|
Программные системы и вычислительные методы
Правильная ссылка на статью:
Симаворян С.Ж., Симонян А.Р., Улитина Е.И., Попов Г.А.
О концепции создания интеллектуальных систем защиты информации на основе нейросетевых систем обнаружения вторжений в АСОД
// Программные системы и вычислительные методы.
2019. № 3.
С. 30-36.
DOI: 10.7256/2454-0714.2019.3.30583 URL: https://nbpublish.com/library_read_article.php?id=30583
О концепции создания интеллектуальных систем защиты информации на основе нейросетевых систем обнаружения вторжений в АСОД
Симаворян Симон Жоржевич
кандидат технических наук
доцент, кафедра Прикладной математики и информатики, Сочинский государственный университет
354003, Россия, Краснодарский край, г. Сочи, ул. Пластунская, 94
Simavoryan Simon Zhorzhevich
PhD in Technical Science
Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University
354003, Russia, Krasnodarskii krai, g. Sochi, ul. Plastunskaya, 94
|
simsim@mail.ru
|
|
 |
Другие публикации этого автора
|
|
Симонян Арсен Рафикович
кандидат физико-математических наук
доцент, кафедра прикладной математики и информатики, ФГБОУ ВО "Сочинский государственный университет"
354000, Россия, г. Сочи, ул. Островского, 37, кв. 91
Simonyan Arsen Rafikovich
PhD in Physics and Mathematics
Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University
354000, Russia, g. Sochi, ul. Ostrovskogo, 37, kv. 91
|
|
oppm@mail.ru
|
|
 |
Другие публикации этого автора
|
|
Улитина Елена Ивановна
кандидат физико-математических наук
доцент, кафедра Прикладной математики и информатики, Сочинский государственный университет
354003, Россия, Краснодарский край, г. Сочи, ул. Пластунская, 94
Ulitina Elena Ivanovna
PhD in Physics and Mathematics
Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University
354003, Russia, Krasnodarskii krai, g. Sochi, ul. Plastunskaya, 94
|
|
ulitina@rambler.ru
|
|
|
Другие публикации этого автора
|
|
|
Попов Георгий Александрович
доктор технических наук
Заведующий кафедрой Информационной безопасности, Астраханский государственный технический университет
414025, Россия, Астраханская область, г. Астрахань, ул. Татищева, 16
Popov Georgii Aleksandrovich
Doctor of Technical Science
Head of the Department of Information Security, Astrakhan State Technical University
414025, Russia, Astrakhanskaya oblast', g. Astrakhan', ul. Tatishcheva, 16
|
|
popov@astu.org
|
|
|
Другие публикации этого автора
|
|
|
DOI: 10.7256/2454-0714.2019.3.30583
Дата направления статьи в редакцию:
20-08-2019
Дата публикации:
08-09-2019
Аннотация:
Предметом исследования является концепция создания интеллектуальных систем защиты информации на основе нейросетевых систем обнаружения вторжений (СОВ) в автоматизированных системах обработки данных (АСОД), разрабатываемых в рамках финансируемого проекта РФФИ № 19-01-00383. Объектом исследования являются интеллектуальные системы защиты информации в АСОД, построенные на основе нейронных систем обнаружения вторжений, а в дальнейшем и на механизмах искусственных иммунных систем. Авторы рассматривают в качестве основных концептуальных требований к системе СОВ адаптируемость, обучаемость и управляемость. Особое внимание акцентируется на построении гибкой интеллектуальной системы защиты информации, содержащей СОВ как в узлах структурных компонент АСОД, так и в сетях передачи данных между структурными компонентами. Методологические исследования выбранного направления исследований проводятся с использованием методов искусственного интеллекта, системного анализа, теории интеллектуальных информационных систем в области искусственного интеллекта. В работе использованы достижения системно-концептуального подхода к защите информации в АСОД. Основным результатом проведенного исследования является вывод о том, что успешная защита информации в АСОД может быть осуществлена только в сети в виде взаимосвязанных локальных СОВ с использованием нейросетевых технологий, объединенных в единый головной центр на базе системно-концептуального подхода. Для борьбы с несанкционированными вторжениями необходимо принять единый системный подход, основанный на единых правовых, организационных и технических мерах защиты информации. Применение системно-концептуального подхода к созданию СОВ на основе нейросетевых технологий будет способствовать разработке новых средств, методов и мероприятий по интеллектуальному управлению защитой информации в АСОД.
Ключевые слова:
интеллектуальные системы, защита информации, нейронные системы, системы обнаружения вторжений, стратегии защиты информации, автоматизированная обработка данных, адаптируемые системы, система обнаружение атак, программная защита информации, аппаратная защита информации
Работа выполнена при финансовой поддержке гранта РФФИ №19-01-00383.
Abstract: The subject of the research is the concept of creating intelligent information protection systems based on neural network intrusion detection systems in automated data processing systems, developed as part of the funded project of the RFBR No. 19-01-00383. The object of the study is the intelligent information protection systems in automated data processing systems, built on the basis of neural intrusion detection systems, and later on the mechanisms of artificial immune systems. The authors consider adaptability, learning ability and controllability as the main conceptual requirements for the intrusion detection systems. Particular attention is focused on the construction of a flexible intelligent information protection system containing intrusion detection systems in both the nodes of the structural components of automated data processing systems, and in data transmission networks between structural components. Methodological studies of the chosen research direction are carried out using the methods of artificial intelligence, system analysis, the theory of intelligent information systems in the field of artificial intelligence. The work uses the achievements of a system-conceptual approach to information protection in automated data processing systems. The main result of the study is the conclusion that successful protection of information in automated data processing systems can only be carried out in a network in the form of interconnected local intrusion detection systems using neural network technologies combined into a single head center based on a system-conceptual approach. To combat unauthorized intrusions, it is necessary to adopt a unified systematic approach based on uniform legal, organizational and technical measures to protect information. The application of a system-conceptual approach to the creation of intrusion detection systems based on neural network technologies will contribute to the development of new tools, methods and activities for the intelligent management of information security in automated data processing systems.
Keywords: intelligent systems, protection of information, neural systems, intrusion detection systems, information security strategies, automated data processing, adaptable systems, attack detection system, software information protection, hardware information protection
Введение. Система обнаружения вторжений (СОВ) или система обнаружение атак (СОА) - программное или аппаратное средство защиты информации, предназначенное для предупреждения несанкционированного доступа в автоматизированные системы обработки данных (АСОД) различного назначения [2]. Системы обнаружения вторжений обеспечивают дополнительный уровень защиты информации в АСОД и являются одним из основных компонентов системы защиты информации. Перспективными считаются СОВ построенные на основе нейросетевых технологий, которые способны провести анализ больших потоков данных из сети на наличие угроз и обнаружить их. Особенностью искусственных нейронных сетей является то, что эти сети поддаются обучению, и после обучения способны адаптироваться под новые типы угроз и распознавать их, даже если они до этого с ними не сталкивались. Сам термин «вторжение», в связи с его многозначностью по-разному трактуется специалистами по безопасности - нарушение безопасности, атака, проникновение, нападение и др. На основании терминологии ГОСТ [2] под атакой на информационную систему следует понимать один или несколько инцидентов информационной безопасности, связанных с человеческим фактором, которые в совокупности могут привести к реализации угроз путем использования уязвимостей этой информационной системы. Инцидент информационной безопасности - это любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.
В настоящее время, наиболее серьезные угрозы через Интернет исходят: 1) от атак, построенных на использовании уязвимостей таких приложений как сервисы HTTP (TCP порт 80) и HTTPS (TCP порт 443), которые во многих сетях открыты именно на уровне приложений модели OSI (Open Systems Interconnection), 2) от вирусов, 3) от Spyware и 4) от спама [12, 13].
Задача интеллектуального противоборства злоумышленников и службы защиты информации актуальна и требует регулярного решения [6,7,9]. На сегодняшний день применение нейронных сетей в СОВ является перспективным направлением, и её дальнейшее развитие связано с совершенствованием процедур их обучения [15, 16].
Решение задач по разработке эффективных СОВ может быть осуществлено только на базе системно-концептуального подхода к созданию интеллектуальных систем защиты информации [10, 11, 17].
Основная часть
Концепцию создания интеллектуальных систем защиты информации на основе нейросетевых систем обнаружения атак в АСОД можно отнести к концепции создания систем дистанционной поддержки критических технологий [1]. Основу концепции составляет построение гибкой системы СОВ в узлах автоматизированных территориально распределенных информационно-вычислительных сетей и в сетях передачи данных между узлами сети. Поскольку компоненты СОВ, построенные на нейросетевых технологиях, а в дальнейшем, с добавлением механизмов искусственных иммунных систем, являются функционально самостоятельными и обучаемыми подсистемами систем защиты информации во всех структурных компонентах АСОД, то согласование их работы требует создания главного центра управления этими системами [1]. Основными концептуальными требованиями к системе СОВ являются адаптируемость и обучаемость. Адаптируемость достигается основными характеристиками предъявляемым к нейронным системам, а управляемость достигается регламентированным процессам реализации макропроцессов управления защитой информации.
На сегодняшний день, на современном рынке существует множество различных СОВ, например, OSSEC - является масштабируемой, мульти платформенной узловой СОВ, Bro - является сетевой системой обнаружения вторжений с открытым исходным кодом, CATNET - это интеллектуальная система для обнаружения, анализа и регистрации инцидентов в сети, Snort - это продукт с открытым исходным кодом для обнаружения и предотвращения вторжений. Эти СОВ сравниваются между собой по следующим свойствам: бесплатность, открытость исходного кода, мультиплатформенность, простота в настройке, наличие различных сообществ поддерживающих пользователей, включение в себя системы не только определения, но и предотвращения вторжений [12].
Разработкой и созданием современных СОВ занимаются и многие разработчики антивирусных программ, например, такие как: Kaspersky Lab, Dr. Web, McAfee, Nod32, Panda Adaptive Defense 360, Avast и многие другие [13].
В работе [14] приведен перечень СОВ (СОА), сертифицированных ФСБ или ФСТЭК России: Аргус (версия 1, версия 2), детектор атак «Континент», Рубикон, Ручей-М, Тор, Форпост (версия 1), ViPNet IDS.
Для создания эффективных СОВ на базе системно-концептуального подхода требуется разработать 1) единые требования к анализу больших баз данных на основе единой методики их обработки [4]; 2) единые методы классификации вторжений [3]; 3) единые схемы технологических маршрутов обработки и анализа поступающей информации в АСОД [5].
Функции защиты от вторжений. Функциональный подход к разработке СОВ заключается в том, что за основу организации защиты принято понятие функции защиты информации, концептуальным требованием к которым является требование полноты. Под функцией защиты понимается однородная в функциональном отношении совокупность мероприятий и решений, осуществляемых в интересах обеспечения ЗИ [8]. Под полнотой функции понимается их свойство, заключающееся в том, что планомерное и регулярное выполнение этих функций помогает достичь требуемый уровень защищенности информации. Сформулируем полное множество функций защиты от вторжений в АСОД: 1) предупреждение условий, порождающих проникновение вторжений в АСОД; 2) предупреждение проникновений зловредного кода в сети АСОД; 3) обнаружение проявившихся вторжений; 4) предупреждение воздействия вторжения на информацию; 5) обнаружение воздействия вторжения на информацию; 6) локализация воздействия вторжения на информацию; 7) ликвидация последствий воздействия вторжения. В зависимости от исхода осуществления каждой из функций защиты от вторжений будет иметь место одно событие из множества итоговых событий по обнаружению, предупреждению воздействий, локализации и ликвидации последствий вторжения, которые в совокупности составляют полное множество несовместных случайных событий. Отсюда следует, что сумма вероятностей благоприятных итоговых событий выражает вероятность надежной защиты информации от вторжений. Этим и создаются объективные предпосылки для оптимального использования ресурсов, выделяемых на защиту информации от несанкционированных вторжений.
Задачи защиты от вторжений. Реализация функций защиты осуществляется решением репрезентативного множества специально разработанных задач защиты от вторжений. Репрезентативность множества задач определяется как такое их свойство, при котором имеются возможности эффективного осуществления всех функций защиты в соответствии с требованиями надежной защиты. Перечень и содержание конкретных задач на каждом структурном компоненте АСОД и каждой технологической схеме обработки информации определяется исходя из потенциально возможных способов защиты, а именно: а) препятствие; б) регламентация; в) управление; г) маскировка; д) принуждение; е) побуждение [8, 11, 17]. Перечень задач определяется экспертным путем.
Методы управления деятельностью СОВ. Одно из важнейших требований к системе СОВ заключается в создании в ней механизмов управления процессами защиты. В соответствии с теорией защиты информации СОВ относятся к системам организационно-технологического типа. Основными функциями управления в таких системах являются: а) планирование; б) оперативно-диспетчерское регулирование быстротекущих процессов; в) календарно- плановое руководство; г) обеспечение повседневной деятельности органов управления [17]. Применительно к СОВ, построенных на нейросетевых технологиях, необходимо взять за основу централизованно-децентрализованную схему управления защитой информации от вторжений, заключающейся в обеспечении узлов защиты АСОД возможностями осуществлять автономное управление своими средствами защиты от вторжений, а главному центру - централизованное управление всей сетью (всей или ее частью) при обработке информации по единой технологии. В целях обеспечения высокой эффективности оперативно-диспетчерского управления процессами обнаружения быстротекущих процессов вторжений (доля которых в общем объеме процессов управления защитой весьма большая и с течением времени возрастает) необходимо осуществить полную их структуризацию, а именно: а) классифицировать по единой методологии все потенциально возможные вторжения; б) все сообщения о вторжениях строго формализовать и разделить по степени срочности; в) строго регламентировать процесс генерирования, передачи и обработки сообщений о вторжениях как по вертикали, так и по горизонтали в структурных компонентах АСОД; г) разработать четкие алгоритмы работы службы безопасности по борьбе с потенциально возможными вторжениями. Планирование, календарно-плановое руководство о обеспечение повседневной деятельности службы защиты информации также являются неотъемлемой частью общего управления защитой информации от вторжений.
Заключение.
Из краткого изложения сделаны следующие выводы:
- в российских и в зарубежных СОВ используются в основном одни и те же принципы построения СОВ, основанные на сигнатурном, эвристическом и их комбинации анализе;
- сенсоры и детекторы с установленными на них программами анализа первичных источников информации о компьютерных атаках выполняют практически одни и те же функции;
- от сенсоров и детекторов информация о компьютерных атаках поступает в специальный центр, который обеспечивает хранение и обработку информации о вторжениях;
- для борьбы с несанкционированными вторжениями, как со злом в общенациональном и мировом масштабах, необходимо принять единый, системный подход, основанный на единых правовых, организационных и технических мерах защиты информации.
Таким образам, проблема надёжного обеспечения защиты информации с помощью СОВ, на основе нейросетевых систем обнаружения вторжений в АСОД, вытекает из общего фундаментального положения системно-концептуального подхода к защите информации регламентирующего заблаговременную и упреждающую тактику применения эффективных средств, методов и мероприятий по защите информации в АСОД.
Выводы. В концептуальном плане системно-концептуальный подход позволит создавать не просто сеть СОВ, а системы СОВ дистанционного обучения, системы взаимосогласованной (с управляемой) функциональной защитой данных в территориально-распределенных центрах по борьбе с хакерами и мошенниками в сети. Организационно сеть необходимо создавать в виде связанных сетью передачи данных локальных центров СОВ, объединенных с одним головным центром.
Благодарности
Работа выполнена при финансовой поддержке гранта РФФИ №19-01-00383.
Библиография
1. Указ Президента РФ от 15 января 2013 г. N 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
2. ГОСТ Р ИСО/МЭК. 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий / М.: Стандартинформ, 2007. 18 с.
3. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A., Pilosyan E.A., Kornienko N.A. Search fuzzy image of the attacker based on the use of automatic classification methods // Modeling of Artificial Intelligence. 2017. № 4-1. С. 29-38.
4. Kopyrin A.S., Simavoryan S.Zh., Simonyan A.R., Ulitina E.I. The methodology of risk analysis in assessing information security threats // Modeling of Artificial Intelligence. 2017. № 4-2. С. 78-85.
5. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Makarova I.L., Simonyan R.A. The task of determining the optimal technological scheme for the operation of information security systems // European Journal of Computer Science. 2017. № 3 (1). С. 17-22.
6. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Makarova I.L., Simonyan R.A. Сreating the conditions for the theoretical and practical solution of the problem of automated intelligent search for the attacker’s image in ADPS // Modeling of Artificial Intelligence. 2016. № 3 (11). С. 166-176.
7. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A. Research of the intellectual antagonism of malefactors and service of information security in the ADPS // Modeling of Artificial Intelligence. 2015. № 1 (5). С. 33-41.
8. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A. Projecting intelligent systems to protect information in automated data processing systems (functional approach) // Modeling of Artificial Intelligence. 2015. № 3 (7). С. 212-220.
9. Симаворян С.Ж., Симонян А.Р., Улитина Е.И., Симонян Р.А. Исследование интеллектуального противоборства злоумышленников и службы защиты информации в АСОД // Известия Сочинского государственного университета. 2014. № 4-1 (32). С. 15-23.
10. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A. About one approach to a question of classification of intellectual systems of information security // Modeling of Artificial Intelligence. 2014. № 1 (1). С. 29-44.
11. Симаворян С.Ж., Симонян А.Р., Ивановна У.Е., Симонян Р.А. Системный подход к проектированию интеллектуальных систем защиты информации // Известия Сочинского государственного университета. 2013. № 4-2 (28). С. 128-132.
12. Существующие на рынке системы обнаружения вторжений // http://prog.bobrodobro.ru/106354. – Режим доступа 10.04.2019.
13. Разработчики и производители антивирусных программ // http://www.antivirus-navigator.com/designers_av.htm-Режим доступа 10.05.2019.
14. Бабошин В.А., Васильев В.А., Голубев В.Е. Обзор зарубежных и отечественных систем обнаружения компьютерных атак // Информация и космос. 2015. № 2. С. 36-41
15. Симаворян С.Ж., Симонян А.Р., Кочконян Р.Э. Задача обнаружения злоумышленных действий в АСОД с помощью нейронных сетей // В сборнике: Актуальные задачи математического моделирования и информационных технологий Материалы Международной научно-практической конференции. 2017. С. 94-96.
16. Samarin V.I., Simavoryan S.Zh., Simonyan A.R., Ulitina E.I Information security in neural-networked queuing systems // Russian Journal of Mathematical Research. Series A. 2017. № 3-2. С. 49-61.
17. Герасименко В.А., Малюк А.А. Основы защиты информации / В.А. Герасименко - М.: Известия, 1997.
References
1. Ukaz Prezidenta RF ot 15 yanvarya 2013 g. N 31s «O sozdanii gosudarstvennoi sistemy obnaruzheniya, preduprezhdeniya i likvidatsii posledstvii komp'yuternykh atak na informatsionnye resursy Rossiiskoi Federatsii».
2. GOST R ISO/MEK. 13335-1-2006. Informatsionnaya tekhnologiya. Metody i sredstva obespecheniya bezopasnosti. Chast' 1. Kontseptsiya i modeli menedzhmenta bezopasnosti informatsionnykh i telekommunikatsionnykh tekhnologii / M.: Standartinform, 2007. 18 s.
3. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A., Pilosyan E.A., Kornienko N.A. Search fuzzy image of the attacker based on the use of automatic classification methods // Modeling of Artificial Intelligence. 2017. № 4-1. S. 29-38.
4. Kopyrin A.S., Simavoryan S.Zh., Simonyan A.R., Ulitina E.I. The methodology of risk analysis in assessing information security threats // Modeling of Artificial Intelligence. 2017. № 4-2. S. 78-85.
5. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Makarova I.L., Simonyan R.A. The task of determining the optimal technological scheme for the operation of information security systems // European Journal of Computer Science. 2017. № 3 (1). S. 17-22.
6. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Makarova I.L., Simonyan R.A. Sreating the conditions for the theoretical and practical solution of the problem of automated intelligent search for the attacker’s image in ADPS // Modeling of Artificial Intelligence. 2016. № 3 (11). S. 166-176.
7. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A. Research of the intellectual antagonism of malefactors and service of information security in the ADPS // Modeling of Artificial Intelligence. 2015. № 1 (5). S. 33-41.
8. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A. Projecting intelligent systems to protect information in automated data processing systems (functional approach) // Modeling of Artificial Intelligence. 2015. № 3 (7). S. 212-220.
9. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A. Issledovanie intellektual'nogo protivoborstva zloumyshlennikov i sluzhby zashchity informatsii v ASOD // Izvestiya Sochinskogo gosudarstvennogo universiteta. 2014. № 4-1 (32). S. 15-23.
10. Simavoryan S.Zh., Simonyan A.R., Ulitina E.I., Simonyan R.A. About one approach to a question of classification of intellectual systems of information security // Modeling of Artificial Intelligence. 2014. № 1 (1). S. 29-44.
11. Simavoryan S.Zh., Simonyan A.R., Ivanovna U.E., Simonyan R.A. Sistemnyi podkhod k proektirovaniyu intellektual'nykh sistem zashchity informatsii // Izvestiya Sochinskogo gosudarstvennogo universiteta. 2013. № 4-2 (28). S. 128-132.
12. Sushchestvuyushchie na rynke sistemy obnaruzheniya vtorzhenii // http://prog.bobrodobro.ru/106354. – Rezhim dostupa 10.04.2019.
13. Razrabotchiki i proizvoditeli antivirusnykh programm // http://www.antivirus-navigator.com/designers_av.htm-Rezhim dostupa 10.05.2019.
14. Baboshin V.A., Vasil'ev V.A., Golubev V.E. Obzor zarubezhnykh i otechestvennykh sistem obnaruzheniya komp'yuternykh atak // Informatsiya i kosmos. 2015. № 2. S. 36-41
15. Simavoryan S.Zh., Simonyan A.R., Kochkonyan R.E. Zadacha obnaruzheniya zloumyshlennykh deistvii v ASOD s pomoshch'yu neironnykh setei // V sbornike: Aktual'nye zadachi matematicheskogo modelirovaniya i informatsionnykh tekhnologii Materialy Mezhdunarodnoi nauchno-prakticheskoi konferentsii. 2017. S. 94-96.
16. Samarin V.I., Simavoryan S.Zh., Simonyan A.R., Ulitina E.I Information security in neural-networked queuing systems // Russian Journal of Mathematical Research. Series A. 2017. № 3-2. S. 49-61.
17. Gerasimenko V.A., Malyuk A.A. Osnovy zashchity informatsii / V.A. Gerasimenko - M.: Izvestiya, 1997.
Результаты процедуры рецензирования статьи
В связи с политикой двойного слепого рецензирования личность рецензента не раскрывается.
Со списком рецензентов издательства можно ознакомиться здесь.
Предмет исследования – концепция создания интеллектуальных систем защиты информации (обнаружения вторжений / атак) для предупреждения несанкционированного доступа в автоматизированные системы обработки данных на основе нейросетевых технологий.
Методология исследования основана на теоретическом подходе с применением методов анализа, обобщения, сравнения, синтеза.
Актуальность исследования обусловлена широким распространением автоматизированных систем обработки данных различного назначения и, соответственно, необходимостью изучения и проектирования (включая концептуальный уровень) интеллектуальных систем защиты информации от несанкционированных вторжений и атак, в том числе на основе нейросетевых технологий.
Научная новизна связана с полученными авторами выводами о том, что в российских и зарубежных СОВ используются в основном одни и те же принципы построения. Для борьбы с несанкционированными вторжениями необходимо принять единый подход, основанный на правовых, организационных и технических мерах защиты информации. В концептуальном плане системно-концептуальный подход позволит создавать не просто сеть СОВ, а системы СОВ дистанционного обучения, системы взаимосогласованной (с управляемой) функциональной защитой данных в территориально-распределенных центрах по борьбе с хакерами и мошенниками в сети. Организационно сеть необходимо создавать в виде связанных сетью передачи данных локальных центров СОВ, объединенных с одним головным центром.
Стиль изложения научный. Статья написана русским литературным языком. Текст имеет в целом реферативно-описательный характер. При этом, по-видимому, авторы ссылаются, в основном, на собственные работы, опубликованные ранее. Обсуждение результатов, их сопоставление с данными, полученными другими специалистами (в том числе зарубежными) необходимо усилить.
Структура рукописи включает следующие разделы: Введение (система обнаружения вторжений (СОВ) или система обнаружение атак (СОА), предупреждение несанкционированного доступа в автоматизированные системы обработки данных (АСОД), СОВ на основе нейросетевых технологий, анализ больших потоков данных из сети на наличие угроз, особенности искусственных нейронных сетей, термин «вторжение», атака на информационную систему, инцидент информационной безопасности, наиболее серьёзные угрозы через Интернет – от атак, построенных на использовании уязвимостей таких HTTP и HTTPS, от вирусов, от Spyware, от спама, задача интеллектуального противоборства злоумышленников и службы защиты информации), Основная часть (концепция создания интеллектуальных систем защиты информации на основе нейросетевых систем обнаружения атак в АСОД, построение гибкой системы СОВ в узлах автоматизированных территориально распределенных информационно-вычислительных сетей и в сетях передачи данных между узлами сети, компоненты СОВ, согласование их работы, создание главного центра управления, основные концептуальные требования к системе СОВ – адаптируемость и обучаемость, множество различных СОВ, например, OSSEC, Bro, CATNET, Snort, их свойства – бесплатность, открытость исходного кода, мультиплатформенность, простота в настройке, наличие различных сообществ поддерживающих пользователей, включение в себя системы не только определения, но и предотвращения вторжений, разработчики современных СОВ, перечень СОВ (СОА), сертифицированных ФСБ или ФСТЭК России, создание эффективных СОВ на базе системно-концептуального подхода – единые требования к анализу больших баз данных на основе единой методики их обработки, единые методы классификации вторжений, единые схемы технологических маршрутов обработки и анализа поступающей информации, функции защиты от вторжений – предупреждение условий, порождающих проникновение вторжений в АСОД, предупреждение проникновений зловредного кода в сети АСОД, обнаружение проявившихся вторжений, предупреждение воздействия вторжения на информацию, обнаружение воздействия вторжения на информацию, локализация воздействия вторжения на информацию, ликвидация последствий воздействия вторжения, задачи защиты от вторжений – препятствие, регламентация, управление, маскировка, принуждение, побуждение, методы управления деятельностью СОВ), Заключение, Выводы, Благодарности, Библиография.
Разделу «Основная часть» желательно дать содержательный заголовок, «Заключение» и «Выводы» могут быть объединены.
Содержание в целом соответствует названию. Аббревиатур в названии следует избегать, равно как и повторов (интеллектуальных систем..,, на основе нейросетевых систем…). В содержательном отношении желательно конкретизировать, что речь идёт, в основном, об Интернет-угрозах, более полно раскрыть роль нейросетевых технологий. Также по-видимому, имеет место разногласие между сформулированными авторами задачами создания эффективных СОВ на базе системно-концептуального подхода (разработать единые требования к анализу больших баз данных на основе единой методики их обработки, единые методы классификации вторжений, единые схемы технологических маршрутов обработки и анализа поступающей информации в АСОД) и нижеследующими положениями о функциях и задачах защиты от вторжений, методах управления деятельностью СОВ. При этом сами методы не представлены (перечислены функции управления – планирование, оперативно-диспетчерское регулирование быстротекущих процессов, календарно-плановое руководство, обеспечение повседневной деятельности органов управления, а также структура оперативно-диспетчерского управления процессами обнаружения быстротекущих процессов вторжений). Не ясно также соотношение (основной, вспомогательный и т.п.) системно-концептуального и функционального подходов к разработке СОВ.
Изложенные в «Заключении» положения (в части сигнатурного, эвристического анализа, сенсоров и детекторов, правовых, организационных и технических мер защиты информации) не в полной мере соответствуют содержанию основного текста.
Библиография включает 17 источников отечественных авторов – монографии, научные статьи, нормативные правовые и технические документы. Библиографические описания некоторых источников нуждаются в корректировке в соответствии с ГОСТ и требованиями редакции, например:
2. ГОСТ Р ИСО/МЭК. 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. М. : Стандартинформ, 2007. 18 с.
3. Simavoryan S. Zh., Simonyan A. R., Ulitina E. I., Simonyan R. A., Pilosyan E. A., Kornienko N. A. Search fuzzy image of the attacker based on the use of automatic classification methods // Modeling of Artificial Intelligence. 2017. № 4-1. P. (ЗДЕСЬ И ДАЛЕЕ) 29–38.
12. Существующие на рынке системы обнаружения вторжений. URL: http://prog.bobrodobro.ru/106354 (дата обращения: 10.04.2019).
15. Симаворян С.Ж., Симонян А.Р., Кочконян Р.Э. Задача обнаружения злоумышленных действий в АСОД с помощью нейронных сетей // Актуальные задачи математического моделирования и информационных технологий : материалы Международной научно-практической конференции. Место издания ???, 2017. С. 94–96.
17. Герасименко В. А., Малюк А. А. Основы защиты информации. М. : Известия, 1997. ??? с.
Для источника № 1 следует указать выходные данные. Возможно излишнее самоцитирование (Simavoryan S. Zh. / Симаворян С. Ж. с соавторами).
Апелляция к оппонентам (Simavoryan S. Zh., Simonyan A. R., Ulitina E. I., Simonyan R. A., Pilosyan E. A., Kornienko N. A., Kopyrin A. S., Ulitina E. I., Makarova I. L., Бабошин В. А., Васильев В. А., Голубев В. Е., Герасименко В. А., Малюк А. А. и др.) имеет место.
Замечен ряд опечаток: мульти платформенной узловой СОВ – мультиплатформенной узловой СОВ; Планирование, календарно-плановое руководство о обеспечение повседневной деятельности службы защиты информации – Планирование, календарно-плановое руководство и (???) обеспечение повседневной деятельности службы защиты информации; основанные на сигнатурном, эвристическом и их комбинации анализе – основанные на сигнатурном, эвристическом анализе и их комбинации.
Аббревиатуры ГОСТ, ФСБ, ФСТЭК, ЗИ следует расшифровать.
В целом рукопись соответствует основным требованиям, предъявляемым к научным статьям. Материал представляет интерес для читательской аудитории и после доработки может быть опубликован в журналах «Программные системы и вычислительные методы» (рубрика «Модели и методы управления информационной безопасностью»).
|
Рус
© 1998 – 2024 Nota Bene. Publishing Technologies. NB-Media Ltd.
