Translate this page:
Please select your language to translate the article


You can just close the window to don't translate
Library
Your profile

Back to contents

Software systems and computational methods
Reference:

On the concept of creating intelligent information security systems based on neural network intrusion detection systems in automated data processing systems

Simavoryan Simon Zhorzhevich

PhD in Technical Science

Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University

354003, Russia, Krasnodarskii krai, g. Sochi, ul. Plastunskaya, 94

simsim@mail.ru
Other publications by this author
 

 
Simonyan Arsen Rafikovich

PhD in Physics and Mathematics

Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University

354000, Russia, g. Sochi, ul. Ostrovskogo, 37, kv. 91

oppm@mail.ru
Other publications by this author
 

 
Ulitina Elena Ivanovna

PhD in Physics and Mathematics

Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University

354003, Russia, Krasnodarskii krai, g. Sochi, ul. Plastunskaya, 94

ulitina@rambler.ru
Other publications by this author
 

 
Popov Georgii Aleksandrovich

Doctor of Technical Science

Head of the Department of Information Security, Astrakhan State Technical University

414025, Russia, Astrakhanskaya oblast', g. Astrakhan', ul. Tatishcheva, 16

popov@astu.org
Other publications by this author
 

 

DOI:

10.7256/2454-0714.2019.3.30583

Received:

20-08-2019


Published:

08-09-2019


Abstract: The subject of the research is the concept of creating intelligent information protection systems based on neural network intrusion detection systems in automated data processing systems, developed as part of the funded project of the RFBR No. 19-01-00383. The object of the study is the intelligent information protection systems in automated data processing systems, built on the basis of neural intrusion detection systems, and later on the mechanisms of artificial immune systems. The authors consider adaptability, learning ability and controllability as the main conceptual requirements for the intrusion detection systems. Particular attention is focused on the construction of a flexible intelligent information protection system containing intrusion detection systems in both the nodes of the structural components of automated data processing systems, and in data transmission networks between structural components. Methodological studies of the chosen research direction are carried out using the methods of artificial intelligence, system analysis, the theory of intelligent information systems in the field of artificial intelligence. The work uses the achievements of a system-conceptual approach to information protection in automated data processing systems. The main result of the study is the conclusion that successful protection of information in automated data processing systems can only be carried out in a network in the form of interconnected local intrusion detection systems using neural network technologies combined into a single head center based on a system-conceptual approach. To combat unauthorized intrusions, it is necessary to adopt a unified systematic approach based on uniform legal, organizational and technical measures to protect information. The application of a system-conceptual approach to the creation of intrusion detection systems based on neural network technologies will contribute to the development of new tools, methods and activities for the intelligent management of information security in automated data processing systems.


Keywords:

intelligent systems, protection of information, neural systems, intrusion detection systems, information security strategies, automated data processing, adaptable systems, attack detection system, software information protection, hardware information protection


Введение. Система обнаружения вторжений (СОВ) или система обнаружение атак (СОА) - программное или аппаратное средство защиты информации, предназначенное для предупреждения несанкционированного доступа в автоматизированные системы обработки данных (АСОД) различного назначения [2]. Системы обнаружения вторжений обеспечивают дополнительный уровень защиты информации в АСОД и являются одним из основных компонентов системы защиты информации. Перспективными считаются СОВ построенные на основе нейросетевых технологий, которые способны провести анализ больших потоков данных из сети на наличие угроз и обнаружить их. Особенностью искусственных нейронных сетей является то, что эти сети поддаются обучению, и после обучения способны адаптироваться под новые типы угроз и распознавать их, даже если они до этого с ними не сталкивались. Сам термин «вторжение», в связи с его многозначностью по-разному трактуется специалистами по безопасности - нарушение безопасности, атака, проникновение, нападение и др. На основании терминологии ГОСТ [2] под атакой на информационную систему следует понимать один или несколько инцидентов информационной безопасности, связанных с человеческим фактором, которые в совокупности могут привести к реализации угроз путем использования уязвимостей этой информационной системы. Инцидент информационной безопасности - это любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

В настоящее время, наиболее серьезные угрозы через Интернет исходят: 1) от атак, построенных на использовании уязвимостей таких приложений как сервисы HTTP (TCP порт 80) и HTTPS (TCP порт 443), которые во многих сетях открыты именно на уровне приложений модели OSI (Open Systems Interconnection), 2) от вирусов, 3) от Spyware и 4) от спама [12, 13].

Задача интеллектуального противоборства злоумышленников и службы защиты информации актуальна и требует регулярного решения [6,7,9]. На сегодняшний день применение нейронных сетей в СОВ является перспективным направлением, и её дальнейшее развитие связано с совершенствованием процедур их обучения [15, 16].

Решение задач по разработке эффективных СОВ может быть осуществлено только на базе системно-концептуального подхода к созданию интеллектуальных систем защиты информации [10, 11, 17].

Основная часть

Концепцию создания интеллектуальных систем защиты информации на основе нейросетевых систем обнаружения атак в АСОД можно отнести к концепции создания систем дистанционной поддержки критических технологий [1]. Основу концепции составляет построение гибкой системы СОВ в узлах автоматизированных территориально распределенных информационно-вычислительных сетей и в сетях передачи данных между узлами сети. Поскольку компоненты СОВ, построенные на нейросетевых технологиях, а в дальнейшем, с добавлением механизмов искусственных иммунных систем, являются функционально самостоятельными и обучаемыми подсистемами систем защиты информации во всех структурных компонентах АСОД, то согласование их работы требует создания главного центра управления этими системами [1]. Основными концептуальными требованиями к системе СОВ являются адаптируемость и обучаемость. Адаптируемость достигается основными характеристиками предъявляемым к нейронным системам, а управляемость достигается регламентированным процессам реализации макропроцессов управления защитой информации.

На сегодняшний день, на современном рынке существует множество различных СОВ, например, OSSEC - является масштабируемой, мульти платформенной узловой СОВ, Bro - является сетевой системой обнаружения вторжений с открытым исходным кодом, CATNET - это интеллектуальная система для обнаружения, анализа и регистрации инцидентов в сети, Snort - это продукт с открытым исходным кодом для обнаружения и предотвращения вторжений. Эти СОВ сравниваются между собой по следующим свойствам: бесплатность, открытость исходного кода, мультиплатформенность, простота в настройке, наличие различных сообществ поддерживающих пользователей, включение в себя системы не только определения, но и предотвращения вторжений [12].

Разработкой и созданием современных СОВ занимаются и многие разработчики антивирусных программ, например, такие как: Kaspersky Lab, Dr. Web, McAfee, Nod32, Panda Adaptive Defense 360, Avast и многие другие [13].

В работе [14] приведен перечень СОВ (СОА), сертифицированных ФСБ или ФСТЭК России: Аргус (версия 1, версия 2), детектор атак «Континент», Рубикон, Ручей-М, Тор, Форпост (версия 1), ViPNet IDS.

Для создания эффективных СОВ на базе системно-концептуального подхода требуется разработать 1) единые требования к анализу больших баз данных на основе единой методики их обработки [4]; 2) единые методы классификации вторжений [3]; 3) единые схемы технологических маршрутов обработки и анализа поступающей информации в АСОД [5].

Функции защиты от вторжений. Функциональный подход к разработке СОВ заключается в том, что за основу организации защиты принято понятие функции защиты информации, концептуальным требованием к которым является требование полноты. Под функцией защиты понимается однородная в функциональном отношении совокупность мероприятий и решений, осуществляемых в интересах обеспечения ЗИ [8]. Под полнотой функции понимается их свойство, заключающееся в том, что планомерное и регулярное выполнение этих функций помогает достичь требуемый уровень защищенности информации. Сформулируем полное множество функций защиты от вторжений в АСОД: 1) предупреждение условий, порождающих проникновение вторжений в АСОД; 2) предупреждение проникновений зловредного кода в сети АСОД; 3) обнаружение проявившихся вторжений; 4) предупреждение воздействия вторжения на информацию; 5) обнаружение воздействия вторжения на информацию; 6) локализация воздействия вторжения на информацию; 7) ликвидация последствий воздействия вторжения. В зависимости от исхода осуществления каждой из функций защиты от вторжений будет иметь место одно событие из множества итоговых событий по обнаружению, предупреждению воздействий, локализации и ликвидации последствий вторжения, которые в совокупности составляют полное множество несовместных случайных событий. Отсюда следует, что сумма вероятностей благоприятных итоговых событий выражает вероятность надежной защиты информации от вторжений. Этим и создаются объективные предпосылки для оптимального использования ресурсов, выделяемых на защиту информации от несанкционированных вторжений.

Задачи защиты от вторжений. Реализация функций защиты осуществляется решением репрезентативного множества специально разработанных задач защиты от вторжений. Репрезентативность множества задач определяется как такое их свойство, при котором имеются возможности эффективного осуществления всех функций защиты в соответствии с требованиями надежной защиты. Перечень и содержание конкретных задач на каждом структурном компоненте АСОД и каждой технологической схеме обработки информации определяется исходя из потенциально возможных способов защиты, а именно: а) препятствие; б) регламентация; в) управление; г) маскировка; д) принуждение; е) побуждение [8, 11, 17]. Перечень задач определяется экспертным путем.

Методы управления деятельностью СОВ. Одно из важнейших требований к системе СОВ заключается в создании в ней механизмов управления процессами защиты. В соответствии с теорией защиты информации СОВ относятся к системам организационно-технологического типа. Основными функциями управления в таких системах являются: а) планирование; б) оперативно-диспетчерское регулирование быстротекущих процессов; в) календарно- плановое руководство; г) обеспечение повседневной деятельности органов управления [17]. Применительно к СОВ, построенных на нейросетевых технологиях, необходимо взять за основу централизованно-децентрализованную схему управления защитой информации от вторжений, заключающейся в обеспечении узлов защиты АСОД возможностями осуществлять автономное управление своими средствами защиты от вторжений, а главному центру - централизованное управление всей сетью (всей или ее частью) при обработке информации по единой технологии. В целях обеспечения высокой эффективности оперативно-диспетчерского управления процессами обнаружения быстротекущих процессов вторжений (доля которых в общем объеме процессов управления защитой весьма большая и с течением времени возрастает) необходимо осуществить полную их структуризацию, а именно: а) классифицировать по единой методологии все потенциально возможные вторжения; б) все сообщения о вторжениях строго формализовать и разделить по степени срочности; в) строго регламентировать процесс генерирования, передачи и обработки сообщений о вторжениях как по вертикали, так и по горизонтали в структурных компонентах АСОД; г) разработать четкие алгоритмы работы службы безопасности по борьбе с потенциально возможными вторжениями. Планирование, календарно-плановое руководство о обеспечение повседневной деятельности службы защиты информации также являются неотъемлемой частью общего управления защитой информации от вторжений.

Заключение.

Из краткого изложения сделаны следующие выводы:

- в российских и в зарубежных СОВ используются в основном одни и те же принципы построения СОВ, основанные на сигнатурном, эвристическом и их комбинации анализе;

- сенсоры и детекторы с установленными на них программами анализа первичных источников информации о компьютерных атаках выполняют практически одни и те же функции;

- от сенсоров и детекторов информация о компьютерных атаках поступает в специальный центр, который обеспечивает хранение и обработку информации о вторжениях;

- для борьбы с несанкционированными вторжениями, как со злом в общенациональном и мировом масштабах, необходимо принять единый, системный подход, основанный на единых правовых, организационных и технических мерах защиты информации.

Таким образам, проблема надёжного обеспечения защиты информации с помощью СОВ, на основе нейросетевых систем обнаружения вторжений в АСОД, вытекает из общего фундаментального положения системно-концептуального подхода к защите информации регламентирующего заблаговременную и упреждающую тактику применения эффективных средств, методов и мероприятий по защите информации в АСОД.

Выводы. В концептуальном плане системно-концептуальный подход позволит создавать не просто сеть СОВ, а системы СОВ дистанционного обучения, системы взаимосогласованной (с управляемой) функциональной защитой данных в территориально-распределенных центрах по борьбе с хакерами и мошенниками в сети. Организационно сеть необходимо создавать в виде связанных сетью передачи данных локальных центров СОВ, объединенных с одним головным центром.

Благодарности

Работа выполнена при финансовой поддержке гранта РФФИ №19-01-00383.

References
1. Ukaz Prezidenta RF ot 15 yanvarya 2013 g. N 31s «O sozdanii gosudarstvennoi sistemy obnaruzheniya, preduprezhdeniya i likvidatsii posledstvii komp'yuternykh atak na informatsionnye resursy Rossiiskoi Federatsii».
2. GOST R ISO/MEK. 13335-1-2006. Informatsionnaya tekhnologiya. Metody i sredstva obespecheniya bezopasnosti. Chast' 1. Kontseptsiya i modeli menedzhmenta bezopasnosti informatsionnykh i telekommunikatsionnykh tekhnologii / M.: Standartinform, 2007. 18 s.
3. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A., Pilosyan E.A., Kornienko N.A. Search fuzzy image of the attacker based on the use of automatic classification methods // Modeling of Artificial Intelligence. 2017. № 4-1. S. 29-38.
4. Kopyrin A.S., Simavoryan S.Zh., Simonyan A.R., Ulitina E.I. The methodology of risk analysis in assessing information security threats // Modeling of Artificial Intelligence. 2017. № 4-2. S. 78-85.
5. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Makarova I.L., Simonyan R.A. The task of determining the optimal technological scheme for the operation of information security systems // European Journal of Computer Science. 2017. № 3 (1). S. 17-22.
6. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Makarova I.L., Simonyan R.A. Sreating the conditions for the theoretical and practical solution of the problem of automated intelligent search for the attacker’s image in ADPS // Modeling of Artificial Intelligence. 2016. № 3 (11). S. 166-176.
7. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A. Research of the intellectual antagonism of malefactors and service of information security in the ADPS // Modeling of Artificial Intelligence. 2015. № 1 (5). S. 33-41.
8. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A. Projecting intelligent systems to protect information in automated data processing systems (functional approach) // Modeling of Artificial Intelligence. 2015. № 3 (7). S. 212-220.
9. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A. Issledovanie intellektual'nogo protivoborstva zloumyshlennikov i sluzhby zashchity informatsii v ASOD // Izvestiya Sochinskogo gosudarstvennogo universiteta. 2014. № 4-1 (32). S. 15-23.
10. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A. About one approach to a question of classification of intellectual systems of information security // Modeling of Artificial Intelligence. 2014. № 1 (1). S. 29-44.
11. Simavoryan S.Zh., Simonyan A.R., Ivanovna U.E., Simonyan R.A. Sistemnyi podkhod k proektirovaniyu intellektual'nykh sistem zashchity informatsii // Izvestiya Sochinskogo gosudarstvennogo universiteta. 2013. № 4-2 (28). S. 128-132.
12. Sushchestvuyushchie na rynke sistemy obnaruzheniya vtorzhenii // http://prog.bobrodobro.ru/106354. – Rezhim dostupa 10.04.2019.
13. Razrabotchiki i proizvoditeli antivirusnykh programm // http://www.antivirus-navigator.com/designers_av.htm-Rezhim dostupa 10.05.2019.
14. Baboshin V.A., Vasil'ev V.A., Golubev V.E. Obzor zarubezhnykh i otechestvennykh sistem obnaruzheniya komp'yuternykh atak // Informatsiya i kosmos. 2015. № 2. S. 36-41
15. Simavoryan S.Zh., Simonyan A.R., Kochkonyan R.E. Zadacha obnaruzheniya zloumyshlennykh deistvii v ASOD s pomoshch'yu neironnykh setei // V sbornike: Aktual'nye zadachi matematicheskogo modelirovaniya i informatsionnykh tekhnologii Materialy Mezhdunarodnoi nauchno-prakticheskoi konferentsii. 2017. S. 94-96.
16. Samarin V.I., Simavoryan S.Zh., Simonyan A.R., Ulitina E.I Information security in neural-networked queuing systems // Russian Journal of Mathematical Research. Series A. 2017. № 3-2. S. 49-61.
17. Gerasimenko V.A., Malyuk A.A. Osnovy zashchity informatsii / V.A. Gerasimenko - M.: Izvestiya, 1997.