Оцінювання динаміки вторгнень в інтелектуальні інформаційні системи
Аналіз системи оцінювання вторгнень в інтелектуальну інформаційну систему економічного об’єкту Два алгоритми, які використовуються в її діяльності: дослідження динаміки розвитку атаки у відповідності з типовими сценаріями вторгнення, пошук аномалій.
Рубрика | Экономика и экономическая теория |
Вид | статья |
Язык | украинский |
Дата добавления | 02.01.2019 |
Размер файла | 20,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Оцінювання динаміки вторгнень в інтелектуальні інформаційні системи
Економічне середовище має ряд особливостей, які суттєво впливають на вибір механізмів захисту його інформаційного простору. Серед них слід відмітити наступні:
- специфічна модель загроз і порушника;
- неоднорідність комерційних організацій;
- можливість страхування інформаційних ризиків;
- необхідність визначення цінності інформаційних ресурсів;
- доцільність динамічності системи захисту та її моніторингу;
Інтенсивне використання нових інформаційних технологій в економічних структурах різноманітного рівня призначення спонукає приділяти увагу дослідженню проблеми залучення і впровадження засобів захисту інтелектуальних інформаційних систем (ІІС) від інформаційних атак та вторгнень.
Найбільш розповсюджені моделі виявлення інформаційних атак і вторгнень реалізуються на основі статистичних методів: пороговий, метод середнього значення і середньоквадратичного відхилення, багатоваріаційний та метод марківських процесів. Такі методи дозволяють визначити лише наслідки вторгнень і характеризуються великою кількістю помилок першого роду (будь-яке відхилення може розглядатися як інформаційна атака) [1,2]. Залучення моделей поведінки ІІС на базі нейромережевих моделей, імунологічних алгоритмів і експертних систем дозволяє виділити множину аномальних подій та інтерпретувати їх у вигляді інформаційних атак. Але головний недолік вищеназваних моделей - дуже складний детальний опис стаціонарного режиму функціонування в силу постійної зміни структури ІІС.
Однією з найбільш ефективних моделей поведінки є модель, яка дозволяє виявляти аномалії в хостах з відхиленнями установлених стандартів і сервісів. Перевага такої моделі полягає у можливості виявлення атак шляхом визначення мережевих запитів, які порушують стаціонарний протокол мережевої взаємодії між вузлами ІІС. Серед основних мережевих запитів з ознаками проведення інформаційної атаки слід навести наступні:
- запити, синтаксис і семантика яких не відповідає стандартам RFC;
- запити до неіснуючим інформаційним ресурсам;
- запити, обробка яких не підтримується загальносистемним і прикладним програмним забезпеченням;
- запити, довжина яких перевищує задані обмеження.
В статті пропонується система аналізу вторгнень, яка в своєї діяльності використовує два алгоритми:
1) алгоритм дослідження динаміки розвитку атаки у відповідності з
типовими сценаріями вторгнення й побудований на базі автомату станів;
2) алгоритм, в основу якого покладений пошук аномалій.
Типовий сценарій вторгнення в інформаційне середовище економічної системи складається з наступних етапів.
1. Етап збору інформації. На цьому етапі зловмисника цікавить
інформація про систему, яка знаходиться в стані атаки:
- топологія мережі ІІС;
- тип ОС хостів в стані атаки;
- сервіси, які функціонують на хостах;
- додаткова інформація про хости.
2. Етап безпосередньої атаки. На основі інформації, яка зібрана в
результаті виконання попереднього етапу, порушник може почати атаку на ІІС. Тут використовуються типові вразливості в системних сервісах або помилки в адмініструванні системи. Успішним результатом використання вразливостей звичайно є отримання зловмисником прав на хост, файлу паролів, відмова в обслуговуванні хосту тощо.
3. Етап консолідації. Після проникнення в ІІС і отримання певних
преференцій зловмисником починається етап консолідації. Така стадія вторгнення поділяється на дві логічні фази: консолідація й розповсюдження вторгнення. До того ж до останьої фазі можна віднести дії, які зв'язані з реалізацією загроз безпеки ІІС, наприклад, доступ до захищеного інформаційного ресурсу.
Аналіз існуючих методів визначених вторгнень [2,3,5] можна в загальному випадку охарактеризувати наступним чином:
- сигнатурні методи виявлення атак, які направлені на визначення складових елементів вторгнення, але не об'єднують отримані результати в єдину множину вторгнень;
- існуючи методи штучного інтелекту, які доповнюють сигнатурні методи виявлення атак і направленні на визначення складних атак без врахування етапів вторгнення;
- методи виявлення аномалій, які досліджують відхилення в поведінці користувачів і не дозволяють відслідковувати картину вторгнення.
В основу алгоритму оцінювання динаміки розвитку атаки у відповідності з типовими сценаріями вторгнень закладені типові сценарії атак, які базуються на взаємозв'язку її різноманітних етапів. Цей алгоритм аналізує стан зовнішніх хостів у відношенні до захищеного. Зовнішній хост, в свою чергу, повинен мати такі характеристики:
- невідомий хост - хост, який звертався до захищеного хосту на протязі
стислого періоду часу, і який не відтворював атакуючих дій;
- довірений хост - хост, який звертався до захищеного хосту на протязі
довго періоду часу і не робив атакуючих дій;
- підозрілий хост - хост, який сканував або атакував захищений хост.
Дані для аналізу з використанням зазначеної системи надходять від
системи визначення атак Snort.
Модель системи базується на автоматичній мові L, яка описує штатний протокол мережевої взаємодії вузлів. При цьому мова L задається за допомогою кінцевих автоматів-розпізнавальників наступного типу
інтелектуальний інформаційний економічний алгоритм
A = <S, X, Y, s0, д, л, F, sa >,
де S - множина станів;
X - множина вхідних символів;
Y - множина семантичних операторів, які виконують функції аналізу семантики даних, що надходять до входу автомату;
s0 S - початковий стан;
д: s X >S - функція переходів;
л: s X >Y - функція визначення семантичного оператора, який
виконується при аналізі вхідних сигналів;
F S - множина заключних станів, в які переходить автомат при
коректного розпізнавання ланцюга мови L;
sa S - заключний стан, в який переходить автомат у випадку надходження на вхід ланцюга символів, що не є елементом мови L.
На вхід кінцевому автомату для аналізу подається ланцюг символів з вимогами мережевого запиту. Якщо в результаті обробки вхідного ланцюга символів автомат переходить в один із своїх заключних станів F, то це означає - запит не є загрозливим і не використовується для проведення інформаційної атаки. У противному випадку, при переході автомату до стану Sa або в результаті виконання одного із своїх семантичних операторів і буде призупинена робота автомату, то тоді фіксується факт виявлення вторгнення до хосту.
При ідентифікації кожного повідомлення у вигляді атаки або фази консолідації відбувається верифікація сценарію у відповідності з поточним станом хосту у відношенні до сервісу, операційної системи, підсистеми облікових записів і файлової системи. Ознакою успішної (верифікованої) атаки є знаходження сигнатури, яка відповідає етапу безпосередньої атаки. А ознакою успішного вторгнення (кінцевий стан автомату) є знаходження сигнатури консолідації після визначення сигнатури безпосередньої атаки необхідного типу.
Основою побудови алгоритму виявлення аномалій виступають дані, які створюють профіль поведінки зовнішнього хосту у відношенні до кожного сервісу. В такому випадку профіль поведінки представляє наступні дані:
а) тип ресурсів захищаємого серверу. Тип ресурсу визначається на основі його розширення;
б) стандартний час звернень до сервісу;
в) кількість звернень до сервісу за сесію;
г) кількість помилок при зверненні до сервісу за сесію.
В таблиці 1 наведений стислий опис характеристик профілів поведінки зовнішнього хосту.
Таблиця 1. Профілі поведінки та їх характеристики
Ознаки аномального аналізу |
Опис характеристики |
|
Стандартний час звернення до сервісу сервера |
Інтервал часу |
|
Ресурси, які запитуються за допомого сервісу |
Множина типів ресурсів |
|
Кількість звернень до сервісу за сесію |
Середня кількість звернень за сесію і середнє квадратичне відхилення |
|
Кількість помилок при зверненні до сервісу за сесію |
Середня кількість звернень за сесію і середнє квадратичне відхилення |
В результаті порівняння поточної активності з профілем нормальної поведінки виявляються відхилення в поведінці зовнішнього хосту - аномалії.
Для кожної з описаних характеристик статистика нормальної поведінки обчислюється при коректних зверненнях до захищеного хосту до того моменту, коли хост переноситься до категорії довірчих. Поточна ж активність хосту оцінюється на протязі проходження сесії. В якості сесії розглядається деякий проміжок часу (один день). В системі пропонується переводити хост до списку довірчих після N днів роботи з хостом для будь-якого сервісу. Після переведення хосту до списку довірчих починається порівняння поточної активності хосту із складеним профілем поведінки. Порівняння відбувається за такими критеріями:
- для множини номерів портів і множині типів ресурсів - наявність відповідного елементу в даних про поточну активність профілю нормальної поведінки;
- для кількості помилок при зверненні до сервісу та числа звернень до
нього - попадання відповідних характеристик поточної сесії до інтервал, який розрахований в профілі нормальної поведінки;
- для часу сесії - попадання поточної сесії до інтервалу, який визначений в профілі.
Порівняння поточної активності з профілем нормальної поведінки виявляє відхилення в поведінці зовнішнього хосту - аномалії. Цей алгоритм до того ж доповнює алгоритм дослідження динаміки розвитку атаки у відповідності з типовими сценаріями вторгнення: ініціація атаки з фіксацією аномальної поведінки хосту враховується успішним, а профіль нормальної поведінки є недійсним; якщо від хосту була знайдена сигнатура консолідації та була виявлена аномальна поведінка, то можлива атака без сигнатури і вторгнення є успішним; якщо в поведінці довіреного хосту після отримання одиничного повідомлення не було відхилень від профілю або відповідного повідомлення про консолідацію, то повідомлення вважається невірним. В таблиці 2 наведені умови успіху вторгнення до хосту.
Таблиця 2. Характеристика умов оцінки успіху вторгнень до хосту
Вторгнення безуспішне |
Вторгнення успішне |
||
Сигнатура атаки |
+ |
||
Сигнатура консолідації |
+ |
||
Аномальна поведінка |
+ |
||
Сигнатура атаки і консолідації |
+ |
||
Сигнатура атаки і аномальної поведінки |
+ |
||
Сигнатура консолідації і аномальної поведінки |
+ |
Використання запропонованого підходу дозволяє зменшити кількість невірних спрацювань, які пов'язані з аномальною активністю довірчого хосту.
Представлена в статті система оцінювання динаміки розвитку вторгнень надає можливості:
а) визначити інформаційні атаки у відповідності зі сценарієм;
б) оцінити сценарій розвиту атаки (верифікація сценарію атаки).
Результатом очікуємого оцінювання є підтвердження спроможності створення більш безпечних сервісів ІТ з двох напрямів. По-перше, оцінювання надає можливість виявити помилки й вразливості та зменшити потенційні збитки від інформаційних атак і вторгнень. По-друге, процес оцінювання може подавати хоча і не прямий, але надто позитивний вплив на початкові вимоги, умови вдосконалення та експлуатації ІІС.
Література
1. Бєгун А.В. Особливості перевірки властивостей безпеки програм методом статистичного аналізу/ Моделювання та інформаційні технології в економіці. - №88. - 2013. - С. 132-138.
2. Ефремов А. Сетевые атаки и средства борьбы с ними // Computer weekly. - №14. - 1998.
3. Карве А. Обнаружение атак как средство контроля за защитой сети //LAN/ Журнал сетевых решений. - №5. - 1999.
4. Кудрявцев В.Б., Алешкин С.В., Подколзин А.С. Введение в теорию автоматов. - М.: Наука, 1985.
5. Лукацкий А.В. Обнаружение атак. - СПб.: БХВ - Санкт-Петербург, 2001.
Размещено на Allbest.ru
Подобные документы
Характеристика методів прогнозування в діагностиці факторів виробництва. Формування змін в перспективі соціально-економічного розвитку фірми. Загальні переваги та недоліки експертних методів оцінювання. Метод мозкової атаки, або мозкового штурму.
контрольная работа [71,1 K], добавлен 09.10.2012Статистичний аналіз рівня та динаміки інвестиційної діяльності. Виявлення динаміки та тенденцій інвестиційної діяльності, аналіз взаємозв’язків та вивчення факторів впливу. Застосування методу аналітичних групувань, особливості дисперсійного аналізу.
контрольная работа [89,2 K], добавлен 07.04.2010Економічна сутність ефективності виробництва плодів. Економічна ефективність діяльності підприємства ДПДГ "Мелітопольське", аналіз динаміки виробництва плодів. Шляхи удосконалення ринкового механізму та системи реалізації плодово-ягідної продукції.
курсовая работа [241,1 K], добавлен 05.05.2014Структурний аналіз активів. Аналіз ефективності використання поточних активів підприємства. Причини зміни оборотних активів. Довгострокові, поточні, непередбачені зобов’язання. Оцінювання позитивної і негативної динаміки запасів, грошових коштів.
курсовая работа [26,9 K], добавлен 13.11.2010Суть, значення, особливості та класифікація системи охорони здоров'я. Загальна характеристика та статистичний аналіз системи охорони здоров'я України. Прогнозування як важливий етап економічного дослідження тенденцій зміни кількості медичного персоналу.
курсовая работа [640,3 K], добавлен 07.04.2015Ринкова вартість кінцевих товарів і послуг, вироблених у країні. Сутність валового внутрішнього продукту (ВВП). Аналіз валового внутрішнього продукту, його структури та динаміки в Україні в роки незалежності. Можливості моделювання динаміки ВВП в Україні.
курсовая работа [521,5 K], добавлен 09.12.2010- Механізми управління витратами сільськогосподарських підприємств в умовах економічної невизначеності
Характеристика динаміки структури витрат на виробництво сільськогосподарської продукції в Україні. Узагальнення структурованої системи стратегічного управління витратами сільськогосподарських підприємств. Аналіз сучасного економічного становища України.
статья [145,1 K], добавлен 05.10.2017 Завдання та принципи оцінювання вартості майна підприємства як цілісного майнового комплексу. Стандарти і правила оцінювання, його масова й експертна форми. Методи та порядок оцінювання майна підприємства, формула визначення його капіталізованої вартості.
презентация [89,7 K], добавлен 11.02.2011Визначення місця соціально-економічної політики в управлінні розвитком фармацевтичного підприємства, дослідження структури його соціально-економічного потенціалу. Діагностика існуючого рівня соціально-економічного потенціалу і розвитку ЗАТ "Біолік".
дипломная работа [1,8 M], добавлен 07.07.2011Сутність, показники, методи та проблеми організації оцінювання якості продукції на підприємствах України. Загальна характеристика діяльності ДП "Лужанський експериментальний завод", аналіз організації процесу оцінювання та контролю якості його продукції.
курсовая работа [188,4 K], добавлен 09.09.2010