Введение к работе
Актуальность. Роль автоматизированных систем в процессе обработки информации (АСОИ) неуклонно возрастает. Одновременно растут скорость обработки информации, масштабы АСОИ, цена обрабатываемой информации, а отсюда и повышение интереса к ней злоумышленников. Все это делает особо важной задачу разработки программных средств, решающих задачу обнаружения аномалий в поведении АСОИ, которые несут определенную угрозу как целостности информации, так и ее конфиденциальности.
При появлении аномальной активности существенно возрастает риск повреждения, утери или разглашения информации, циркулирующей в системе. Таким образом, задача мониторинга состояния АСОИ с целью выявления аномалий в ее поведении является одной из важнейших задач и в то же время одной из наиболее трудно решаемых. Сложность данной задачи определяется значительным увеличением объемов и видов обрабатываемой в автоматизированных системах информации, усложнением производимых атак с целью получения несанкционированного доступа или нарушения стабильности функционирования систем обработки.
Известные программные средства обнаружения аномалий в поведении АСОИ (Shadow, Snort, Shoki, NFR, GrIDS, RealSecure и др.), как правило, имеют сравнительно невысокую оперативность и недостаточную надежность обнаружения аномалий, атак и вторжений.
Создание систем обнаружения аномалий - сравнительно молодая и перспективная область исследования. Наиболее известные подходы к решению задач обнаружения аномалий разработаны такими учеными как: D. Anderson, D. Curry, D.Denning, T.F. Lunt, П. Д. Зегжда, А.А. Стрельцова, М.П. Сычев, Ю.Н. Лаврухин, В.А. Герасименко, А.А. Малюк, А.С. Петренко, А.В. Беляев, П.А. Баранов, Н.Г. Милославская, А.И. Толстой, А.Ю. Тихонов и другие. Тем не менее, остается немало сложностей, требующих своего решения, к которым относятся задачи повышения оперативности и вероятности обнаружения аномалий.
Объектом исследования являются системы обнаружения аномалий в поведении АСОИ.
Предметом исследования являются математические и алгоритмические методы обнаружения аномалий в поведении автоматизированных систем обработки информации.
Целью исследования является повышение оперативности обнаружения аномалий в поведении АСОИ посредством использования классификатора на основе логической модели.
Для достижения указанных целей в диссертации решаются следующие задачи:
разработка метода быстрого обнаружения аномалий в поведении АСОИ;
создание метода выстраивания моделей поведения АСОИ, решающего типовые задачи, для поддержки автоматического обнаружения аномалий;
разработка метода ранжирования аномалий по степени их опасности для целостности информации в АСОИ;
создание на основе предложенных методов программного средства для обнаружения аномалий в автоматизированных системах;
экспериментальное подтверждение эффективности предложенных методов.
Методы исследования. В основу исследования положены методы теории принятия решений, статистического анализа, теории систем искусственного интеллекта.
Научная новизна определяется следующим:
разработан и оптимизирован для программной реализации метод и алгоритм автоматического построения адаптивных моделей поведения АСОИ, решающий типовые задачи;
- разработан метод быстрого обнаружения аномалий в поведении
АСОИ на основе оценки отклонения динамики изменения парамет
ров функционирования в процессе решения задачи от параметров
модели, позволяющий своевременно сигнализировать о наиболее
опасных аномалиях;
»- разработан метод обеспечения адекватности модели автоматизированной системе обработки информации в течение всего жизненного цикла зацачи. Достоверность научных результатов подтверждена корректным применением используемого математического аппарата, а также согласованностью результатов теоретического расчета с данными, полученными в ходе эксперимента.
Практическая ценность результатов диссертации заключается в следующем:
разработан программный инструментарий для построения систем обнаружения аномалий в поведении автоматизированных систем; снижена нагрузка на системного администратора АСОИ за счет автоматизации выполнения ряда его функций (своевременного обнаружения аномалий, локализации аномалий);
уменьшено время, затрачиваемое на разработку программных сенсоров для систем обнаружения аномального поведения АСОИ за счет использования созданной на языке C++ библиотеки классов.
Реализация и внедрение результатов работы!. Предложенные в диссертации методы и методики использовались для задач обнаружения ано-
мального поведения автоматизированных систем при контроле качества функционирования узлов АСОИ и обнаружении информационных атак на предприятиях:
ООО «Информационный центр «Эдвайзер», г.Тула;
Тульский территориальный фонд обязательного медицинского страхования, г. Тула;
000 «Аккауинт-Плюс», г. Тула.
Теоретические результаты работы используются в учебном процессе Тульского государственного университета в курсах «Сети ЭВМ и телекоммуникации», «Безопасность вычислительных сетей» на кафедре ЭВМ по специальностям 230101 «Вычислительные машины, комплексы, системы и сети» и 090105 «Комплексное обеспечение информационной безопасности автоматизированных систем».
Апробация работы. Основные результаты работы докладывались на международных и Всероссийских научно-технических конференциях, совещаниях и семинарах: на межрегиональной научно-технической конференции «Интеллектуальные и информационные системы. Интеллект-2004», «Интеллект 2007» (Тула, 2004, 2007 гг.), XXXI, ХХХИ, XXXIII международных молодежных конференциях «Гагаринские чтения» (Москва, 2005, 2006, 2007 гг.), Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых «Молодежь и современные информационные технологии» (Томск, 2007 г.), межрегиональной научно-технической конференции «Телематика 2007» (Саніст - Петербург, 2007 г.), научно-практической конференции «Управление созданием и развитием систем, сетей и устройств теле-коммуникаций»( Санкт - Петербург, 2008 г.), конференции, посвященной проблемам правовой и технической защиты «ПТЗИ-2008». (Барнаул, 2008 г.).
Публикации. По теме исследования опубликовано 12 печатных работ.
Структура и объем работы. Диссертационная работа состоит из введения, четырех глав и заключения, изложенных на 136 страницах машинописного текста, содержит 23 рисунка, 6 таблиц, список литературы из 94 наименований и 2 приложения.
