифицированный алгоритм генерации детекторов системы активного аудита, основанный на использовании генетического алгоритма, позволивший сократить сроки обучения и повысить эффективность функционирования системы обнаружения атак на основе механизмов искусственной иммунной системы.

5. Произведено сравнительное тестирование предложенных алгоритмов активного аудита ИС на основе искусственных иммунных систем и нейронных сетей. Результаты тестирования показали преимущество использования механизмов искусственных иммунных систем при решении задачи обнаружения атак. В частности, нейронная сеть показывала лучшее значение ошибки второго рода, однако не была способна с достаточной надёжностью обнаруживать неизвестные типы атак.

6. Разработан исследовательский прототип системы активного аудита ИС на основе технологии искусственных иммунных систем. Тестирование прототипа доказало эффективность его использования для обнаружения известных и неизвестных внутренних атак. В частности, разработанный прототип позволяет обнаруживать до 85% атак, при этом ошибка второго рода в проведенных экспериментах не превышает 6%. Прототип интеллектуальной системы активного аудита ИС может быть интегрирован в существующую инфраструктуру систем управления информационной безопасностью ИС, в том числе в гетерогенных ЛВС.

ЗАКЛЮЧЕНИЕ

В диссертационной работе поставлена и решена задача разработки и алгоритмов активного аудита информационных систем на основе технологий искусственных иммунных систем.

1. Айков, Д., Фонсторх, У., Компьютерные преступления - М., 1999. - 351с.

2. Бармен С. Разработка правил информационной безопасности. М.: Вильяме, 2002. 208 с.

3. Батурин, Ю. М., Жодзишский, A.M. Компьютерная преступность и компьютерная безопасность М.: Юрид. литература, 1991. - 160 с.

4. Большаков, А.А., Петряев, А.Б., Платонов, В.В., Ухлинов, Л.М. Основы обеспечения безопасности данных в компьютерных системах и сетях. Часть 1. Методы, средства и механизмы защиты данных. СПб.: Конфидент, 1996. - 284 с.

5. Браунли, Н., Гатмэн, Э. «Как реагировать на нарушения информационной безопасности (RFC 2350, ВСР 21)» // Jet Info, 2000. С. 5.

6. Буч, Г., Якобсон, А., Рамбо, Дж. UML. Классика CS. 2-е изд./ Пер. с англ.; Под общей ред. С. Орлова — СПб.: Питер, 2006. 736 с.

7. Васильев, В.И., Катаев, Т.Р. Использование адаптивных профилей для обнаружения внутренних атак в локальных вычислительных сетях Информационная безопасность-2006. // г. Таганрог, ТРТУ, 2006, т. 1.-е. 177-180.

8. Васильев, В.И., Катаев, Т.Р. Применение нечетких сетей Петри для анализа безопасности локальной вычислительной сети // Вычислительная техника и новые информационные технологии: Межвузовский научный сборник. Вып. 6. -Уфа: УГАТУ, 2007. с. 166 - 170.

9. Васильев, В.И., Катаев, Т.Р., Свечников, Л.А. Комплексный подход к построению интеллектуальной системы обнаружения атак // Системы управления и информационные технологии, №2, 2007. — с. 76-81.

10. Внутренние ИТ-угрозы в России 2006 // Info Watch, 2006.

11. Гайкович, В.Ю., Ершов, Д.В. Основы безопасности информационных технологий М.:МИФИ, 1995 г. - 96 с.

12. Галатенко, А. В. Активный аудит // Jet Info. №8, 1999. с. 2 28.

13. Галатенко, А. В. Защитные средства Intranet // LAN Magazine / Русское издание, том 2. №8, 1996. с. 14.

14. Галатенко, А.В. «О скрытых каналах и не только», Jet Info, 2002. С. -11.

15. Галатенко, В.А. Стандарты информационной безопасности» М.:ИНТУИТ.РУ, 2004. 328 с.

16. Городецкий, В.И. Многоагентные системы: современное состояние исследований и перспективы применения // Новости искусственного интеллекта, 1996. №1. -с. 44-59.

17. Городецкий, В.И. Многоагентные системы: основные свойства и модели координации поведения // Информационные технологии и вычислительные системы. №1, 1998. с. 22-34.

18. Городецкий, В.И., Грушинский, М.С., Хабалов, А.В. Многоагентные системы //Новости искусственного интеллекта, № 1, 1997, с. 15-30.

19. Городецкий, В.И., Карсаев, О.В., Котенко, И.В. Программный прототип многоагентной системы обнаружения вторжений в компьютерные сети // Искусственный интеллект в XXI веке (1САГ 2001), изд. Физико-математической литературы, 2001. с. 280-293.

20. Городецкий, В.И., Котенко, И.В., Карсаев, О.В. Многоагентная система защиты информации в компьютерных сетях: механизмы обучения и формирования решений для обнаружения вторжений. Проблемы информатизации, №2, 2000. с. 67-73.

21. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. М.: ИПК Издательство стандартов, 2002.

22. ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. М.: ИПК Издательство стандартов, 2002.

23. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. М.: ИПК Издательство стандартов, 2002.

24. Гузик, С. Зачем проводить аудит информационных систем? // Jet Info. -2000.-№ 10.-с. 8-16.

25. Дмитриев, И.И. Как защитить корпоративную сеть // Технологии и средства связи. №5, 1999. с. 88-89.

26. Закон Российской Федерации №149-ФЗ «Об информации, информатизации и защите информации» от 27 июля 2006 года.

27. Зегжда, Д.П., Ивашко, A.M. Основы безопасности информационных систем. М.: Горячая линия; Телеком, 2000. - с. 452

28. Искусственные иммунные системы и их применение/ Под ред. Д. Дасгупты. /Пер. с англ. М,: Физматлит, 2006. - 344 с.

29. Катаев, Т.Р. Применение искусственной иммунной системы для решения задачи обнаружения атак // Материалы 3-й Всероссийской зимней школы- семинара аспирантов и молодых ученых. Уфа: УГАТУ, 2008. - С. 326-332.

30. Катаев, Т.Р. Система активного аудита // Информационная безопасность: Материалы VII Международной научно-практической конференции.- Таганрог: Изд-во ТРТУ, 2005. С. 139-142.

31. Катаев, Т.Р., Катаев, М.Ш., Федоров, С.В. Свидетельство об официальной регистрации программы для ЭВМ №2006610822 "Интеллектуальная система диагностики заболеваний щитовидной железы на основе нейросетевых технологий", 2004 г.

32. Корнеев, В.В., Гареев, А.Ф., Васютин, С.В., Райх, В.В. Базы данных. Интеллектуальная обработка информации. М.: Нолидж, 2001. — 496 с.

33. Корченко, А. Г. Построение систем защиты информации на нечетких множествах. Киев: «МК-Пресс», 2006. - 320 с.

34. Кофман, А. Введение в теорию нечетких множеств. — М.: Радио и связь, 1982.-432 с.

35. Леоненков, А.В. Нечеткое моделирование в срсде MATLAB и FuzzyTECH С-Пб.: БХВ-СПб, 2005. - 736 с.

36. Липаев, В. В. Системное проектирование программных средств, обеспечивающих безопасность функционирования информационных систем. // Информационные технологии. №11, 2000. с. 49-55.

37. Липаев, В. В. Системное проектирование сложных программных средств для информационных систем. М.: СИНТЕГ, 2002. — 224 с.

38. Литвак, Б. Г. Экспертные оценки и принятие решений. М.:Патент, 1996.- 271 с.

39. Лукацкий, А.В. Адаптивное управление защитой // Сети, №10, 1999. с.84.88.

40. Лукацкий, А.В. Обнаружение атак. СПб.: БХВ, 2001. - 514 с.

41. Люгер Дж. Искусственный интеллект М.:Вильямс, 2003. - 864 с.

42. Маккарти, Л. IT-безопасность: стоит ли рисковать корпорацией? М.: Кудиц-образ, 2004. - 208 с.

43. Медведовский, И., Семьянов, П., Платонов, В. Атака через Internet / Под ред. П.Д. Зегжды. СПб.: НПО «Мир и семья-95», 1997. - 279 с.

44. Мизина, Е.Г1. Особенности выявления и оценки информационных угроз // Безопасность информационных технологий, №2, 1999. с. 57-59.

45. Милославская, Н.Г., Толстой, А.И., Интрасети: обнаружение вторжений.- М.: Юнити, 2001.-587 с.

46. Многоагентиая технология и безопасность информационных систем / Валеев С.С., Бакиров Т.К., Погорелов Д.Н., Стародумов И.В. // CSIT'2005. Том 1. -Уфа, УГАТУ, 2005. с. 195-200.

47. Новиков, А. А., Шарков, А. Е., Сердюк, В. А. «Новые продукты активного аудита информационной безопасности» // Тезисы докладов X юбилейной конференции «Методы и технические средства обеспечения безопасности информации». СПб. 2002. - с. 153-154

48. Норкат С., Купер, М., Фирноу М., Фредерик, К. Анализ типовых нарушений безопасности в сетях. М.: Вильяме, 2001. - 464 с.

49. Осовский, С. Нейронные сети для обработки информации / Пер. с польского Рудинского И.Д. М.:Финансы и статистика, 2002. - 344 с.

50. Петренко, А.А., Петренко С.А. Аудит информационной безопасности // Связь-инвест. №10. - 2002. - с. 36-38.

51. Петренко, С.А. Управление информационными рисками компании // Экспресс-электроника. №2-3. - 2002. - с. 106-113.

52. Петренко, С.А., Симонов С.В. «Управление информационными рисками». М.: Компания АйТи; ДМК-Пресс, 2004. - 384 с.

53. Расторгуев, С.П. Использование экспертных систем для выявления попытки несанкционированного копирования данных // Защита информации. — 1992.-№3.-с. 51-68.

54. Романец, Ю.В., Тимофеев, Г1.А., Шаньгин, В.Ф. Защита информации в компьютерных системах и сетях/ Под ред. В.Ф. Шаньгииа. — М.: Радио и связь, 1999.-328 с.

55. Руководство по технологиям объединенных систем. Cisco systems. М.:Вильямс, 2002. 1039 с.

56. Сердюк ,В.А. Сбор данных системами обнаружения атак // BYTE, №2, 2003.-е. 50-57.

57. Сердюк, В.А. Классификация угроз информационной безопасности сетей связи, их уязвимостей и атак нарушителя // Информационные технологии, №9. — 2002.-е. 13-19.

58. Сердюк, В.А. Новое в защите от взлома корпоративных систем -М.Техносфера, 2007. 360с.

59. Сердюк, В.А. Перспективы развития новых технологий обнаружения информационных атак // Системы безопасности связи и телекоммуникаций, №5, 2002. с. 54-57.

60. Симонов, С.В. Аудит безопасности информационных систем // Jet Info. -№9.-1999.-с. 34-39.

61. Скиба, В.Ю., Курбатов, В.А. Руководство по защите от внутренних угроз информационной безопасности СПб. Литер, 2008. - 320 с.

62. Тарасов, В. Б. От многоагентных систем к интеллектуальным организациям. М.: ЛОРИ, 2001. - 349 с.

63. Турбачев, А. Концептуальные вопросы оценки безопасности информационных технологий // Jet Info, №5 6, 1998. - с. 42-49.

64. Управление информационной безопасностью. Практические правила // Приложение к информационному бюллетеню Jet Info 2006, 2006.

65. Холбрук, П., Рейнольде, Дж. Руководство по информационной безопасности предприятия // Jet Info, 1996. с. 10-11.

66. Черемных, С.В., Семенов, И.О., Ручкин, B.C. Моделирование и анализ систем. IDEF-технологии: практикум. М.: Финансы и статистика, 1997. - 188 с.

67. Шипли, Г. Системы обнаружения вторжений // Сети и системы связи, №11, 1999.-е. 108-117.

68. Шумский, А.А., Шелупанов, А.А. Системный анализ в защите информации М.: Гелиос АРВ, 2005. - 224 с.74. «CSI/FBI Computer Crime and Security Survey 2004». CCIPS, 200475. «Enterprise Security Survey 2004», Yankee Group, 2003.

69. D'haeseleer P., Forrest S., Helman P. An immunological approach to change detection: algorithms, analysis, and implications // Proc. IEEE Symposium on Research in Security and Privacy, Oakland, CA, May, 1996. c. 34-42.

70. A Taxonomy of DDoS Attack and DDoS defense mechanisms. J. Mirkovic -ACM SIGCOMM Computer Communication Review, 2004. c. 24-29.

71. Al-Subaie M., Zulkernine M. Efficiency of Hidden Markov Models Over Neural Networks in Anomaly Intrusion Detection // 30th Annual International Computer Software and Applications Conference (COMPSAC'06), 2006, c. 325-332.

72. Carver, C. A., et al. A Methodology for Using Intelligent Agents to Provide Automated Intrusion Response, Proc. IEEE Systems, Man and Cybernetics Information Assurance and Security Workshop, IEEE Press, 2000, c. 110-116.

73. Dasgupta D., Forrest S. Novelty detection in time series data using ideas from immunology // ISCA 5h International Conf. on Intelligent Systems, Reno, Nevada, 1996. c. 87-95.

74. Douligcris C., Mitrokotsa A. DDoS Attacks and Defense Mechanisms: Classification and State-of-the-Art. // Computer Networks T4., 2004. c. 57-65.

75. Encyclopcdia of Banking & Finance Charles J. Woelfel, Probus Publishing, 10th edition, 1994. 1220 e.

76. Forrest S., Perelson A.S., Allen L., Cherukuri R. Self-Nonself Discrimination in a Computer // 1994 IEEE Symposium on Security and Privacy, 1994, c. 202-209.

77. Frank P.M. Fault diagnosis in dynamic systems using analytical and knowledge-based redundancy // Automatica, 1990, V.26, №3, c. 459-474.

78. Hansche, S. Official (ISC)2 guide to the CISSP-ISSEP CBK / Susan Hansche. , Taylor & Francis Group, LLC, 2006. 994 c.91. http://www.ixbt.com/cpu/intel-yonah.shtml92. http://www.mono-project.com/93. http://www.w3schools.com

79. IT OSI - Basic Reference Model: The Basic Model. ISO/IEC 7498-1, 1996.

80. IT Baseline Protection Manual. Federal Office for Information Security (BSI), Germany, 2004. 154 c.

81. Kashayev, T.R. Active Audit System based on Hidden Markov Models // Computer Science and Information Technologies CSIT-2005, Ufa, USATU, 2005. c. 224 - 227.

82. Kozma R., Kitamura M., Sakuma M., Yokoyama Y. Anomaly Detection by neural network models and statistical time series analysis // Proc. IEEE International Conference on Neural Networks, Orlando, Florida, June 27-29, 1994. c. 124-132.

83. Kumar, S. Classification and detection of computer intrusions. Purdue University, 1996. 168 c.

84. NSS Group IDS Group Test Report edition 3, 2005.

85. Ourston D., Matzner S., Stump W., Hopkins B. Applications of Hidden Markov Models to Detecting Multi-Stage Network Attacks // 36th Annual Hawaii International Conference on System Sciences (HICSS'03) Track 9, 2003, c. 334-344.

86. Percus J.K., Percus O.E., Perelson A.S. Probability of self-nonself discrimination // Theoretical and Experimental Insights into Immunology, Springer-Verlag, NY, 1992. c. 43-59.

87. Risk Management Guide for Information Technology Systems, NIST, Special Publication 800-30. 34 c.

88. Tzafestas S.G. Fault Detection in Dynamic Systems, Theory and Applications. Prentice Hall, 1989. 322 c.

89. Vasilyev, V.I., Kashayev, T.R. Adaptive Profile Approach to Internal Attack Detection // Computer Science and Information Technologies CSIT-2006, Karsruhe, 2006. c. 224 - 227.

90. Wu Di, Dai Ji, Chi Zhongxian. Intrusion Detection Based on An Improved ART2 Neural Network // 6th International Conference on Parallel and Distributed Computing Applications and Technologies (PDCAT'05), 2005, c. 234-238.