Романів А Н Автореферат Розробка алгоритмів для захисту інформаційних систем від вірусних атак

Автореферат

Тема: «Розробка алгоритмів для захисту інформаційних систем від вірусних атак».

Вступ. Актуальність. Цілі.
1 Принципи побудови автоматизованих систем захисту інформації в банках
1.1 Загальні вимоги до системи безпеки
1.2 Загальні відомості про автоматизовані системи безпеки
1.3 Взаємодія підсистеми проактивного захисту й інших комп'ютерних підсистем
2 Наукова новизна
2.1 Використання експертних систем у проактивному захисті
2.2 Використання нейронних мереж для формування правил експертної системи
Висновок
Список літератури

Вступ. Актуальність. Цілі

    Інформаційна безпека з моменту появи можливості передачі даних за допомогою Internet, стояла на першому місці. Найбільший інтерес мережа Internet представляє саме як знаряддя для здійснення злочинів звичайно в сфері економіки й фінансів. За свідченням експертів найпривабливішим сектором економіки для злочинців є комп'ютерна кредитно-фінансова система. Найпоширенішими є комп'ютерні злочини чинені шляхом несанкціонованого доступу до банківських баз даних за допомогою телекомунікаційних мереж. Банки через конкурентну боротьбу між собою змушені, для забезпечення зручності й швидкодії роботи із клієнтами, надавати їм можливість вилученого доступу з мереж загального користування до своїх банківських обчислювальних систем з метою аудита власних рахунків. І не дивлячись на складність систем безпеки банків на тлі досить сильного захисту проти ворожого оточення їм усе ще бракує ефективного контролю.
    Без впровадження інноваційних технологій у підсистеми інформаційної безпеки, незабаром може привести до того, що злом комп'ютерних кредитно-фінансових систем стане звичною справою. Фахівці в області інформаційної безпеки такі як Искандер Рустамович Конеев (Начальник відділу безпеки комп'ютерних систем Національного банку Узбекистану) і Касперский Євгеній Валентинович (Один із провідних світових спеціалістів в області захисту інформації й член Організації дослідників комп'ютерних вірусів – CARO) затверджують, що існуючі методи захисту захисту інформації застарівають. Учені відзначили, що в другій половині 2005 року були зафіксовані одиничні віруси нового покоління.
    Боротьба між системами інформаційної безпеки й вірусами нескінченний процес. У результаті, протидія погрозам сприяє їхньому ускладненню, а ускладнення погроз веде до вдосконалювання засобів протидії. Ця спіраль привела до того, що безупинно росте швидкість появи вірусів.
    Проблемою захисту інформації займаються антивірусні лабораторії в складі ведучим фірм по розробці систем захисту. ДО таких фірм можна віднести Kaspersky laboratory, Mcafee, Panda, Symantec і Dr.Web. Усі ці провідні фірми займаються вдосконаленням алгоритмів захисту інформації й розробкою антивірусних автоматизованих систем.
    Можна сміло затверджувати, що погроза автоматизованим банківським системам росте з кожним роком. Створення підсистеми інформаційної безпеки з використанням інноваційних технологій для таких автоматизованих систем є актуальним завданням.
    Проактивний захист – одна із сучасних технологій. Суть технології в тому, що аналізу піддаються не алгоритми атаки, розкрадання й видалення даних, а сукупність дій, чинених вірусами в автоматизованій системі. Головною перевагою проактивного захисту на мій погляд є здатність виявити й заблокувати зовсім новий вірус, сигнатури до якого ще немає у базах.
    Об'єкт дослідження – автоматичні системи проектування захисту інформації.
    Предмет дослідження – алгоритми проактивного захисту.
    Ціль дослідження – дослідження роботи алгоритмів проактивного захисту. Розробка підсистеми інформаційної безпеки з використанням алгоритмів проактивного захисту й експертних систем.

- Наверх -

1 Принципи побудови автоматизованих систем захисту інформації в банках

1.1 Загальні вимоги до системи безпеки

    Автоматизована система захисту інформації розглядається окремо від іншого інформаційного простору банку, однак зрозуміло, що ряд специфічних механізмів і технологій, що присутні у банку, можуть і повинні вплинути на перелік пропонованих вимог.
    Автоматизована система безпеки повинна працювати на рівні ядра автоматизованої системи банку таким чином, щоб жодне значима дія в рамках системи — будь та дія користувача або процесу — не відбувалося без участі підсистеми безпеки.
    Схема безпеки, реалізована в системі, повинна бути відділена від засобів безпеки самої операційної системи, на якій буде реалізована автоматизована система безпеки, у тому розумінні, що збій або уразливість системи безпеки операційної системи не повинні впливати на роботу автоматизованої системи безпеки.
    Механізми безпеки системи повинні бути оформлені у вигляді широко відомих у світі, випробуваних і схвалених стандартів і протоколів.
    Система безпеки повинна забезпечувати замкнуте збереження й передачу даних, пов'язаних з автоматизованою системою (властиво модулів системи, системних і прикладних даних) таким чином, щоб:

Неможливо було одержати логічний доступ до зазначених даних поза рамками роботи додатка автоматизованої системи;
Які-небудь переміщення даних у системі відбувалися під контролем системи безпеки.

- Наверх -

1.2 Загальні відомості про автоматизовані системи безпеки

    В умовах, коли комп'ютерні системи стають основою бізнесу, а бази даних - головним капіталом багатьох компаній, автоматизована система безпеки міцно встає поруч із питаннями загальної економічної безпеки організації. Особливо ця проблема актуальна для банків, що є хоронителями досить конфіденційної інформації про клієнтів і бізнес яких побудований на безперервній обробці електронних даних.
    У загальному випадку, автоматизована система безпеки банківської інформаційної системи повинна будуватися по ієрархічному принципу. Служби всіх рівнів поєднуються в єдину обчислювальну мережу, за допомогою локальної обчислювальної мережі.
    Автоматизована система безпеки повинна надавати такі види сервісів:

Відновлення програмного забезпечення й антивірусних баз;
Керування поширенням антивірусного програмного забезпечення;
Керування відновленням антивірусних баз;
Контроль над роботою системи в цілому (одержання попереджень про виявлення вірусної атаки, регулярне одержання комплексних звітів про роботу системи в цілому).

Автоматизована система безпеки повинна забезпечувати формування інтегрованого обчислювального середовища, що задовольняє наступним загальним принципам:

Надійність – система в цілому повинна мати, продовжувати, функціонувати незалежно від функціонування окремих вузлів системи й повинна мати засоби відновлення після відмови;
Масштабованість – система антивірусного захисту повинна формуватися з урахуванням росту числа захищених об'єктів;
Відкритість – система повинна формуватися з урахуванням можливості поповнення й відновлення її функцій і складу, без порушення функціонування обчислювального середовища в цілому;
Сумісність – підтримка антивірусним програмним забезпеченням максимально- можливої кількості мережних ресурсів. У структурі й функціональних особливостях компонент повинні бути представлені засоби взаємодії з іншими системами;
Уніфікованість (однорідність) – компонента повинні являти собою стандартні, промислові системи й засоби, що мають широку сферу застосування й перевірені багаторазовим використанням.

    Проактивний захист (поведінковий блокатор, поведінковий аналізатор) – одна із сучасних технологій, що втілюють якісний стрибок в області протидії вірусним атакам.
    Суть технології в тому, що аналізу піддаються не дані на носіях інформації, а поводження самих даних – сукупність дій, чинених у системі. Якщо вважати якийсь клас даних шкідливим, то можна визначити й характерні риси поводження.
    На сьогоднішній день існує достатня кількість автоматизованих систем захисту інформації, що використовують нову технологію проактивного захисту.

- Наверх -

1.3 Взаємодія підсистеми проактивного захисту й інших комп'ютерних підсистем

Підсистема проактивного захисту вбудовується в автоматизовану систему як окремий модуль. Вступники потоки інформації (Вхідний Internet трафик) для детального аналізу надходять у підсистему проактивного захисту. Пройшовши тестування, інформація буде надходити на підсистему антивірусного захисту банку й далі надходити в модуль адресуємому (Файлові сервера, робочі станції, поштові сервера й бази даних).
Роботу підсистеми проактивного захисту можна розділити на етапи:

Вхідний потік даних надходить у підсистему інформаційної безпеки проактивного захисту;
Використовуючи алгоритми аналізу інформації, підсистема інформаційної безпеки проактивного захисту аналізує вхідний потік даних на наявність погроз;
Усі знайдені погрози надходять у блок бази знань, де за існуючими правилами буде визначений ступінь погрози вхідних даних;
База знань повідомляє підсистему інформаційної безпеки проактивного захисту результат пошуку за правилами, і наслідком цього підсистема або перетворить вхідний потік даних у вихідний потік (Потік даних вихідний з підсистеми проактивного захисту) або інформує адміністратора шляхом створення звіту із занесенням його в журнал про небезпечні вхідні дані.

Робота проактивного захисту може бути розділена на чотири складові (блоку):

Алгоритми обробки поводження;
Алгоритми обробки інформації;
Експертні системи;
Нейронні мережі.

    Вхідною інформацією для блоку алгоритмів обробки поводження служить вхідний потік даних. Ця інформація проходить ретельну перевірку на присутність погрози автоматизованій системі банку.
    Алгоритми обробки інформації із вступник інформації від експертної системи переправляють вхідний потік даних далі або формують звіти й знищують дані загрозливі автоматизованій системі банку.
    У свою чергу експертна система й нейронні мережі незалежні від самої підсистеми проактивного захисту. Нейронні мережі навчаючись створюють правила експертної системи.

- Наверх -

2 Наукова новизна

2.1 Використання експертних систем у проактивному захисті

    Більшість існуючих антивірусних систем з модулями проактивного захисту використовують знання фахівців для боротьби із вхідною погрозою. Але не кожний користувач гарний фахівець і не можливо боротися з погрозою такими методами якщо під захистом системи розуміється банківські автоматизовані системи. При виникненні погрози (спроба хакерського злому або атака вірусом) існуючим автоматизованим системам вимагає рада кваліфікованого фахівця, що говорить про не інтелектуальність таких методів захисту.
    Застосування експертних систем для підсистем проактивного захисту вирішить безліч проблем. Головна проблема це автоматизація процесу захисту банківських автоматизованих систем.
    Експертна система з необхідною кількістю правил зможе замінити кваліфікованого фахівця для захисту від погроз загального характеру. Але не можна затверджувати, що підсистема проактивного захисту з використанням експертних систем зможе впорається з будь-яким завданням, тому що захист це психологія, а навчити систему цьому не представляється можливим.
    Джерелами знань можуть бути тексти (інструкції, документи, монографії, статті, фотографії, кінострічки), спостереження або фахівці-професіонали. Процес виявлення й формалізації знань із цих джерел виявляється досить важким, тому що треба вміти оцінити важливість і цінність тих або інших знань для роботи інтелектуальної системи. Інженер по знаннях повинен описати основні прийоми або евристики, якими користується експерт при рішенні погано сформульованих завдань, і перетворити ці описи в строгу, повну й несуперечливу систему, що дозволяє вирішувати складні прикладні завдання не гірше, чим це зробив би сам експерт.
    Наиболее распространенной моделью представления знаний считается система продукции. Системы, использующие знания в виде продукций (правил), называются продукционными. Продукционная система почти не имеет процедурных компонентов, которые представляют основу фон-неймановской вычислительной системы, и практически полностью управляются данными, то есть является дескриптивной. Такая система включает три основных составляющих: базу правил, рабочую память и механизм вывода.
    Найпоширенішою моделлю подання знань уважається система продукції. Системи, що використовують знання у вигляді продукції (правил), називаються продукційними. Продукційна система майже не має процедурних компонентів, які представляють основу фон-неймановської обчислювальної системи, і практично повністю управляються даними, тобто є дескриптивною. Така система включає три основні складових: базу правил, робочу пам'ять і механізм висновку.
    Антецедент являє собою зразок правила, призначеного для розпізнавання ситуації, коли воно повинне спрацювати. Правило спрацьовує, якщо факти з робочої пам'яті при зіставленні збіглися зі зразком, після чого правило вважається, що відробив.
    База правил представляється у вигляді масиву структур. Кожна структура це клас до якого буде ставиться погроза. Кожне поле такої структури є ознакою для розпізнавання.
    У загальному випадку таку структуру можна представити:

Вид погрози;
Поля – ознаки погрози.

- Наверх -

2.2 Використання нейронних мереж для формування правил експертної системи

Існує багато моделей нейронні мереж з метою координування й наступною обробкою символьної інформації. Розглянемо архітектуру нейронної мережі рекурсивної автоассоциативної пам'яті (RAAM – Recursive Autoassociative Memory). Головним достоїнством RAAM є те, що вона може бути описана без використання математики. Ціль RAAM – це подання символьної інформації або структур у вигляді нейронний мереж. Символьні структури являють собою дерева фіксованої валентності.

Малюнок 2.1. Бінарні дерева
На мал. 2.1 показано кілька бінарних дерев які показують структуру виражень, з яких складаються пропозиції.
Дерева на мал. .2.1 можна описати наступними правилами:

(A N);
(A(A N));
(A(A(A N)));
(D(A(A(A N))));
(P(D N)).

    Мережа RAAM є автоассоциативною мережею зі зворотним поширенням помилок. У вхідному й вихідному шарах RAAM елементи організовані в поля, де кожне поле містить однакове число елементів. Число полів визначається валентністю кодируємих і декодируємих дерев, а число елементів у схованому шарі відповідає числу елементів одного шару.
    Процес навчання RAAM відповідає процесу навчання будь-який автоассоциативної мережі, але з вимогою повернення у вхідний шар раніше отриманої інформації. Термінальним символам відповідають вектори, у вхідній безлічі фіксовані, але тому що вагові коефіцієнти в ході навчання постійно коректуються, подання всіх інших векторів повинні мінятися. Наприклад сховане подання для (D N) у ході навчання змінюється, тому що постійно міняються вагові значення. Така зміна в безлічі навчальних зразків називається ефектом рухомої цілі. Коли мережа наближається до крапки збіжності, зміни рухомих цілей стають дуже маленькими.
    Реалізація мережі RAAM, єдина додаткова складність у порівнянні зі звичайними автоассоциативними мережами зі зворотним поширенням помилок є необхідність повернення раніше сформованих у схованому шарі зразків знову у вхідний шар. Це питання легко вирішується, якщо використовувати структуру стека даних для зберігання інформації про внутрішні вузли. Подання послідовностей за допомогою RAAM набагато простіше. На приклад, послідовність, відповідна до слова BRAIN, може бути представлена у вигляді дерева (див. мал. 2.2). Термінальний символ "NIL” використовується як пробіл. Кодування починається, як звичайно, знизу нагору, і "В" подається на розгляд лівому вхідному полю, a "NIL” — правому вхідному полю. Через те, що стислі подання подаються по зворотному зв'язкові тільки правому вхідному полю, ліве й праве вхідні поля (і, таким чином вихідні поля, що відповідають) можуть містити різне число елементів: обмеження полягає тільки в тому, що схований шар і праві вхідне й вихідне поля повинні бути того самого розміру. Для послідовності немає необхідності зберігати подання в стеці, тому що раніше стислі елементи подаються назад у вхідний шар.

Малюнок 2.2. Подання слова BRAIN у вигляді дерева
Слово brain може компонуватися як конкатенація вхідних у нього окремих букв. Векторне подання слова brain може вийде за допомогою конкатенації термінальних кодів. Наприклад використовуючи п'яти бітові коди для букв, слово brain може бути представлене як "10000 01000 00100 00010 00001". Може відбутися, що слова будуть мати різну довжину, отже їхнього вектора будуть так само різної величини, то в такому випадку слово з меншою кількістю букв доповнюється потрібними нулями.
Процедура знаходження в пам'яті елемента подібна до відповідної процедури мережі Хопфилда (і – шар елементів, j – асоціативний шар елементів):

Установлюються значення активності елементів шару і у відповідності зі значеннями, що задаються вхідним зразком;
Поширюється активність на шар j. Комбіноване уведення елемента шару j рівний
(2.1)
Обчислюється новий стан для кожного елемента шару j
(2.2)
Поширюється активність на шар і. Комбіноване уведення елемента шару й рівний
(2.3)
Обчислюється новий стан для кожного елемента шару і
(2.4)
Це двостороннє поширення сигналів активності повторюється доти , поки не буде досягнутий стійкий стан. Активність для кожного шару визначається щодо деякої граничної величини
(2.5)
(2.6)