Исследовательская работа «Таратылған желілерде ақпаратты қорғау модельдерін жобалау және құру»
Казақ Инновациялық Гуманитарлық – Заң Университеті
Жетекшісі: Физика-математика.ғыл.канд.доцент К.Т. Уразбаева
Магистрант: Қ.Т. Мусинов
ӘОЖ 004.056.5
ТАРАТЫЛҒАН ЖЕЛІЛЕРДЕ АҚПАРАТТЫ ҚОРҒАУ МОДЕЛЬДЕРІН ЖОБАЛАУ ЖӘНЕ ҚҰРУ
Корпоративтік желілерде ақпараттық (компьютерлік) қауіпсіздікті қамтамасыз ету мәселелері қарстырылады. Ақпараттық технологиялар (АТ) кездейсоқ және әдейі ықпал ететің айқынсыз шабуылдардан қорғау интеллектуалды жүйелерін қолдану ұсынылады Шабуылдарды анықтау үшін нейрон желісі қолданылады. Басып кіруді анықтау мәселесін шешуде деректерді интеллектуалды талдау әдісін пайдалану нұсқасы келтірілген.
Түйінді сөздер: ақпарат, интеллектуал, тетік, антивирус.
Ақпарат құралдары мен жаһандық коммуникациялық тетіктердің рөлі және ықпалы күшейе түсуде. Ақпараттық технологиялар (АТ) кездейсоқ және әдейі ықпал етудің алдында өте әлсіз болатын, тыныс-тіршілікті қамтамасыз етудің маңызды объектілерін басқаруда кеңінен қолданыс тапты. Алайда, ақпаратқа төнетін жаңа қауіп-қатерлердің болуы салдарынан АТ қолдану ақпараттық (компьютерлік) қауіпсіздікті қамтамасыз ету мәселелеріне баса назар аудармай мүмкін емес.
Корпоративтік желілерді қорғау дәстүрлі: антивирустар, осалдықтар детекторлары, желіаралық экрандар және күзет детекторлары сияқты құралдарымен қатар, қорғауды автоматтандыру құралдары пайдаланылады: оқиғалар корреляторы, бағдарлама жаңартуы, аутентификация, авторлау, әкімшілік құралдары және тәуекелдерді басқару жүйесі.
Жоғары сапалы АТ жүйелері айқынсыз, толық емес ақпарат, жүйе құрылымы мен қарым-қатынас компоненттері, процестері пайдалану кезінде өзгеруімен сипатталатын проблемаларды шешу үшін параллельді есептеулер және деректер ағынын басқару нейрондық желі арқылы қамтамасыз етілуі мүмкін. Ұқсас есептеулер адаптивті АТ жүйелері негізінде қорғалған құпиялық ақпараттың үлкен көлемін өңдеу және сақтау кезінде күрделі кешендерді басқару және ақпараттық қауіпсіздікті қамтамасыз ету қажет.
Ақпаратты қорғау интеллектуалды жүйелерін қолдану туралы басылымдарда жалпы шабуылдарды анықтау жүйелеріне арналған, әдетте, интеллектуалды құрал ретінде нейрондық желілер (НЖ), айқынсыз логика (АJI) жүйелері және сараптау жүйелері (СЖ) пайдаланылады [1].
Шабуылдарды анықтау схемаларын екі санатқа бөлінеді:
1) теріс пайдалануды анықтау;
2) аномалияларды анықтау.
Бірінші АТ жүйелерінің белгілі осалдықтарын пайдалану шабуылдарын қамтиды, ал екіншісі - АТ жүйесі пайдаланушылары үшін ерекше іс-әрекеттер. Ауытқуларды анықтау үшін пайдаланушылар немесе пайдаланушылар тобының қызметінің белгілеген үлгіден айырмашылығы анықталады. Аномалияларды анықтау әдетте бақыланатын іс-профильдер бар деректер базасын құрумен байланысты, ал теріс пиғылды анықтау - хакерлердің белгілі заңдылықтарын мінез-құлық пайдаланушының белсенділігін салыстыру арқылы табылады және шабуылдар сценарийлерін сипаттайтын ережелер негізінде әдістерін пайдаланады. Пайдаланушы әрекеттері белгiленген ережелерге сәйкес келмейтін болса, анықтау механизмі әлеуетті шабуыл анықталады.
Қиянат ету мен ауытқулар анықтау жүйелерінің көпшілігі Деннинг ұсынған модельге негізделген [2]. Модель заңды пайдаланушылар үшін профильдер жиынтығын қолдайды, аудит жүйесінің жазбаларын тиісті профилімен келістіреді, профильді жаңартады және анықталған кез келген ауытқулар туралы хабарлайды.
Аномалдық мінезді анықтау үшін жиі қалыпты жұмыс істеу режиміне пайдаланушы команда салыстыру үшін пайдаланылатын статистикалық әдістерін қолданады. Пайдаланушы әрекетін ережелер негізіндегі моделі ретінде ұсынылуы мүмкін, болжамдық шаблондар терминтерінде, немесе жағдайлардың өзгерістерін талдау тұрғысынан, ал шабуыл фактісін анықтау үшін үлгіні сәйкестендіруі әдістерін пайдаланада.
Шабуылдарды анықтау жүйелерінде нейрон желісін (НЖ) қолдану келесі нұсқаларын бөлуге болады. Сараптау жүйесіне тән жалған іске қосылулар санын азайту мақсатында қолданыстағы сараптау жүйелерінің түсетін хабарларын сүзу үшін нейрон желісімен толытыруға болады. Өйткені сараптау жүйесі тек күдікті ретінде қарастырылатын оқиғаларды алады, жүйенің сезімталдығы артады. Егер НЖ оқыту есебінен жаңа шабуылдарды сәйкестендіруге қабілетті болса, онда сараптау жүйесін, сондай-ақ, жаңарту керек. Әйтпесе, жаңа шабуылдар сараптау жүйесімен еленбейді, себебі бұрынғы ережелердің осы қауіпті тануға қабілетті жоқ. Егер НЖ шабуылдар анықтау жеке жүйесі болса, онда ол трафикті өңдейді және ондағы қауіптерді анықтау үшін ақпаратты талдайды. Кез келген жағдайда, шабуылдар сәйкестендіріледі, оларды көрсете отырып, қауіпсіздік әкімшісіне қайта бағытталады немесе шабуыл автоматты әрекет жүйесімен пайдаланылады. Бұл тәсіл жылдамдығы алдыңғы тәсіл жылмен салыстырғанда басымдыққа ие, себебі талдауға тек бір ғана деңгейі бар, ал жүйенің бейімделу қасиеті бар. НЖ сондай-ақ ақпаратты криптографиялық қорғау жүйелерде криптографиялық кілттерді сақтау үшін таратылған желілерінде қолданады.
НЖ негізгі кемшілігі талдау нәтижелерін қалыптастыру "айқын еместігі" есептеледі. Алайда, гибридті нейро-сараптамалық немесе нейро-айқынсыз жүйелерді пайдалану НЖ құрылымында айқынсыз предикатты ережелер жүйесін айқын түрде бейнелеуге мүмкіндік береді, ережелер НЖ оқыту процесінде автоматты түзетіледі. Айқынсыз НЖ бейімделу қасиеті қауіп-қатерлерді сәйкестендіру жеке өзіне алған міндеттерін шешуге ғана емес мүмкіндік береді, жүйедегі бар үлгілермен пайдаланушылар мінез-құлық салыстыру арқылы, сонымен бірге жаңа ережелерді автоматты түрде қалыптастыру, қауіп-қатерлердің өрісі өзгерген кезде, сондай-ақ ақпаратты қорғау жүйесін, техникалық жүйесін тұтастай алғанда іске асыруға болады.
Динамикалық объекттерді сәйкестендіру мақсаттары үшін көп қабатты НЖ математикалық сипаттауын және ақпараттық жүйелердің мониторингі негізінде НЖ қолдану ерекшелігін талқылауға [3] жұмысы арналған.
Ақпаратты қорғау жүйелері (АҚЖ) үшін қажетті болып табылатын айқынсыз НЖ қасиеттері:
- элементтік базасының функционалдық тұрақтылығы мен қауіпсіздікгі;
- қатерлерге жіктеу мүмкіндігі;
- «қауіп - қорғау механизмдері» айқынсыз предикат ережелері түрінде сәйкестік сипаттамасы;
- адаптивті нейро-айқынсыз АҚЖ (айқынсыз ережелер жүйелері);
- нейро-айқынсыз АҚЖ және айқынсыз ережелер жүйелері қарым-қатынастар құрылымын талдау үшін «ашықтық»;
- есептеу таратылған параллелизмі.
Ресурстардың қолжетімділігін бұзуға бағытталған бағдарламалық шабуылдар желіні қорғау үшін НЖ және генетикалық алгоритмдер аппаратын қолдану қарастырылады. Бұл ретте НЖ желілік трафикте шабуылдар белгілерін анықтау, берілетін деректердің форматтарын сәйкестендіру, алмасуға қатысушыларды динамикалық сәйкестендіру үшін пайдаланылады, ал генетикалық алгоритмдер - трафикті маршруттарын және параметрлерін басқару міндеттері оңтайлыға жақын шешім алу, деректерде айқынсыздық болуы, шабуыл ақпарат тапшылығы кезінде немесе ақпараттық "шу"жағдайында сәйкестендіру.
Өткізілген талдау бойынша мына қорытынды шығады: НЖ, айқынсыз логика жүйелері, сараптау жүйелері көмегімен ақпаратты қорғау жекелеген міндеттердің шешімі табу керек емес, ал АТ жүйелерін кешенді қорғау үшін интеллектуалды құралдарды қолдану бірыңғай тәсілін құру қажет.
Осы мақсатқа жету үшін ақпараттық қауіпсіздік мамандарының тәжірибесіне негізделген, HЖ және айқынсыз логика артықшылықтарын үздік үйлесімін біріктіру керек. Айқынсыз логикалық шығару механизмі НЖ алдын ала оқыту үшін айқынсыз предикат ережелер жүйесі түрінде көрінетін, сараптамалық тәжірибені пайдалануға мүмкіндік береді. НЖ кейінгі оқуы белгілі қауіп-қатерлер саласындағы АҚЖ айқынсыз предикат ережелері жаңа жүйенің қолданыстағы немесе синтезін түзету үшін тұжырым процесін талдау мүмкіндігін қамтамасыз етеді.
Рұқсатсыз кіруді анықтау мәселесін шешуге деректерді интеллектуалды талдау (ДИТ) пайдалану суретке сәйкес келтірілген.
Негізгі жорамал: пайдаланушы мен бағдарламалар белсенділігі туралы ақпарат толық бақыланады және оның барабар моделін салу мүмкін.
Ерекшеліктері: тарихи ақпараттың жинақталуы, қалыпты жұмысының немесе шабуылдар модельдері, жүйедегі ағымдағы белсенділіктің құрылынған моделіне сәйкестігін тексеру талдау тиімді әдістері бар.
Сурет 1 - Рұқсатсыз кіруді анықтау мәселесін шешуге ДИТ пайдалану
Бұзушылықтарды анықтау ерекшеліктері: жіктеу әдістеріне негізделген жалпыланған шабуыл моделі құрылады. Шабуыл болып саналады оқиғаның немесе оқиғалардың тізбегі модельдеріне тиісті болса.
Негізгі проблемалар:
"Мұғаліммен оқыту" - шабуылдар мысалдарына модель құрылады (олардың болуы және жалпы деректер массасынан "қолмен" бөлу қажет). Мүлдем жаңа немесе жақсы "маскировкаланған" шабуылды табуы мүмкін емес.
Аномалия анықтау ерекшеліктері: ерекшеліктер іздеу әдістеріне негізделген пайдаланушылар немесе бағдарламаларды (профиль), қалыпты қызметін жалпылама моделін құру. Моделіне сәкес емес оқиға немесе оқиғалардың тізбегі шабуыл саналады.
Басты проблемалары:
Болжамдар («мұғалімсіз оқыту») - қарапайым оқиғалар түрлі шабуылдардан ерекше, яғни барлық оқу деректерінен шабуылдар р% көп емес, мұндағы p шағын немесе 0 тең (әдетте р белгісіз). Екінші ретті қате (false positive) деңгейі жоғары.
Әзірленген және іске асырылған алгоритмдер:
Аномалияларды анықтау: оқиғалар мен олардың тізбектерінің «типтік» дәрежесін бағалау - сипаттамаларының шексізөлшемді кеңістіктерінде айқынсыз кластерлеу.
Бұзушылықтарды анықтау: Гибридті әдісі - Айқынсыз SVM (Fuzzy Support Vector Machine) алдыңғы әдіспен бірге.
Пайдаланушылар әрекеттерінің «сипаттамалық» моделі: шешім ағаштар негізінде пайдаланушы әрекетінің ықтималдық моделі және әлеуетті функцияларының көмегімен сипаттамалар кеңістікте жағдайлар жиындарын (оқиғалар тізбегін) бейнелеу.
Тексеру: нақты деректерде және DARPA эталондық тестлік жинағында және басқа да белгілейді.
Пайдаланушының әрекеттерін талдау және мониторинг жүйесі.
Функционалдық:
пайдаланушы жұмысы туралы деректерді жинау және шоғырландыру;
статистикалық және интеллектуалды талдау;
мінез-құлық модельдерін құру және визуализациялау;
пайдаланушы тәжірибесінен ауытқулар іздеу.
Қолданылу аймағы:
инсайдерлерді анықтау және ақпараттың жоғалуын болдырмау;
бұзып кіру салдарын іздеу және талдау;
«Ерте ескерту» жүйесі;
ұйымның есептеу ресурстарын пайдаланушылардың мақсатты пайдалануын және өнімділігін талдау.
Іске асыру ерекшеліктері мен нәтижелері.
Бастапқы деректерді шоғырландырудың ішкі жүйесі:
мульти-агенттік тәсіл;
деректер жиналатын көздеріне шектеулер жоқ;
деректерді жинау модульдермен жұмыс істеу үшін әмбебап интерфейс;
файлдық жүйесінде мамандандырылған ақаулық-тұрақты жоғары өнімді деректер қоймасы;
жиналған деректерді көрсету мамандандырылған форматы;
деректерді арнайы алдын ала өңдеу.
Талданатын фактілер: жүйеге кіру/шығу, пайдаланушылық және жүйелік процестерді қосу, кез-келген тасымалдағыштардағы деректерге қол жетімдік, қосымшаларда (пернетақта, тінтуір) пайдаланушылардың белсенділігі, кіріс/шығыс желілік трафик.
Тәжірибелік пайдалану: бірқатар коммерциялық және мемлекеттік ұйымдарда тәжірибелік енгізілді.
Әдебет
1 Ивахненко А.Г., Савченко Е.А., Ивахненко Г.А., Гергей Т., Надирадзе А.Б., Тоценко В.Г. Нейрокомпьютеры в информационных и экспертных системах // Нейрокомпьютеры: разработка и применение. 2003, № 2.
2 Denning D. E. An intrusion detection model // IEEE Trans. on Software Engineering, 1987, SE-13. P. 222–232.
3 Веселов В.В., Елманов О.А., Карелов И.Н. Комплекс мониторинга инфор-мационных систем на основе нейросетевых технологий // Нейрокомпьютеры: разработка и применение. 2001, № 12.
СОЗДАНИЕ И ПРОЕКТИРОВАНИЕ МОДЕЛЕЙ ЗАЩИТЫ ИНФОРМАЦИИ В РАСПРЕДЕЛЬЕННЫХ СЕТЯХ
Канд. Физика-математических наук доцент. К.Т. Уразбаева
Магистрант: Қ.Т. Мусинов
Казахский Гуманитарный Юридический Инновационный Университет
Рассматривается задача обеспечения информационной (компьютерной) безопасности корпоративных сетей. Процесс защиты информации характеризуется большим количеством и многообразием факторов. Нейросетевые технологии предоставляют интеллектуальные средства для реализации систем защиты ИТ. Приведена схема предотвращения вторжений методами интеллектуального анализа данных.
Ключевые слова: информация, интеллектуал, механизм, антивирус.
The problem of ensuring the information (computer) security of corporate networks. The process of information security is characterized by a large number and variety of factors. Neural network technology provides intelligent tools for the implementation of IT security systems. The scheme of intrusion prevention techniques of data mining.
Key words: information, intellectual, mechanism, antivirus.