Translate this page:
Please select your language to translate the article


You can just close the window to don't translate
Library
Your profile

Back to contents

Software systems and computational methods
Reference:

The procedure of intrusions detection in information security systems based on the use of neural networks

Simavoryan Simon Zhorzhevich

PhD in Technical Science

Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University

354003, Russia, Krasnodarskii krai, g. Sochi, ul. Plastunskaya, 94

simsim@mail.ru
Other publications by this author
 

 
Simonyan Arsen Rafikovich

PhD in Physics and Mathematics

Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University

354000, Russia, g. Sochi, ul. Ostrovskogo, 37, kv. 91

oppm@mail.ru
Other publications by this author
 

 
Popov Georgii Aleksandrovich

Doctor of Technical Science

Head of the Department of Information Security, Astrakhan State Technical University

414025, Russia, Astrakhanskaya oblast', g. Astrakhan', ul. Tatishcheva, 16

popov@astu.org
Other publications by this author
 

 
Ulitina Elena Ivanovna

PhD in Physics and Mathematics

Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University

354003, Russia, Krasnodarskii krai, g. Sochi, ul. Plastunskaya, 94

ulitina@rambler.ru
Other publications by this author
 

 

DOI:

10.7256/2454-0714.2020.3.33734

Received:

24-08-2020


Published:

26-10-2020


Abstract: The subject of the research is the problem of identifying and countering intrusions (attacks) in information security systems (ISS) based on the system-conceptual approach, developed within the framework of the RFBR funded project No. 19-01-00383. The object of the research is neural networks and information security systems (ISS) of automated data processing systems (ADPS). The authors proceed from the basic conceptual requirements for intrusion detection systems - adaptability, learnability and manageability. The developed intrusion detection procedure considers both internal and external threats. It consists of two subsystems: a subsystem for detecting possible intrusions, which includes subsystems for predicting, controlling and managing access, analyzing and detecting the recurrence of intrusions, as well as a subsystem for countering intrusions, which includes subsystems for blocking / destroying protected resources, assessing losses associated with intrusions, and eliminating the consequences of the invasion. Methodological studies on the development of intrusion detection procedures are carried out using artificial intelligence methods, system analysis, and the theory of neural systems in the field of information security. Research in this work is carried out on the basis of the achievements of the system-conceptual approach to information security in ADPS.The main result obtained in this work is a block diagram (algorithm) of an adaptive intrusion detection procedure, which contains protection means and mechanisms, built by analogy with neural systems used in security systems.The developed general structure of the intrusion detection and counteraction system allows systematically interconnecting the subsystems for detecting possible intrusions and counteracting intrusions at the conceptual level.


Keywords:

neural networks, intelligent systems, information protection, information security support, intrusion detection systems, information protection strategies, automated data processing, adaptable systems, attack detection system, software information protection


Введение

Проблема выявления и противоборства атакам в системах обеспечения информационной безопасности (ОИБ) является одной из наиболее актуальных в процессе обеспечения ИБ объектов обработки данных. Особенно актуальна проблема выявления вторжений, то есть атак, сумевших преодолеть внешние рубежи защиты и проникнуть в систему обработки данных. Актуальность данной проблемы отражена, в частности, в серии из четырех нормативных документов Федеральной службы по техническому и экспортному контролю (ФСТЭК) [1],[2].

Данная работа посвящена анализу возможностей использования нейронных сетей применительно к выявлению угроз и, прежде всего, вторжений в систему ОИБ. Работ по данной тематике в открытой печати относительно немного; выделим работы [3],[4],[5] наиболее близких по постановкам задач и их анализу.

Основная часть.

1. Анализ некоторых особенностей проблемы выявления вторжений.

Прежде чем рассмотрим конструктивные вопросы, связанные с процессом выявления вторжений, проведем анализ особенностей этих процессов.

Способность атаки перерасти в угрозу указывает на высокий профессиональный уровень подготовки юридических и физических лиц, осуществляющих эти атаки – назовем их источником угроз. В редких случаях такими источниками оказываются отдельные хакеры или их группы. Но в подавляющем числе случаев источник атак представляет собой специализированную организацию, включающих требуемое число профессионалов самого высокого уровня и имеющих очень серьезные намерения, связанные с проникновением в рассматриваемую систему обработки данных. Применительно к государственным организациям, подобные атаки могут быть организованы спецслужбами других стран, специальными профессиональными коллективами, работающими на крупные государственные организации или частные компании.

Если в случае хакерского проникновения в систему потери организации, на которую совершается атака (назовем хранителем информации), могут оказаться относительно небольшими, то в случае атаки со стороны подготовленных профессиональных организаций потери могу оказаться огромными. Поэтому при формировании системы выявления и противодействия вторжениям необходимо исходить из точки зрения, что вторжения подготовлены и проведены профессионально подготовленной, специализированной организацией, имеющей требуемый состав и требуемое число высокопрофессиональных специалистов, в необходимом объеме финансовые и материальные ресурсы, а также пользующейся поддержкой и/или покровительством государственных органов страны, где она расположена. Рассмотрим некоторые выводы, которые проистекают из данной позиции.

Прежде всего, успешность атаки означает, что, скорее всего, методы совершения злоумышленного проникновения оказались неожиданными и новыми для системы ОИБ, что и обеспечило текущую успешность проведения атаки, то есть возможность проникнуть непосредственно в зону обработки данных. Таким образом, вторжения имеют значимо больший уровень непредсказуемости по сравнению с другими типами атак. Именно из-за высокого уровня непредсказуемости вторжений типовые методы выявления и нейтрализации вторжений оказываются часто бесплодными и нерезультативными.

Далее, потери, вызванными вторжениями, нередко оказываются существенно большими, чем при других типах атак. Это связано, во-первых, с неготовностью системы ОИБ эффективно противостоять вторжениям, и, во-вторых, с тем, что обычно профессиональные действия при взломе хранилищ и систем обработки данных предполагают внедрение программных и иных средств, максимально затрудняющих поиск источника атак и выявления особенностей технологи реализации вторжения, то есть вредоносных программ, приводящих к значительным разрушениям в системах обработки и хранения данных. Таким образом, вторая особенность вторжений, которая не всегда, но часто сопровождает вторжения, – значительные потери в системе обработки данных, вызванные прямым и косвенным воздействием вредоносных программ.

Наконец, третья особенность вторжений – повторяемость попыток по реализации вторжений до тех пор, пока вторжение окажется удачным, повторяемость вторжений в разных местах, на разных объектах, в разное время. Это обусловлено тем, что вторжения осуществляются профессиональными организациями, которые обычно целенаправленно, педантично и последовательно проводят запланированные мероприятия по реализации вторжений. Кроме того, если разработанная технология вторжения оказалась удачной, то источник атак применяет ее многократно – на том же или другом объекте, в разное время, в разной ситуации.

Таким образом, выявлены три характерные особенности вторжений: 1) высокий уровень непредсказуемости вторжений; 2) значительные потери в системе обработки данных; 3) повторяемость вторжений – по попыткам, по месту реализации, по времени реализации. Система выявления и противодействия вторжениям должна, несомненно, учитывать эти особенности вторжений и максимально нивелировать, и уменьшать воздействие этих факторов.

Особенно важным является нивелирование опасности непредсказуемости вторжений. Традиционные методы выявления, основанные на точных моделях и алгоритмах, реализующих эти модели на

принципах использования сигнатурного анализа для обнаружения вредоносных программ, принципиально не могут быть использованы для устранения непредсказуемости вторжений, поскольку они опираются на детерминированные процедуры и не могут быть использованы при появлении новых способов проникновения в систему. Целесообразно использовать методы, способные оперативно адаптироваться при возникновении новых условий и особенностей атак. Перечень подобных методов достаточно обширен: сюда входят: значительная часть эвристических методов, включая разные многочисленные модификации генетического алгоритма, методы с самообучением, случайного поиска и другие.

В последние два десятилетия среди подобных адаптивных методов наибольшую эффективность показали интеллектуальные системы защиты информации, разработанные на основе нейросетевых систем обнаружения атак и механизмов искусственных иммунных систем, в том числе и на базе системно-концептуального подхода. Большие успехи, связанные с их использованием в разных сферах – распознавание лиц, проектирования микросхем и других – вселяют определенные позитивные ожидания, что применительно и к системам ОИБ при решении задач противодействия вторжениям использование нейронных и иммунных систем обнаружения атак приведет к положительным результатам.

Отметим, что использование нейронных и иммунных систем может оказаться успешным и при реализации подсистем, нейтрализующих другие перечисленные выше особенности вторжений. Именно, при попытке уничтожения содержимого системы обработки данных адаптивная система может вовремя среагировать на подобные действия и принять контрмеры. Далее, процесс повторяемости вторжений имеет весьма расплывчатое сходство с первоначальной (или предыдущими) атакой (атаками), и поэтому выявление повторений также целесообразно делать на основе адаптивных методов, чтобы выявить и максимально учесть неизменные повторяемые параметры этих атак. То есть выявление повторяемости атак, приводящих к вторжениям, также целесообразно реализовывать на основе нейронных сетей.

Таким образом, использование нейронных сетей в системах выявления и противодействия вторжениям (СВиПВ) позволит существенно повысить их эффективность. Естественно, встает вопрос разработки конкретной структуры нейронных сетей, решающих перечисленные задачи. Предварительно сформируем общую концепцию построения и общую технологию функционирования указанной СВиПВ.

2. Концепция построения системы выявления и противодействия вторжениям.

В данном разделе приводится общая концепция и общая технология функционирования СВиПВ. Как было обосновано выше, в качестве базового метода в технологии функционирования СВиПВ выбраны нейросетевые системы обнаружения атак и механизмы искусственных иммунных систем. Применительно к СВиПВ одним из важных их достоинств является (хотя возможны и случаи, когда описываемое достоинство превращается в слабость) является то, что система постоянно функционирует в режиме обучения и адаптации, модифицируясь и приспосабливаясь к изменяющимся условиям функционирования, прежде всего, параметрам угроз и вторжений. Напомним, что основная отличительная особенность систем безопасности, в том числе и СВиПВ, является противостояние с субъектом-злоумышленником, который постоянно ищет новые возможности для реализации вторжений и тем самым создавая новые варианты для проникновения к защищаемой информации. Поэтому необходимо непрерывно приспосабливаться к новым вариантам действий злоумышленника.

Выше были выделены три важных специфических свойства, характерных для большинства случаев возникновения вторжений: низкая предсказуемость вторжений, высокие потери, связанные с ними, и определенная повторяемость. Для отслеживания этих свойств предлагается в состав СВиПВ включить три подсистемы: 1) предсказания вторжений; 2) оценки потерь, связанных с конкретными вторжениями; 3) анализ и выявление повторяемости вторжений. Эти подсистемы в целом, работая автономно, в определенных ситуациях могут вступать в контакт и взаимодействовать друг с другом с целью повышения эффективности выявления вторжений. В частности, если в одной из подсистем возникает подозрение на наличие вторжений с относительно невысокой вероятностью этого факта, то возможно путем целенаправленной работы другой подсистемы уточнить факт вторжения, то есть либо увеличить, либо уменьшить указанные вероятности. Здесь под целенаправленными действиями понимаются действия, использующие прежде всего данные, касающиеся предполагаемого вторжения. Поэтому перечисленные подсистемы должны быть способны на проведение узконаправленного анализа информации.

В дополнение к перечисленным трем подсистема необходимо добавить также следующие, типичные для любых систем противодействия угрозам и атакам, подсистемы: выявления возможных вторжений, контроля и управления доступом, противодействия вторжениям, блокирования, уничтожения защищаемых ресурсов, ликвидации последствий вторжения. Это минимально необходимый набор необходимых подсистем. Отметим, что перечисленные подсистемы достаточно сложно устроены. Так, например, одна из наиболее важных подсистем противодействия вторжениям должна включать, в частности, механизмы управления средствами противодействия, анализа их эффективности, локализации и блокирования вторжений, их нейтрализации, выявление возможных каналов проникновения вторжений в объект защиты, анализ эффективности работы подсистемы противодействия. И все эти подсистемы должны функционировать согласовано, под общим управлением. Общая структура СВиПВ приводится на рис. 1.

Рис. 1. Общая структура СВиПВ.

Отметим некоторые особенности функционирования приведенной схемы. Прежде всего, источники вторжений могут быть как внешние, то есть находящиеся за пределами контролируемой зоны, так и внутренние, в том числе со стороны персонала, а также комбинированные, являющиеся продуманным симбиозом внешних и внутренних вторжений. Процедуры выявления вторжений и противодействия для внешних и внутренних вторжений имеют важные отличия. В частности, подсистемы СВиПВ, предназначенные для противодействия внешним вторжениям, сильно связаны с сетевым программно-аппаратным обеспечением. В тоже время подсистемы, связанные с внутренними вторжениями, существенно взаимодействуют с системами контроля доступа. Таким образом, приведенная на рис. 1 система, должна включать автономные механизмы противодействия внешним и внутренним вторжениям.

Основное функциональное ядро СВиПВ разбита на две части: первая часть нацелена на выявление вторжений, а вторая – на эффективное противодействие вторжениям, в том числе и тем, которые не были выявлены. Остальные перечисленные выше подсистемы дополняют указанные две подсистемы рядом дополнительных важных возможностей. Именно, для подсистемы выявления вторжений дополняющими и расширяющими ее возможности являются подсистемы предсказания вторжений, анализа и выявления повторяемости вторжений, контроля и управления доступом; для подсистемы противодействия вторжениям повышающими эффективность противодействия являются подсистемы блокирования и уничтожения защищаемых ресурсов, оценки потерь, связанных с вторжениями и ликвидации последствий вторжения.

Кратко опишем общую технологию функционирования схемы, приведенной на рис. 1. В подсистеме выявления возможных вторжений в режиме непрерывного времени проводится сканирование всех объектов информационной системы на предмет выявления возможных вторжений. Используются разные методы, начиная от технических средств, например, съема данных с разных датчиков, и заканчивая аналитическими методами оценки текущей ситуации. При этом наряду с однозначными ответами (есть вторжение/ нет вторжения) типичной является ситуация, когда однозначного ответа нет, то есть имеются лишь определенные предположения, гипотезы о наличии вторжения. В этом случае для получения более определенного ответа проводится анализ представленных подсистемой выявления данных другим ассоциированными подсистемами: подсистема предсказания вторжений оценивает вероятность вторжения на текущий момент и на этой основе позволяет представление о вторжении; подсистема анализа повторяемости вторжений в учетом оценок циклов повторяемости также позволяет изменить значение вероятности вторжения; наконец, подсистема контроля и управления доступом по полученным данным формирует ответ на вопрос, могло ли вторжение обойти или «обмануть» подсистему контроля доступа. По результатам такого комплексного анализа и делается заключение о наличии/ отсутствии вторжения. Подсистемы предсказания и анализа повторяемости вторжений позволяет также принять определенные превентивные меры по выявлению и противодействию вторжениям, а также по контролю доступа.

В результате работы предыдущих подсистем вторжение либо было выявлено, и тогда подсистемы, входящие в блок противодействия вторжениям, реализуют цикл конкретных действий и мероприятий по нейтрализации вторжения. В случае же если вторжение не было выявлено, системы блока противодействия могут нейтрализовать вторжение на основе обще профилактических и системообразующих (то есть связанных с поддержанием в идеальном порядке всех параметров системы) мероприятий и действий, которые даже «вслепую» могут нейтрализовать вторжение. В случае если вторжение было выявлено достаточно поздно, когда процесс нарушения информационной безопасности стал неотвратимым, реализуются мероприятии, связанные с возможным блокированием закрытых данных или даже их уничтожения, чтобы не произошло утечки информации. После нейтрализации или завершения вторжения СВиПВ проводит серию мероприятий с целью уменьшения последствий вторжения, представленных последними двумя подсистемами.

Отметим, описанный выше цикл системы непрерывно повторяется. Приведенное выше описание процедуры работы СВиПВ показывает, каждая из приведенных на рис. 1 подсистем имеет достаточно сложную структуру и технологию функционирования, что предполагает дальнейший анализ всех подсистем.

Как следует из приведенного выше описания процесса противодействия вторжениям, имеются две наиболее сложные ситуации по вторжениям, которые связаны либо с малой готовностью СВиПВ к противодействию массированным хорошо подготовленным комбинированным вторжениям, использующих весь арсенал возможных средств и методов, либо почти с невозможностью своевременного обнаружения факта вторжения. Отметим, что информационная система может быть подвергнута вторжению, так и не узнав об этом.

Заключение.

В работе проведен анализ основных особенностей вторжений, выявлены три такие особенности, описано их содержание: первая - высокий уровень непредсказуемости вторжений; вторая - значительные потери в системе обработки данных, вызванные прямым и косвенным воздействием вредоносных программ; третья – повторяемость попыток по реализации вторжений до тех пор, пока вторжение окажется удачным в разных местах, на разных объектах, в разное время.

На основе выявленных особенностей, а также типовых мероприятий по противодействию атакам на информационные ресурсы, сформирована общая концепция противодействия вторжениям, представленная в виде схемы рис.1.

Выводы.

Дальнейшие исследования в этом направлении, т.е. в направлении выявления вторжений в системах информационной безопасности на основе использования нейронных сетей, с учетом высокого уровеня непредсказуемости вторжений; значительных потерь в системах обработки данных, вызванные прямым и косвенным воздействием вредоносных программ; а также постоянной повторяемости попыток по реализации вторжений, прежде всего связаны с необходимостью разработки процесса работы каждой из подсистем до уровня конкретных алгоритмов. Разработанная общая структура системы выявления и противодействия вторжениям позволяет на системно связывать подсистемы выявления возможных вторжений и противодействия вторжениям на концептуальном уровне.

Благодарности. Работа выполнена при финансовой поддержке гранта РФФИ №19-01-00383.

References
1. https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/406-metodicheskie-dokumenty-utverzhdeny-fstek-rossii-3-fevralya-2012-g-Rezhim dostupa 15.04.2020.
2. https://fstec.ru/tekhnicheskaya-zashchita-info Rezhim dostupa 15.04.2020.rmatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/407-metodicheskie-dokumenty-utverzhdeny-fstek-rossii-6-marta-2012-g-Rezhim dostupa 15.04.2020.
3. G. A. Popov, S. Zh. Simavoryan, A. R. Simonyan, E. I. Ulitina Modelirovanie protsessa monitoringa sistem informatsionnoi bezopasnosti na osnove sistem massovogo obsluzhivaniya // Informatika i ee primeneniya, 2020. T. 14. Vyp. 1. S. 71-79.
4. Kovalev D.O. Vyyavlenie narushenii informatsionnoi bezopasnosti po dannym monitoringa informatsionno-telekommunikatsionnykh setei. / Avtoreferat dissert. na soisk. kand. tekhn. nauk. Moskva. 2011. https://www.dissercat.com/content/vyyavlenie-narushenii-informatsionnoi-bezopasnosti-po-dannym-monitoringa-informatsionno-tele/read-Rezhim dostupa 15.04.2020.
5. Chio K, Frimen D. Mashinnoe obuchenie i bezopasnost' / per. s angl. A. V. Snastina. – M.: DMK Pres, 2020.-388 s.: il.