Моделирование процессов и систем защиты информации — это представление моделируемых систем защиты информации в форме определенных аналогов реальных систем.
Введение
Развитие средств информационной обработки происходит в направлении формирования систем информационных технологий с компонентами самоорганизации, в которых имеются процессы зарождения, приспособления и развития. На подобных процессах базируются биологические системы, для которых характерными являются эволюционный опыт и селективный отбор. Использование принципов архитектурной организации биосистем послужило толчком к формированию теорий нейронных сетей, нечетких множеств, эволюционных методов, которые стали основой искусственных интеллектуальных систем.
Для того чтобы реализовать эти процессы в технических системах, совершенствуются методы нечетких вычислений, основанные на знаниях специалистов и отлично зарекомендовали себя при наличии неполной достоверности и неопределенности информации. Задачи оптимизации могут решаться эволюционными методиками, включая использование генетических алгоритмов. Нейронные сетевые технологии способны предоставить адаптивные средства для формирования систем информационных технологий.
Эволюционные алгоритмы могут рассматриваться как итеративные алгоритмы, поддерживающие популяцию индивидуумов. Изначальная популяция формируется в результате определенного эвристического процесса. Новые популяции создаются при помощи отбора наилучших индивидуумов за счет отсеивания некоторых членов популяции в ходе процесса эволюции. Каждый индивидуум является потенциальным решением задачи.
Нейронные сети широко распространены во многих прикладных областях, осуществлении распределенных вычислений, при решении нечетких и трудно формализуемых задач. Внимание проектировщиков информационных систем к нейронным сетям объясняется естественным параллелизмом нейронных сетей в противовес последовательному типу управления ходом вычислений, который является свойственным большинству известных систем информационных технологий. Очень важными факторами, которые способствуют распространению нейронных сетевых вычислений, могут считаться такие свойства нейронных сетей, как адаптивность, высокая информационная защищенность, способность выделять и классифицировать скрытые в информации знания.
Моделирование процессов и систем защиты информации
В научно-технической литературе постоянно идет обсуждение необходимости придания системам защиты информации в информационных технологиях эволюционных качеств, которые присущи биосистемам, а именно, возможности развития и адаптивности. Некоторые очень известные корпорации, такие как, к примеру, Microsoft, говорят об использовании «технологии активной защиты», которая основана на оценке поведения программ с позиции их потенциальной опасности. Например, система защиты информации способна корректировать средства защиты компьютера при изменении его статуса или даже блокировать его, когда появляется подозрение в заражении вирусом или проникновении злоумышленников.
Актуальной считается и проблема эволюционного развития систем информационной безопасности. Вместе со стандартными средствами защиты корпоративных сетей, а именно, антивирусами, детекторами уязвимостей, межсетевыми экранами и детекторами вторжений, применяются средства автоматизации защиты, имеющие в своем составе корреляторы событий, программы обновлений, средства аутентификации, авторизации и администрирования, а также системы, позволяющие управлять рисками.
Корреляторы событий служат для осуществления анализа системных журналов системы защиты информации, операционных систем и приложений для обнаружения признаков нападения. Программы обновления служат для автоматизации процедур установки исправлений, предназначенных для устранения обнаруженных уязвимостей (в первую очередь, ошибок программного обеспечения) и поиска потенциальных уязвимостей системы.
Алгоритмы, предназначенные для обнаружения атак, подразделяются на следующие категории:
- Выявление злоупотреблений.
- Выявление аномалий.
К первой категории относятся атаки, которые применяют существующие уязвимости системы информационных технологий, а ко второй категории следует отнести нехарактерную для пользователей системы информационных технологий деятельность. Для того чтобы обнаружить аномалии, должна быть определена деятельность, отличающаяся от шаблонов, прописанных для пользователя или группы пользователей.
Выявление аномалий обычно связано с формированием базы данных, содержащей профили контролируемой деятельности, а выявление злоупотреблений базируется на сравнении деятельности пользователя с существующими шаблонами действий хакеров, и применяет методы на базе правил, которые описывают сценарии атак. Механизм обнаружения способен идентифицировать потенциальные атаки в случае, когда действия пользователя не соответствуют заданным правилам.
Практически все системы обнаружения злоупотреблений и аномалий базируются на модели, которая была предложена в свое время специалистом по фамилии Деннинг. Модель способна поддерживать совокупность профилей для легальных пользователей, согласовывать записи подсистемы аудита с выбранным профилем, обновлять профиль и сообщать о всех выявленных аномалиях.
Для того чтобы определить аномальное поведение, часто используются статистические методы, позволяющие сравнить используемые пользователем команды с нормальным режимом работы. Поведение пользователя можно представить, как модель на основе определенных правил, в терминах прогнозируемых шаблонов или анализа изменения состояния, а, для того чтобы выявить факт атаки, используются методы сопоставления с образцами. Применяется также дополнение нейронной сетью известных экспертных систем для того, чтобы фильтровать поступающие сообщения с целью уменьшения количества ложных срабатываний, которые присущи экспертной системе.