Романов А Н Автореферат Разработка алгоритмов для защиты информационных систем от вирусных атак

Автореферат

Тема: «Разработка алгоритмов для защиты информационных систем от вирусных атак».

Введение. Актуальность. Цели
1 Принципы построения автоматизированных систем защиты информации в банках
1.1 Общие требования к системе безопасности
1.2 Общие сведения об автоматизированных системах безопасности
1.3 Взаимодействие подсистемы проактивной защиты и других компьютерных подсистем
2 Научная новизна
2.1 Использование экспертных систем в проактивной защите
2.2 Использование нейронных сетей для формирования правил экспертной системы
Заключение
Список литературы

Введение. Актуальность. Цели

    Информационная безопасность с момента появления возможности передачи данных при помощи Internet, стояла на первом месте. Наибольший интерес сеть Internet представляет именно как орудие для совершения преступлений обычно в сфере экономики и финансов. По свидетельству экспертов самым привлекательным сектором экономики для преступников является компьютерная кредитно-финансовая система. Наиболее распространенными являются компьютерные преступления совершаемые путем несанкционированного доступа к банковским базам данных посредством телекоммуникационных сетей. Банки из-за конкурентной борьбы между собой вынуждены, для обеспечения удобства и быстродействия работы с клиентами, предоставлять им возможность удаленного доступа из сетей общего пользования к своим банковским вычислительным системам с целью аудита собственных счетов. И не смотря на сложность систем безопасности банков на фоне достаточно сильной защиты против враждебного окружения им все еще недостает эффективного контроля.
    Без внедрения инновационных технологий в подсистемы информационной безопасности, в скором времени может привести к тому, что взлом компьютерных кредитно-финансовых систем станет привычным делом. Специалисты в области информационной безопасности такие как Искандер Рустамович Конеев (Начальник отдела безопасности компьютерных систем Национального банка Узбекистана) и Касперский Евгений Валентинович (Один из ведущих мировых специалистов в области защиты информации и член Организации исследователей компьютерных вирусов – CARO) утверждают, что существующие методы защиты защиты информации устаревают. Ученые отметили, что во второй половине 2005 года были зафиксированы единичные вирусы нового поколения.
    Борьба между системами информационной безопасности и вирусами бесконечный процесс. В результате, противодействие угрозам способствует их усложнению, а усложнение угроз ведет к совершенствованию средств противодействия. Эта спираль привела к тому, что непрерывно растет скорость появления вирусов.
    Проблемой защиты информации занимаются антивирусные лаборатории в составе ведущим фирм по разработке систем защиты. К таким фирмам можно отнести Kaspersky laboratory, McAfee, Panda, Symantec и Dr.Web. Все эти ведущие фирмы занимаются усовершенствованием алгоритмов защиты информации и разработкой антивирусных автоматизированных систем.
    Можно смело утверждать, что угроза автоматизированным банковским системам растет с каждым годом. Создание подсистемы информационной безопасности с использованием инновационных технологий для таких автоматизированных систем является актуальным заданием.
    Проактивная защита – одна из современных технологий. Суть технологии в том, что анализу подвергаются не алгоритмы атаки, хищения и удаления данных, а совокупность действий, совершаемых вирусами в автоматизированной системе. Главным преимуществом проактивной защиты на мой взгляд является способность обнаружить и заблокировать совершенно новый вирус, сигнатура для которого еще отсутствует в базах.
    Объект исследования – автоматические системы проектирования защиты информации.
    Предмет исследования – алгоритмы проактивной защиты.
    Цель исследования – исследование работы алгоритмов проактивной защиты. Разработка подсистемы информационной безопасности с использованием алгоритмов проактивной защиты и экспертных систем.

- Наверх -

1 Принципы построения автоматизированных систем защиты информации в банках

1.1 Общие требования к системе безопасности

    Автоматизированная система защиты информации рассматривается отдельно от остального информационного пространства банка, однако понятно, что ряд специфических механизмов и технологий, присутствующих в банке, могут и должны оказать влияние на перечень предъявляемых требований.
    Автоматизированная система безопасности должна работать на уровне ядра автоматизированной системы банка таким образом, чтобы ни одно значимое действие в рамках системы, будь то действие пользователя или процесса, не происходило без участия подсистемы безопасности.
    Схема безопасности, реализованная в системе, должна быть отделена от средств безопасности самой операционной системы, на которой будет реализована автоматизированная система безопасности, в том смысле, что сбой или уязвимость системы безопасности операционной системы не должны влиять на работу автоматизированной системы безопасности.
    Механизмы безопасности системы должны быть оформлены в виде широко известных в мире, опробованных и одобренных стандартов и протоколов.
    Система безопасности должна обеспечивать замкнутое сохранение и передачу данных, связанных с автоматизированной системой (собственно модулей системы, системных и прикладных данных) таким образом, чтобы:

Невозможно было получить логический доступ к указанным данным вне рамок работы приложения автоматизированной системы;
Любые перемещения данных в системе происходили под контролем системы безопасности.

- Наверх -

1.2 Общие сведения об автоматизированных системах безопасности

    В условиях, когда компьютерные системы становятся основой бизнеса, а базы данных - главным капиталом многих компаний, автоматизированная система безопасности прочно встает рядом с вопросами общей экономической безопасности организации. Особенно эта проблема актуальна для банков, являющихся хранителями весьма конфиденциальной информации о клиентах и бизнес которых построен на непрерывной обработке электронных данных.
    В общем случае, автоматизированная система безопасности банковской информационной системы должна строиться по иерархическому принципу. Службы всех уровней объединяются в единую вычислительную сеть, посредством локальной вычислительной сети.
    Автоматизированная система безопасности должна предоставлять такие виды сервисов:

Обновление программного обеспечения и антивирусных баз;
Управление распространением антивирусного программного обеспечения;
Управление обновлением антивирусных баз;
Контроль за работой системы в целом (получение предупреждений об обнаружении вирусной атаки, регулярное получение комплексных отчетов о работе системы в целом).

Автоматизированная система безопасности должна обеспечивать формирование интегрированной вычислительной среды, удовлетворяющей следующим общим принципам:

Надежность – система в целом должна обладать, продолжать, функционировать независимо от функционирования отдельных узлов системы и должна обладать средствами восстановления после отказа;
Масштабируемость – система антивирусной защиты должна формироваться с учетом роста числа защищенных объектов;
Открытость – система должна формироваться с учетом возможности пополнения и обновления ее функций и состава, без нарушения функционирования вычислительной среды в целом;
Совместимость – поддержка антивирусным программным обеспечением максимально-возможного количества сетевых ресурсов. В структуре и функциональных особенностях компонент должны быть представлены средства взаимодействия с другими системами;
Унифицированность (однородность) – компоненты должны представлять собой стандартные, промышленные системы и средства, имеющие широкую сферу применения и проверенные многократным использованием.

    Проактивная защита (поведенческий блокиратор, поведенческий анализатор) – одна из современных технологий, воплощающих качественный скачок в области противодействия вирусным атакам.
    Суть технологии в том, что анализу подвергаются не данные на носителях информации, а поведение самих данных – совокупность действий, совершаемых в системе. Если считать некий класс данных вредоносным, то можно определить и характерные особенности поведения.
    На сегодняшний день существует достаточное количество автоматизированных систем защиты информации, использующих новую технологию проактивной защиты.

- Наверх -

1.3 Взаимодействие подсистемы проактивной защиты и других компьютерных подсистем

Подсистема проактивной защиты встраивается в автоматизированную систему как отдельный модуль. Поступающие потоки информации (Входящий Internet трафик) для детального анализа поступают в подсистему проактивной защиты. Пройдя тестирование, информация будет поступать на подсистему антивирусной защиты банка и далее поступать в модуль адресуемому (Файловые сервера, рабочие станции, почтовые сервера и базы данных).

Рисунок 1.1. Взаимодействие подсистемы проактивной защиты и других компьютерных подсистем банка Работу подсистемы проактивной защиты можно разделить на этапы:

Входной поток данных поступает в подсистему информационной безопасности проактивной защиты;
Используя алгоритмы анализа информации, подсистема информационной безопасности проактивной защиты анализирует входной поток данных на наличие угроз;
Все найденные угрозы поступают в блок базы знаний, где по существующим правилам будет определена степень угрозы входных данных;
База знаний сообщает подсистеме информационной безопасности проактивной защиты результат поиска по правилам, и следствием этого подсистема либо преобразует входной поток данных в выходной поток (Поток данных выходящий из подсистемы проактивной защиты) либо информирует администратора путем создания отчета с занесением его в журнал об опасных входных данных;

Рисунок 1.2. Работа подсистемы проактивной защиты
Работа проактивной защиты может быть разделена на четыре составляющих (блока):

Алгоритмы обработки поведения;
Алгоритмы обработки информации;
Экспертные системы;
Нейронные сети;

    Входной информацией для блока алгоритмов обработки поведения служит входной поток данных. Эта информация проходит тщательную проверку на присутствие угрозы автоматизированной системе банка.
    Алгоритмы обработки информации по поступающей информации от экспертной системы переправляют входной поток данных далее или формируют отчеты и уничтожают данные угрожающие автоматизированной системе банка.
    В свою очередь экспертная система и нейронные сети независимы от самой подсистемы проактивной защиты. Нейронные сети обучаясь создают правила экспертной системы.

- Наверх -

2 Научная новизна

2.1 Использование экспертных систем в проактивной защите

    Большинство существующих антивирусных систем с модулями проактивной защиты используют знания специалистов для борьбы с входящей угрозой. Но не каждый пользователь хороший специалист и не возможно бороться с угрозой такими методами если под защитой системы понимается банковские автоматизированные системы. При возникновении угрозы (попытка хакерского взлома или атака вирусом) существующим автоматизированным системам требует совет квалифицированного специалиста, что говорит об не интеллектуальности таких методов защиты.
    Применение экспертных систем для подсистем проактивной защиты решит множество проблем. Главная проблема это автоматизация процесса защиты банковских автоматизированных систем.
    Экспертная система с необходимым количеством правил сможет заменить квалифицированного специалиста для защиты от угроз общего характера. Но нельзя утверждать, что подсистема проактивной защиты с использованием экспертных систем сможет справится с любой задачей, так как защита это психология, а научить систему этому не представляется возможным.
    Источниками знаний могут быть тексты (инструкции, документы, монографии, статьи, фотографии, киноленты), наблюдения или специалисты-профессионалы. Процесс выявления и формализации знаний из этих источников оказывается достаточно трудным, так как надо уметь оценить важность и ценность тех или иных знаний для работы интеллектуальной системы. Инженер по знаниям должен описать основные приёмы или эвристики, которыми пользуется эксперт при решении плохо формализуемых задач, и преобразовать эти описания в строгую, полную и непротиворечивую систему, позволяющую решать сложные прикладные задачи не хуже, чем это сделал бы сам эксперт.
    Наиболее распространенной моделью представления знаний считается система продукции. Системы, использующие знания в виде продукций (правил), называются продукционными. Продукционная система почти не имеет процедурных компонентов, которые представляют основу фон-неймановской вычислительной системы, и практически полностью управляются данными, то есть является дескриптивной. Такая система включает три основных составляющих: базу правил, рабочую память и механизм вывода.
    База правил содержит набор продукционных правил, имеющих форму ЕСЛИ-ТО. Каждое правило складывается из двух частей. Первая из них - антецедент, или посылка правил состоит из элементарных предложений, соединенных связками И и ИЛИ . Вторая часть, называемая консеквентом, или заключением, состоит из одного или нескольких предложений, которые образуют выдаваемое правилом решение.
    Антецедент представляет собой образец правила, предназначенного для распознавания ситуации, когда оно должно сработать. Правило срабатывает, если факты из рабочей памяти при сопоставлении совпали с образцом, после чего правило считается отработавшим.
    База правил представляется в виде массива структур. Каждая структура это класс к которому будет относится угроза. Каждое поле такой структуры является признаком для распознавания.
    В общем случае такую структуру можно представить:

Вид угрозы;
Поля – признаки угрозы;

- Наверх -

2.2 Использование нейронных сетей для формирования правил экспертной системы

Существует много моделей нейронные сетей с целью координирования и последующей обработкой символьной информации. Рассмотрим архитектуру нейронной сети рекурсивной автоассоциативной памяти (RAAM – Recursive Autoassociative Memory). Главным достоинством RAAM является то, что она может быть описана без использования математики. Цель RAAM – это представление символьной информации или структур в виде нейронный сетей. Символьные структуры представляют собой деревья фиксированной валентности.

Рисунок 2.1. Бинарные деревья
На рис. 2.1 показаны несколько бинарных деревьев которые показывают структуру выражений, из которых состоят предложения.
Деревья на рис. .2.1 можно описать следующими правилами:

(A N);
(A(A N));
(A(A(A N)));
(D(A(A(A N))));
(P(D N)).

    Сеть RAAM является автоассоциативной сетью с обратным распространением ошибок. Во входном и выходном слоях RAAM элементы организованы в поля, где каждое поле содержит одинаковое число элементов. Число полей определяется валентностью кодируемых и декодируемых деревьев, а число элементов в скрытом слое соответствует числу элементов одного слоя.
    Процесс обучения RAAM соответствует процессу обучения любой автоассоциативной сети, но с требованием возврата во входной слой ранее полученной информации. Терминальным символам соответствуют векторы, во входном множестве фиксированные, но так как весовые коэффициенты в ходе обучения постоянно корректируются, представления всех других векторов должны меняться. Например скрытое представление для (D N) в ходе обучения изменяется, так как постоянно меняются весовые значения. Такое изменение во множестве учебных образцов называется эффектом движущейся цели. Когда сеть приближается к точке сходимости, изменения движущихся целей становятся очень маленькими.
    Реализация сети RAAM, единственная дополнительная сложность по сравнению с обычными автоассоциативными сетями с обратным распространением ошибок является необходимость возврата ранее сформированных в скрытом слое образцов снова во входной слой. Этот вопрос легко решается, если использовать структуру стека данных для хранения информации о внутренних узлах. Представление последовательностей с помощью RAAM гораздо проще. На пример, последовательность, соответствующая слову BRAIN, может быть представлена в виде дерева (см. рис. 2.2). Терминальный символ «NIL” используется как пробел. Кодирование начинается, как обычно, снизу вверх, и «В» подается на рассмотрение левому входному полю, a «NIL” — правому входному полю. Ввиду того, что сжатые представления подаются по обратной связи только правому входному полю, левое и правое входные поля (и, таким образом, соответствующие выходные поля) могут содержать разное число элементов: ограничение заключается только в том, что скрытый слой и правые входное и выходное поля должны быть одного и того же размера. Для последовательности нет необходимости хранить представления в стеке, так как ранее сжатые элементы подаются обратно во входной слой.

Рисунок 2.2. Представление слова BRAIN в виде дерева
Слово brain может компоноваться как конкатенация входящих в него отдельных букв. Векторное представление слова brain может получится с помощью конкатенации терминальных кодов. Например используя пяти битовые коды для букв, слово brain может быть представлено как «10000 01000 00100 00010 00001». Может произойти, что слова будут иметь разную длину, следовательно их вектора будут так же разной величины, то в таком случае слово с меньшим количеством букв дополняется нужными нолями.
Процедура нахождения в памяти элемента подобна соответствующей процедуре сети Хопфилда (i – слой элементов, j – ассоциативный слой элементов):

Устанавливаются значения активности элементов слоя i в соответствии со значениями, задаваемыми входным образцом;
Распространяется активность на слой j. Комбинированный ввод элемента слоя j равен
(2.1)
Вычисляется новое состояние для каждого элемента слоя j
(2.2)
Распространяется активность на слой i. Комбинированный ввод элемента слоя i равен
(2.3)
Вычисляется новое состояние для каждого элемента слоя i
(2.4)
Это двустороннее распространение сигналов активности повторяется до тех пор, пока не будет достигнуто устойчивое состояние. Активность для каждого слоя определяется относительно некоторой пороговой величины
(2.5)
(2.6)