Введение к работе
Актуальность темы исследования. Рынок средств обеспечения информационной безопасности (далее - ИБ) информационных технологий (далее -ИТ) представляет динамичную сферу капиталовложений, которая приносит немалую прибыль: рост рынка средств обнаружения компьютерных атак в 2010 г. составил $520 мли. Прогнозируются следующие тенденции развития систем обеспечения информационной безопасности:
S штеллектуалшацдя средств обеспечения ИБ и их интеграция с иными средствами защиты с целью всестороннего анализа состояния защищенности информационных систем для критических сфер применения (далее - КИС);
/ переход на защищенные платформы, объединяющие защищенную операционную систему и предварительно настроенную систему обнаружения атак:
S рост числа организаций, зашімающихся аутсорсингом средств защиты.
Согласно прогнозам известной на рынке информационных технологий компании «Gartner», 85% крупнейших международных компаний с вероятностью 0,8 воспользуются к 2015 году функциями современных систем обнаружения аномалий. Обнаружение аномалий относится к наиболее актуальным проблемам различных федеральных целевых ироірамм в области защиты информации. Актуальность задачи объясняется тем, что существующие системы обнаружения вторжений ежедневно обнаруживают до 600 попыток несанкционированного автоматического вторжения, что, по мнению экспертов, не более 17% от общего числа реально осуществляемых атак.
В этой связи научные и научно-технические издания обсуждают необходимость придания средствам защиты информации (далее - СЗИ) эволюционных качеств, присущих биосистемам, таких как возмолшосгь развития и адаптивность. Известные производители программного обеспечения (далее - ПО), например, «Microsoft», заявляют о применении «технологии активной защиты», основанной на оценке поведения программ с точки зрения их потенциальной опасности. В частности, СЗИ корректируют средства защиты компьютера щж изменении его статуса или блокируют его, если возникает подозрение в заражении вирусом или проникновении соумышленника.
Постановка задачи разработки технологии создания адаптивных средств мониторинга безопасности (далее - МБ) носит комплексный характер и использует биосистемную аналогию начиная с формы представлешга информации, програшшрования ішформационньгх процессов и заканчивая архитектурой КИС со
встроенными механизмами обеспечения безопасности.
Основным ігаправлеі-шем развития КИС, удовлетворяющим требованиям информащюгаюй безопасности, молшо считать создшшс адаптивных средств МБ, удобных для технической реализации с привлечением современных наноэдектронных технологий в виде сверхбольших интегральных схем (далее -СБИС), ориенгированных на высоконадежные механизмы жизнеобеспечения и информационной защиты биосисте.м.
Высокая производительность КИС при решении задач, характеризующихся нечеткой, недостоверной информацией, нерегулярными процессами обработки с изменяющимися в процессе эксплуатации системы составом и взаимосвязями компонентов, может обеспечиваться параллелизмом нейросетевых вычислений и управлением потоком данных (далее - УПД). Подобные вычисления необходимы в задачах управления и обеспечения ИБ сложных комплексов на основе адаптивных КИС с защищеііньїми процессами обрабагки и хранения больших объемов конфиденциальной информации.
Важным принципом биосистемной аналогии является представление жизненно важных функций и информации в форме топологии, например, генетического кода биологического вида. Подход УПД описывает топологию КИС в виде совокупности командных пакетов (далее - КП), каждый из которых соответствует отдельному фрагменту топологии и определяет реализуемую фрагментом футгкцию, а также местоположетше источников исходных данных и приемников результатов. Пакеты данных (далее - ГІД) предназначены дня передачи результатов обработки информации от одних КП (источников) другим KIT (приемникам).
Известные технологии не ориентированы на разработку КИС, Гфедназначешшх для решения нечетких плохо формализуемых задач, где применимы нечеткие и нейросетевые средства, не учитывают специфику процессов, свойственных средствам интеллектуального анализа данных в составе средств МБ. Не разработаны конкретные модели и методы создания адаптивных КИС со встроенными функциями информационной безопасности, способных приспосабливаться к изменению условий эксплуатации и множества угроз.
Целью диссертационно» работы является разработка модели и метода построения адаптивных средств, в составе систем МБ КИС, учитывающих изменение множества угроз, условий эксплуатации и ориентированных на специфику процессов, свойственных средствам штеллсктуального анализа данных в режимах функционирования и обучения.
Задачи исследования. Осповшлм объектом исследовании являются КИС со встроенными функциями ИД а предметом исследоваїшй - модель и мегод построения средств интеллектуального анализа данных (средств МБ) в составе адаптивных систем МБ.
Основными задачами, решаемыми в настоящем исследовании, являются:
» разработка формальной модели процессов работы и адаптации нейросетевых средств МБ;
» работка метода адаптацій нейросетевых средств мониторинга безопасности;
v создание инструментального программного комплекса и методики его применения для исследования адаптивных средств МБ.
Методы исследований, примененные в диссертации, включают в себя методы теории информациошюй безопасности систем, теории нейронных сетей, теории нечетких множеств, теории схем программ, теоріш параллельных вычислительных систем, теоріш программіфования, а также моделирование и исследование средств интеллектуального анализа данных в составе адаптивных систем МБ.
Научная новизна исследований. В результате исследований в диссертационной работе подмены следующие новые напише результаты:
-
Разработана формальная модель (модель пакетной нейросетевой программы (далее - ПНП)) процессов работы и адаптации нейросетевых средств МБ, отличающаяся адекватным отражением формальными методам! специфики различных подходов к оргашгзацин нейросетевых распределенных вычислений для адаптивных систем защиты информации посредством ПНП.
-
Разработан мегод адаптащпт нейросетевых средств мониторинга безопасности, отлтгчающийся представлением информации в виде нечеткого адаптивного распределенного информационного поля.
3) Исхода из модели и метода проектирования КИС со встроенной защитой
информационных процессов и ресурсов, предложенных в диссертационной работе,
разработаны ішетршентальньїе средства мониторинга безопасности КИС.
Практическая значимость полученных результатов состоит в следующей:
1) Разработаны архитектурные решения адаптивгшгх нейро-нечетких средств МБ. отличающиеся сочетанием биосистемной аналогии и архитектурных
особенностей нейронных сетей, систем нечеткой логики, регулярных вычислительных структур и управления потоком данных.
Исходя из модели и метода проектирования КИС со встроенной защитой информационных процессов и ресурсов, предложенных в диссертационной работе, разработаны технические решения нейросетевых систем МБ.
Достоверность основных положений диссертационной работы подгверждается аналитическими исследованиями, результатами моделирования, а также внедрением в научно-исследовательских работах, разработках нейросетевых средств МБ и программных средств в ЗЛО «Эврика», войсковой часта 45807, войсковой части 43753 и ряде других организаций в период с 2008 г. по 201] г., а также при создании образцов нейросетевых средств мониторинга безопасности конкретных КИС.
Основные положения, выносимые па защиту:
1) Формальная модель процессов работы и обучения нейросетевых средств
МБ, достоверность которой вытекает из хорошей корреляции результатов
аналитического исследования функциональной устойчивости нейронных сетей.
2) Метод адаптации нейросетевых средств МБ, достоверность которого
подтверждена аналитическими исследованиями и сравнением полученных
результатов с известными методами обучения нейронной сети.
Апробация работы. Основные положешія диссертационной работы докладывались, обсуждались и нашли одобрение научной общественности на 2 международных конференциях.
Публикации. Результаты работы, полученные в диссертации, нашли отражение в 10 научных работах по теме диссертации, в том числе 2 статьях опубликованной в журнале, рекомендованном ВАК России дня изложения результатов кандидатских диссертаций.
Внедрение. Результаты, полученные в работе, практически использованы при выполнении госбюджетных научно-исследовательских и хоздоговорных работ, выполненных в ЗАО «Эврика», войсковой части 45807 и в других организациях в период с 2009 г. по 2011 г. Результаты также внедрены в учебный процессе СПб НИУ ИТМО и СПб ГУТ им. проф. М.А. Бонч-Бруевича при подготовке студентов но специальностям: 090104 - «Комплексная защита объектов информатизации» и 210403 - «Защищенные системы связи».
Структура и объем работы. Диссертация состоит из введения, 4 глав и заключения. Основное содержание изложено на 191 странице, включая 89 рисунков и