АРХИТЕКТУРА ПРОГРАММНОГО КОМПЛЕКСА КОНТРОЛЯ НАД ВНУТРЕННИМ ЗЛОУМЫШЛЕННИКОМ

УДК 004.056.5 004.89
А.А. Бешта АРХИТЕКТУРА ПРОГРАММНОГО КОМПЛЕКСА КОНТРОЛЯ НАД ВНУТРЕННИМ ЗЛОУМЫШЛЕННИКОМ*
Целью данного исследования является разработка архитектуры программного комплекса контроля над внутренним злоумышленником на основе механизма оценки доверия. В рамках данного исследования была показана методика оценки доверия к субъекту на основе разработанной (е; в)-доверительная модель субъекта. Показано сравнение разработанной модели оценки доверия с существующими моделями и выделены ее преимущества. Показана архитектура программного комплекса и предложен набор агентов для реализации разработанной модели оценки доверия. Показаны архитектуры агентов, входящих в программный комплекс. Показана схема взаимодействия между агентами и типы передаваемой информации.
Внутренний злоумышленник; программный агент; оценка доверия; событие информационной системы.
A.A. Beshta ARHITECRURE OF INSADERS CONTROL SOFTWARE DEVELOPMENT
The purpose of the research is development of architecture of control over insiders software based on object confidence evaluation approach. In this research the method of confidence evaluation based on (е; e)-object confidence was proposed. Developed model was compared with existing models and its advantages were shown. The set of software agent is proposed. Architecture of different agents type and interaction between agents were shown.
Insider; software agent; confidence evaluation; information system event.
В настоящее время при обеспечении безопасности информационных систем организации основная задача заключается в защите внешнего периметра и обнаружении вторжений из-за пределов организации. При этом внутреннему злоумышленнику уделяется меньшее внимание. Обычно используются средства предотвращения утечек информации во внешние сети и контроль съемных устройств. Возможность анализировать самого пользователя и делать вывод о том, что его действия могут быть злоумышленными. Одним из эффективных подходов является использования механизмов оценки доверия к субъектам. Этот подход предполагает, что субъекту, на основе его действий, ставится некоторый уровень доверия, который означает, что наблюдаемый субъект не является источником злоумышленного воздействия на информационную систему. Этот вопрос активно исследуется в зарубежных работах, но в отечественных исследованиях практически не рассматривается. В данной статье предлагается архитектура программного комплекса системы контроля над внутренним злоумышленником на основе механизма оценки доверия к субъектам.
Прежде чем рассматривать архитектуру программного комплекса необходимо рассмотреть саму модель оценки доверия, которая лежит в его основе.
Оценка уровня доверия B ~ к субъекту ЕТ определяется из количества ис-
Ei '
ходящих сигналов у = (у+ ^ у~ ) противоположной направленности с разной степенью значимости: у+ - сигнал положительной направленности и у - сиг-
*
Работа выполнена при поддержке гранта РФФИ и Волгоградской области (№ 13-07-97040).
нал отрицательной направленности. Сигналом отрицательной направленности (отрицательным сигналом) является обнаруженное в системе событие, указывающее на то, что субъект попытался выполнить или выполнил некоторое запрещенное воздействие. Сигналом положительной направленности (положительным сигналом) является отсутствие запрещенных воздействий на некотором интервале наблюдения за субъектом T. Одним из возможных источников сигналов могут быть события информационной системы, связанные с деятельностью пользователя (подробнее в [1]).
Кроме того, можно выделить следующие требования к значению доверия:
для нового объекта всегда начинается с минимального значения и не может быть выше доверия существующего объекта;
ограничено сверху;
зависит от полученных сигналов и обновляется после каждой оценки;
увеличение доверия объекта, уже имеющего высокое значение, намного меньше, чем для объекта с низким доверием.
Для оценки доверия используется (е; 0)-доверительная модель объекта, которая выглядит следующим образом (более подробно в работах [2, 3]):
г+-(г)в
В f =
ЕЇ
є2
у+-у
О, у <Q.
-,у>П;
(1)
где у = у+ + у ; е - коэффициент достаточности; в - коэффициент критичности.
Функция (1) имеет следующие управляющие параметры, которые позволяют подобрать коэффициенты модели е и в для различных типов субъектов:
— = уу + у~ - значение у, при котором можно говорить о доверии к субъекту B^ ~ = 0;
vp _ J s, при у = 0; - значение у, при котором достигается се-
[— + л/—2 + s1, при у~ ф 0, редина уровня доверия B = 1/2.
Ei I
В общем случае снижение уровня доверия при любом у >> s стремится к величине —/у, а величина уровня доверия B ~ не превосходит r> _ i — .
Е, Bmax 1 2
Т + S Т
Тогда критерий / для оценки доверия можно выбрать из условия:
В> B - —. (2)
г max
у
Из этого выражения получены критерии, позволяющие обнаружить различное количество отрицательных сигналов за наблюдаемый период (табл. 1).
Среди существующих моделей оценки доверия (подробно описаны в [4]), которые могут быть использованы для решения поставленной задачи, можно выделить модели, основанные на Байесовом подходе, модель Josang и модель средних.
Таблица 1
Критерии оценки р для различных параметров модели
У~ T
40 80 120 160 400
2 0,65 0,86 0,92 0,95 0,98
3 0,5 0,79 0,87 0,91 0,96
4 0,3 0,69 0,80 0,86 0,94
5 0,05 0,57 0,72 0,79 0,92
6 0 0,42 0,62 0,72 0,89
Разработанная модель соответствует требованиям, предъявляемым к моделям данного типа, а в сравнении с существующими моделями обладает следующими преимуществами:
требует существенно меньшее количество отрицательных сигналов (рис. 1);
Сравнение разработанной модели с существующими
О 20 40 60 ВО 100 120 140 160 180 200 220 240 250 280 300 320 340 360 380 400
Количество сигналов
^^отрицательные сигналы .Модель.1о5аг^ - — Модель Байеса — * Модельсредних Разработанная модель
Рис. 1. Сравнение моделей оценки доверия
имеет временное окно для расчета доверия и учитывает возможность изменения поведения объекта.
На рис. 1 у разработанной модели наблюдается снижение уровня доверия при получении отрицательных сигналов, что позволяет установить критерий для оценки доверия.
Алгоритм оценки доверия к субъектам состоит из следующих шагов:
1. Определение субъекта оценки.
2. Определение источника сигналов у+ и у~.
3. Определение интервала наблюдения Т, коэффициентов е и в, вычисление управляющих параметров О и Т.
4. Выбор критерия /3, позволяющего обнаружить заданное количество отрицательных сигналов.
5. Получение сигналов у+ и у , вычисление B
6. Если значение доверия меньше 3, то субъект является злоумышленником.
7. Повторение шага 6 до тех пор, пока не потребуется корректировка параметров модели.
8. Если необходима корректировка параметров модели, перейти к шагу 3.
Для реализации данного алгоритма был разработан программный комплекс, архитектура которого представленная в виде многоагентной системы и состоит из шести типов агентов:
A ={Ак, Ам , Asm , Ab , Asa , Aa} , (3)
где A - агент координатор; A.. - агент мониторинга; A„,, - агент специализи-
K ом.
рованного мониторинга; A - агент оценки доверия; AM - агент анализа защищенности; A - агент адаптации.
Для организации взаимодействия между отдельными агентами для достижения цели была предложена схема обмена информацией между агентами (рис. 2), которая учитывает возможность установки параметров оценки для различных субъектов и получение сигналов из различных источников.
Рис. 2. Схема взаимодействие агентов
Были разработаны архитектуры всех типов агентов и определены основные этапы работы. На рис. 3 представлена архитектура агента основного агента - мониторинга, показаны отдельные модули, блоки, из которых они состоят, и связи между ними.
Рис. 3. Архитектура агента мониторинга
Архитектура включает следующие модули:
модуль взаимодействия с пользователем - позволяет пользователю задавать параметры работы агента;
модуль управления - обеспечивает взаимодействие всех модулей агента;
модуль хранения информации - позволяет сохранять и получать информацию об объектах системы, хранит параметры работы агента;
модуль сбора информации - реализует получение из определенных источников сигналов от объектов; модуль позволяет подключаться к некоторому количеству источников, обнаруживать появление сигналов и передавать их модулю оценки;
модуль оценки - производит оценку уровня доверия к субъектам;
модуль взаимодействия - позволяет агенту взаимодействовать с другими агентами по заданному протоколу для обмена информацией или управляющими воздействиями (позволяет сообщать результаты оценки уровня доверия к субъекту другим агентам).
Архитектура агента специализированного мониторинга показана на рис. 4.
Отличие от агента мониторинга заключается в отсутствии блока оценки.
Рис. 4. Архитектура агента специализированного мониторинга
Архитектура агентов оценки доверия, анализа защищенности и адаптации показана на рис. 5. В архитектуре такого типа отсутствует модуль сбора информации, а модуль оценки имеет прямую связь с модулем хранения информации.
Рис. 5. Архитектура агентов других типов
Отличие заключается в модуле оценки и в модуле работы с базами данных. У агентов оценки доверия и анализа защищенности модуль оценки содержит только блок агрегирования, который ведет перечень объектов, анализирует полученные от различных агентов мониторинга оценки и сохраняет их в базу, вычисляет обобщенную оценку объектов для АИС и распространяет эти оценки среди агентов мониторинга. Модуль хранения информации содержит дополнительно блок хранения оценок. У агента адаптации (подробнее в [5]) модуль оценки содержит только блок адаптации, а вместо блока оценок к модуле хранения информации находится блок параметров.
Таким образом, архитектура программного комплекса состоит из совокупности программных агентов. Предложенная модель оценки доверия к субъектам разделена на подзадачи, которые выполняются различными типами агентов. Предложенные архитектуры программных агентов позволяют учесть указанные возможности для реализации алгоритма контроля над внутренним злоумышленником и использовать в качестве критерия обнаружения предложенную модель оценки доверия к субъектам информационной системы.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Бешта А.А., Новикова Ю.В. Способ численной оценки состояния автоматизированной информационной системы // Научно- технический вестник Поволжья. - 2013. - № 2. - С. 89-92.
2. Бешта А.А. Архитектура агента контроля над внутренним злоумышленником на основе механизма оценки доверия // Известия ЮФУ. Технические науки. - 2012. - № 12 (137).
- С. 104-110.
3. Бешта А.А., Кирпо М.А. Построение модели доверия к объектам автоматизированной информационной системы для предотвращения деструктивных воздействий на систему // Известия Томского политехнического университета. Управление, вычислительная техника и информатика. - 2013. - Т. 322, № 5. - С. 104-108.
4. Губанов Д.А. Обзор онлайновых систем репутации / доверия. - М.: ИПУ РАН, 2009. Интернет-конференция по проблемам управления. - 25 с. - Режим доступа: http://ubs.mtas.ru/bitrix/ components/ bitrix/forum.interface/ show_file.php?fid=1671.
5. Бешта А.А. Многоагентная эволюционирующая система как средство контроля над внутренним злоумышленником // Вестник волгоградского государственного университета. Серия 10. Инновационная деятельность. - 2012. - Вып. 6. - С. 93-97.
Статью рекомендовал к опубликованию д.т.н., профессор Л.К. Бабенко.
Бешта Александр Александрович - Волгоградский государственный университет; e-mail: abewta@rambler.ru; 400062, г. Волгоград, пр-т Университетский, 100; тел.: 88442460368; кафедра информационной безопасности; ассистент.
Beshta Alexander Alexandrovich - Volgograd State University; e-mail: abewta@rambler.ru; 100, Ave University, Volgograd, 400062, Russia; phone: +78442460368; the department of information security; assistant.
УДК 004.492
Л.К. Бабенко, А.С. Кириллов
МОДЕЛИ ОБРАЗЦОВ ВПО НА ОСНОВЕ ИСПОЛЬЗУЕМЫХ СИСТЕМНЫХ ФУНКЦИЙ И СПОСОБОВ ПОЛУЧЕНИЯ ИХ АДРЕСОВ
Рассматриваются вопросы построения модели вредоносного программного обеспечения (ВПО), ориентированной на включение в структуру образцов не только информации о конкретных системных функциях, но и способах получения их адресов. Такая модель может быть использована для эффективного обнаружения и классификации неизвестных ра-