Общая концепция выявления вторжений неизвестного типа на основе нейронных сетей

Симаворян Симон Жоржевич кандидат технических наук доцент, кафедра Прикладной математики и информатики, Сочинский государственный университет 354003, Россия, Краснодарский край, г. Сочи, ул. Пластунская, 94 Simavoryan Simon Zhorzhevich PhD in Technical Science Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University 354003, Russia, Krasnodarskii krai, g. Sochi, ul. Plastunskaya, 94 simsim@mail.ru Другие публикации этого автора     Симонян Арсен Рафикович кандидат физико-математических наук доцент, кафедра прикладной математики и информатики, ФГБОУ ВО "Сочинский государственный университет" 354000, Россия, г. Сочи, ул. Островского, 37, кв. 91 Simonyan Arsen Rafikovich PhD in Physics and Mathematics Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University 354000, Russia, g. Sochi, ul. Ostrovskogo, 37, kv. 91 oppm@mail.ru Другие публикации этого автора     Попов Георгий Александрович доктор технических наук Заведующий кафедрой Информационной безопасности, Астраханский государственный технический университет 414025, Россия, Астраханская область, г. Астрахань, ул. Татищева, 16 Popov Georgii Aleksandrovich Doctor of Technical Science Head of the Department of Information Security, Astrakhan State Technical University 414025, Russia, Astrakhanskaya oblast', g. Astrakhan', ul. Tatishcheva, 16 popov@astu.org Другие публикации этого автора

Улитина Елена Ивановна кандидат физико-математических наук доцент, кафедра Прикладной математики и информатики, Сочинский государственный университет 354003, Россия, Краснодарский край, г. Сочи, ул. Пластунская, 94 Ulitina Elena Ivanovna PhD in Physics and Mathematics Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University 354003, Russia, Krasnodarskii krai, g. Sochi, ul. Plastunskaya, 94 ulitina@rambler.ru Другие публикации этого автора

Введение

Среди множества всех возможных угроз информационной безопасности (ИБ) наиболее опасными являются угрозы, которые не фиксируются системой обеспечения информационной безопасности в автоматизированных системах обработки данных (АСОД). То есть система безопасности объекта даже понятия не имеет, что система обработки данных подверглась успешной злонамеренной атаке, на момент совершения атаки механизмов противодействия этим новым атакам практически нет. В результате объекту защиты может быть нанесён ущерб, причём величина этого ущерба может оказаться столь огромной, что может подорвать существование самого объекта защиты, особенно в условиях рыночной экономики. Причины, порождающие подобное состояние в процессе противодействия атакам, могут самыми разными, в частности, существующие средства противодействия против данной атаки неэффективны ввиду того, что возможности средств противодействия существенно слабее возможностей атаки (например, ввиду устаревания этих средств); атака является абсолютно новой по типу (например, при появлении новых компьютерных вирусов или шпионских программ, против которых существующие антивирусные программы пока не успели сформировать эффективные механизмы и процедуры нейтрализации); дефекты в самой системе обеспечения информационной безопасности.

Из вышесказанного следует, что разработка мер противодействия подобным скрытым атакам представляется весьма актуальной. Данной тематике и посвящена данная работа, в которой описывается процедура обнаружения скрытых, не выявленных атак на основе использования нейронных сетей, на базе системно-концептуального подхода ^[1].

Отметим следующие уровни (стадии) злонамеренного воздействия на активы объекта защиты. Существуют три уровня (стадии) угрозы ИБ:

1. Стадия наличия потенциально возможной угрозы, когда реальное или потенциальное злонамеренное воздействие находится вне контролируемой зоны, и объект защиты непосредственно не может воздействовать на него. Это – типовая ситуация противодействия возможным злонамеренным воздействиям, не требующая, вообще говоря, принятия неотложных мер.

2. Стадия атаки, когда угроза проникла в контролируемую зону, но ещё не добралась до зоны хранения информационных активов, представляющих ценность. Это – предаварийная ситуация, когда достаточно велика вероятность возможного проникновения атаки в зону нахождения информационных ценностей (данных ограниченного доступа). Ситуация требует принятия активных мер по нейтрализации атаки.

3. Стадия вторжения, когда атака смогла проникнуть в зону нахождения ценных информационных активов и закрытых данных и требуется принятие неотложных мер по её нейтрализации. Это - аварийная ситуация, и решающим фактором в этой ситуации является время реакции системы обеспечения ИБ на объекте защиты.

Наиболее опасным является такое состояние вторжения, когда не всякое вторжение может быть обнаружено, и, следовательно, целенаправленно нейтрализовано. Работ по описанной тематике в открытой печати относительно немного, укажем на работы ^{[2 - 4]}. Отметим также работы ^{[5, 6]} авторов данной статьи.

Основная часть

1. Процедура выявления вторжений на основе нейронных сетей.

Нейронные сети, которые мы рассматриваем в данной статье, имеют многоуровневое строение (слои). Напомним, что нейронная сеть (НС) представляет собой ориентированный граф, каждая дуга имеет свой вес ^{[6, 7]}. Основная суть работы алгоритма НС заключается в пересчёте этих весов на основе полученных входных данных. На выходе НС мы имеем число от 0 до 1, указывающие соответственно на отсутствие или наличие вторжений. Разрабатываемая нейронная сеть предназначена для ответа на основной базовый вопрос: есть (было) вторжение или нет.

Мы ограничимся рассмотрением только НС прямого действия ^{[8 - 10]}. Они линейны и иерархичны. В НС выделяем входной слой и выходной, и определённое количество промежуточных слоёв. Каждая вершина первого слоя соединяется с вершинами второго слоя, каждая вершина второго слоя связывается с каждой вершиной третьего слоя, и т.д. Параметры модели: параметры функции активации, число слоёв в НС, число вершин в каждом слое. Отметим, что наиболее распространённая функция активации – сигмоидальная. Критерием оценки качества НС является величина среднеквадратической (или дисперсионной) ошибки приближения – функция потерь. Поиск новых значений весовых коэффициентов предполагается осуществлять на основе метода градиентного спуска. Таким образом, все основные параметры нейронной сети, по которым мы будем работать, перечислены.

На вход НС подаётся совокупность всех возможных характеристик всех, перечисленных выше сущностей, способных оказать влияние на объект или систему защиты. На выходе НС получаем оценку по 10-ти бальной шкале уровня блокирования или уничтожения защищаемых данных в результате воздействия вторжения. На основе этой оценки может быть получена другая важная оценка - оценка уровня контролируемости процесса противодействия.

Одной из ключевых основ этих методов является их обучаемость. В нашем случае это обучение способности, прежде всего, выявлять абсолютно новые атаки, реализованные в виде различных злонамеренных файлов – шпионских программ, вирусов, троянских коней и др. Для этого система должна, прежде всего, найти этот зловредный файл. Мы рассматриваем ситуацию, когда существующие программы по обеспечению ИБ найти этот файл не смогли.

Первым шагом построения НС является формирования перечня входных параметров сети. Для этого прежде всего перечислим все основные сущности, участвующие в процессе выявления вторжения: 1) Вторжение/атака; 2) Система обработки данных (информационная система); 3) Система обеспечения ИБ; 4) Организационно-техническая среда, включающая персонал и все техническое и документальное обеспечение, связанное с его работой. Последняя сущность особо важна в случае проникновения на объект защиты с использованием физической среды, хотя даже в атаках с использованием только информационной среды данная сущность имеет определённую важность; например, в вопросах готовности инфраструктуры АСОД. Общая структура стационарной взаимосвязи всех перечисленных сущностей приведена на рис. 1.

Рис. 1. Взаимосвязь сущностей – участников процесса обнаружения вторжений

2. Формирование системы входных показателей.

Проведём анализ состава набора параметров, характеризующих каждую сущность, представленную на рис. 1. Методы их количественного измерения обсуждаются ниже.

1. Первая сущность «Вторжение/атака»:

1.1. Предполагаемое время проникновения атаки в зону нахождения информационных активов представляющих ценность. Чем быстрее злоумышленник преодолел внешние периметры объекта защиты и прошёл данную зону, тем атака является лучше подготовленной – хорошо продумана и профессиональна организована.

1.2. Предполагаемый источник атаки. Отметим, что речь не идёт обязательно о первоисточнике. Единственно необходимо выявить возможные объекты (субъекты) на пути распространения угрозы, с помощью которых бы можно было бы заблокировать и прервать возможное дальнейшее проникновение данной угрозы. Знание источника позволит также оценить возможную степень опасности атаки, предполагаемые объекты вторжения, уровень профессионализма подготовки атаки.

1.3. Уровень опасности атаки. Знание величины или оценки данного показателя будет определять, какие из мер защиты следует, прежде всего, применять, вплоть наиболее кардинальных (например, уничтожение всех ценных активов).

1.4 Предполагаемые объекты атаки и ожидаемые уровни нанесения ущерба. Целесообразно предварительно составить перечень возможных объектов атаки в рамках объекта защиты, приведя для каждого объекта оценку среднего возможного ущерба при успешном для злоумышленника завершении атаки, а также возможные особенности атаки в случае, когда рассматриваемый объект является одной из целей атаки. Знание предполагаемых объектов атаки с оценкой ожидаемых с этими атаками рисков позволяет принять дополнительные меры по их защите. Оценки вероятностей могут оперативно уточняться по мере развития атаки/вторжения.

1.5. Допустимое время нейтрализации атаки - с учётом интенсивности атаки, описываемых перечисленными выше параметрами). Данный показатель оценивается на основе оценочных значений предыдущих показателей. Данный показатель имеет важное значение, поскольку и формирует основное требование к системам, функционирующим в режиме аварийной ситуации, - требование по временным ограничениям.

1.6. Возможные зоны проникновения вторжения внутри объекта защиты. Данный показатель также использует значения предыдущих показателей. Знание данного показателя позволяет усилить превентивные меры по изоляции и блокированию тех зон, которые вторжение «посетило» либо прошло через эти зоны. Предварительно целесообразно составить перечень всех возможных отдельных элементарных/базовых зон на объекте защиты, то есть неделимых по физической среде и по информационной среде в АСОД.

1.7. Возможные участники, в том числе неявные. Здесь под участниками понимаются не только субъекты, в частности сотрудники, но и информационные технологии, программно-аппаратные средства, которые могли способствовать успешному проникновению атаки в зону нахождения ценных информационных активов. Знание данной характеристики позволит принять дополнительные меры по немедленной изоляции этих участников. Для удобства можно также составить предварительный перечень всех потенциально возможных участников процесса обработки данных, которые могут осознанно или неосознанно способствовать успешному проникновению вторжения в зону нахождения ценных информационных активов.

Таким образом, по первой сущности сформирован состав из 7 параметров.

2. Вторая сущность – Система обработки данных (информационная система).

2.1. Средний объем перерабатываемых данных за единицу времени. Данный показатель необходим для того, чтобы оценить потери в результате реализации процедур блокировки, изолирования и прекращения обработки данных в процессе противодействия вторжению.

2.2. Средний объем буферной памяти. Объем буферной памяти определяет, насколько быстро и насколько полно можно будет выгрузить содержимое всех обрабатываемых процессов; в частности, при реализации процедуры изолирования. Более того, по технологическим и иным причинам может возникнуть необходимость завершить выполнение некоторых процессов до определённой промежуточной точки с запоминанием промежуточных результатов, что также может потребовать дополнительных объёмов памяти для их хранения. При этом может быть реализован защищённый режим выполнения этих процессов с использованием защищённой буферной памяти. Наконец, часть передаваемых данных может быть временно до разрешения ситуации сохранена в буферной памяти. Отметим, что в зависимости от ценности данных буферная память может быть дифференцирована по уровню секретности и, как следствие, иметь разные механизмы информационной безопасности. При этом все виды буферной памяти, включая память для хранения текущих открытых данных, должны быть защищены.

2.3. Объем оперативной памяти. Данный показатель может оказаться важным при срочной загрузке большого числа программных средств, связанных с процессом противодействия вторжению, а также для более эффективной и быстрой реализации процедуры изолирования программ. Кроме того, при большой памяти можно загрузить большой объем «ложных» программных средств, похожих на истинные, которые могут представлять интерес для злоумышленной атаки, с целью отвлечь вторгнувшую программу и тем самым выиграть определённое время для более эффективной организации противодействия.

2.4. Состояние операционной среды. То есть, какие программные системы и средства в момент обнаружения вторжения присутствует в информационной системе и насколько каждая из этих программных средств важно для процесса обработки в текущий момент времени. Данный показатель необходим для выработки наиболее приемлемого варианта немедленной или оперативной выгрузки части программ из операционной среды либо изменения режима их работы, что, возможно, поможет избежать злонамеренной атаки по отношению к этим программам.

2.5. Глубина проникновения вторжения в АСОД. В данном показателе, в отличие от показателя 1.6, необходимо указать степень повреждения и ограничение функционала каждой из процедур, используемых в АСОД.

2.6. Степень защищенности информационных ценностей. Прежде всего, тех информационных активов, которые могут представлять интерес для злоумышленного вторжения. Данный показатель позволит более рационально и адаптивно распределить ресурсы и усилия в процессе противодействия вторжению.

Таким образом, для второй сущности сформирован состав из 6 показателей.

3. Третья сущность - система обеспечения информационной безопасности.

3.1. Область поражения элементов системы обеспечения ИБ вторжением на текущий момент. Знание данного показателя позволит выработать наиболее приемлемую тактику противодействия вторжению. В частности, какие программно-аппаратные и иные средства не смогли обнаружить атаку, противодействовать ей и насколько долго смогли задержать ее продвижение в случае противодействия. Данный показатель позволяет оценить степень опасности вторжения/атаки и оценить возможности различных средств противодействия с целью нейтрализации вторжения либо минимизации ущерба, который может нанести это вторжение.

3.2. Ожидаемые объекты совершения атаки в АСОД с учётом имеющихся средств обнаружения и противодействия с указанием времени до начала этих атак для каждого из объектов. Данный показатель может оказаться крайне важным для оперативной корректировки процесса противодействия вторжению.

3.3. Непосредственные текущие источники распространения атаки. То есть по каким элементам АСОД и обеспечения ИБ в текущий момент проходит фронтальная линия движения вторжения в зону нахождения ценных информационных активов, а также в других направлениях внутри АСОД и объекта защиты. Знание данного показателя позволит значимо повысить эффективность процесса оперативного противодействия вторжению; в частности, путём привлечения дополнительных средств и механизмов защиты в элементы ИС, куда произойдёт продвижение вторжения из фронтальных элементов.

3.4. Степень готовности системы обеспечения ИБ эффективно противодействовать вторжению. Данный показатель для принятия базовых решений и соответствующих управляющих воздействий со стороны руководства/ответственных лиц по противодействию вторжению.

Таким образом, для третьей сущности получаем 4 показателя.

4. Четвёртая сущность - «Организационно-техническая система».

4.1. Степень эффективности действий элементов организационно-технической защиты в процессе проникновения вторжения. Предварительно целесообразно, как и для ряда других перечисленных выше показателей, составить перечень всех элементов организационно-технической защиты, включая персонал, входящий в состав системы организационно-технической защиты. Данный показатель позволит оценить степень эффективности действий соответствующих элементов инженерно-технической защиты в процессе обнаружения и противодействия вторжению. Этот показатель также может оказаться важным в случае покидания вторжением объекта защиты.

4.2. Готовность элементов организационно-технической составляющей системы обеспечения ИБ последующему оперативному противодействовать вторжению. Данный показатель позволяет оценить эффективности организационно-технической составляющей на текущем и последующих этапах процесса противодействия вторжению.

4.3. Уровень ценности данных по текущему вторжению. Данный показатель важен для последующего детального анализа всего процесса противодействия вторжению с целью совершенствования и повышения эффективности функционирования системы обеспечения ИБ.

Таким образом, данной сущности сопоставлено 3 показателя. В целом для системы выявления вторжений и противодействия им сформирован состав из 7+6+4+3= 20 параметров.

3. Шкалы оценки значений сформированных показателей.

Рассмотрим теперь методы измерения значений перечисленных показателей. Отметим, что при более детальном анализе многие из перечисленных выше показателей оказываются многомерными и, следовательно, измеряются векторными величинами. Как продолжение, эти параметры как входные характеристики НС, требует для себя набора входных контактов НС. Опишем наборы числовых характеристик для каждого из перечисленных выше параметров. Отметим, что отдельной задачей является разработка процедур и методов оценки значений этих показателей в конкретных условиях функционирования системы.

1. Блок «Вторжение/атака».

1.1. Данный показатель описывается двумя числовыми характеристиками

а) Среда проникновения – физическая (то есть через физический периметр организации/объекта защиты) – значение показателя равно 0, или информационный (локальная, корпоративная или глобальная сеть) – значение показателя равно 1.

б) Предполагаемое время преодоления внешних периметров объекта защиты ;

в)) Предполагаемое время преодоления контролируемой зоны до места нахождения ценных активов внутри объекта защиты .

Данные временные показатели могут быть даны также в интервальном виде. Тогда в качестве входных показателей этих величин можно середину интервала и отклонение, равное половине длины интервала. Таким образом, в зависимости от способа задания данный показатель требует 2 входных контакта НС в случае численной оценки значений и и до 4 контактов в случае интервальной оценки. Мы возьмём за основу интервальные оценки этих показателей, считая, что при числовой оценке их значений отклонения равны 0. Итого – 4 входных контакта. Последнее, в качестве единицы измерения времени, в зависимости от интенсивности атаки, могут быть взяты секунды или минуты. При некоторых типах атак время может измеряться днями, месяцами и даже годами. Например, атака на Иранский ядерный центр со стороны США развивалась в течение нескольких лет.

1.2. Обычно, однозначно назвать источник атаки достаточно сложно. Поэтому, примем, имеется набор возможных источников с соответствующими вероятностями, что это источник и непосредственно связан с данной атакой. Число возможных источников в перечне ограничим некоторой величиной, например 10. Предварительно целесообразно сформировать перечень потенциально возможных источников атак (при необходимости данный перечень может оперативно пополняться и изменяться); тогда каждый потенциальный источник получит свой порядковый номер, и этот номер будет подаваться в качестве входного значения. Таким образом, показатель 1.2 описывается набором из 20 числовых значений (10 пар – номер источника и соответствующая вероятность).

1.3. Для измерения данного показателя необходимо задать шкалу уровней опасности. В соответствии с тем, как это делается во многих аналогичных ситуациях (например, при оценке уровня опасности землетрясений), предлагается выбрать шкалу от 0 до 10. Тогда оценка будет представлять некоторое число (обычно целое или полуцелое) из указанного промежутка.

1.4. Данный показатель измеряется набор троек чисел. Каждая пара состоит из двух чисел: первое число – порядковый номер компонента объекта защиты, на который совершается атака, из заранее подготовленного перечня возможных объектов атаки; если указанного перечня нет, то приводится наименование компонента. Второе число – оценка средней величины ожидаемых потерь в случае успешной злоумышленной атаки на рассматриваемый компонент. Поскольку получить оценки потерь в денежных единицах в сфере ИБ крайне затруднительно, то предлагается оценки потерь приводить в условных единицах, например, по сто бальной шкале. Третье число – оценка вероятности атаки на данный компонент объекта защиты. Примем, что максимально возможное число компонентов, которые могут быть подвергнуты нападению при конкретной атаке, не превосходит 5 (для конкретных объектов это число возможно потребует уточнения). Тогда общее число входных контактов равно 21.

1.5. Данный параметр характеризуется двумя числовыми характеристиками: среднее время до завершения атаки и среднее отклонение от этой величины. Данный показатель может также задавать интервальной оценкой. Как было описано выше, оба типа оценок достаточно просто переводятся одна в другую. Если есть точные значения, то отклонение равно нулю. Итого: 2 входных контакта.

1.6. Для каждой зоны/элемента, куда вторжение проникло, указывает его номер по составленному перечню базовых зон либо наименование (расположение) зоны, если перечня нет. Примем, что таких зон не более 50. Также для каждой зоны приводится оценка вероятности того, что эта зона была подвергнута нападению вторжения, и оценочная величина доли поражения этой зоны в процентах, то есть по сто бальной шкале. Итого, 50*3=150 входных контактов на данный показатель.

1.7. Указываются порядковые номер возможных участников процесса проникновения вторжения и оценка вероятности его возможного участия. Принимая, что число таких участников не превосходит 10, получаем необходимость выделения 20 входных контактов на этот показатель.

Суммируя количество входных контактов по каждому показателю, получаем в итоге, что число всех входных контактов по первой сущности «Вторжение/атака» равно 218. Значения их – числовые и, возможно, также текстовые.

2. Блок «Информационная система»

2.1. Данный показатель необходимо разбить на два, один из которых связан, прежде всего, с экономическими потерями, а второй – с потерями в сфере информационной безопасности.

а) Средний объем всей обрабатываемой информации за единицу времени. Прекращение обработки данных, как было отмечено выше, потенциально может привести к экономическим потерям и издержкам. Если данный показатель достаточно сильно изменяется во времени (по дням месяца, недели, часам дня), то можно данный показатель сделать динамически изменяющимся, и при противодействии выбирать его значение, соответствующее текущему промежутку времени. Необходимо также среднее отклонение от среднего объема всей обрабатываемой информации. Итого – необходимо выделить 2 входных контакта.

б) Средний объем обрабатываемой закрытой информации разного уровня доступа (закрытости). Выделим следующие уровни секретности. Применительно к государственной тайне: 1) для служебного пользования; 2) секретную, 3) совершенно секретную; 4) особо важную. Другие виды закрытой информации: 5) коммерческая; 6) конфиденциальная; 7) служебная; 8) профессиональная. И ещё две позиции добавим для других видов закрытой информации, которые могут востребоваться в связи с необходимостью учёта специфики объекта защиты (например, информацию о научно-технических разработках) – всего 10 типов данных По каждой из перечисленных категорий данных на соответствующий входной контакт подаётся число, описывающее объем обрабатываемых данных (в мега-, гега- или терабайтах) на текущий момент. Если соответствующей категории данных нет или нет необходимости учитывать, то на входной контакт подаётся число ноль. Необходимо, также, как и выше, ввести также среднее отклонение от рассматриваемого среднего значения.

Итого получаем 2+2*10=22 входных контактов для показателя 2.1.

2.2. Объем всей буферной памяти будем измерять в терабайтах. Однако, мы выделим внутри область буферной памяти, где будут храниться закрытые данные. Теоретически эта область при необходимости может быть дифференцирована на 10 частей в соответствии с уровнями секретности/закрытости данных, перечисленным выше. Таким образом, в нашем случае данный показатель задаётся двумя входными контактами, на первый из которых подаётся число, характеризующее общий объем буферной памяти, а на второй – объем буферной памяти для хранения закрытых данных; последняя область должны иметь более сильные механизмы защиты информации.

2.3. Объем оперативной памяти измеряем в гигабайтах или терабайтах. Таким образом, данному показателю необходим один входной контакт.

2.4. Необходимо составить перечень всех используемых системных, прикладных и пользовательских программ с указанием уровня их востребованности в текущий момент времени. Целесообразно предварительно сформировать реестр всех используемых в ИС программных средств. Тогда по каждой программной системе и прикладной/пользовательской программе необходимо указать пару: номер программы в реестре используемых программных средств и уровень ее востребованности в текущий момент времени по заданной шкале; рекомендуется использовать десятибалльную шкалу. Ориентировочно предлагается выделить максимально 50 программных средств в этом перечне – применительно к конкретному объекту защиты данная величина должна уточняться. Тогда общее число входных контактов по данному показателю равно 100.

2.5. Для оценки значения данного показателя предлагается предварительно составить перечень всех выполняемых в ИС процедур и функций, исходя из утверждённого перечня программных средств, включённых в состав ИС. Оценка вероятности нарушения правильности и полноценности реализации каждой из процедур/функций в результате реализации вторжения, а также оценка доли правильности работы этих процедур (по сто бальной шкале) в этих условиях опирается на знание предыдущих показателей, прежде всего, показателя 1.6. Считая, что общее число процедур не превосходит 200, выводим: необходимо наличие 3*150=450 входных контактов.

2.6. Предлагается уровень защищенности каждого закрытого информационного актива оценить по десятибалльной шкале заранее. При обнаружении вторжения уровень защищенности данных (информационных активов), которые могут представлять интерес для вторжения, следует повысить путём подключения дополнительных механизмов защиты и затем переоценить и подправить оценки данного показателя для этих информационных активов. Предполагая, что число закрытых информационных активов не превосходит 20, получаем необходимость в предоставлении данному показателю 20 входных контактов.

Таким образом, для показателей второго блока требуется 22+2+1+100+450+20=587 входных контактов.

3. Блок «Система обеспечения информационной безопасности»

3.1. Предварительно необходимо ставить перечень всех имеющихся или доступных средств и механизмов обеспечения ИБ на объекте защиты – программно-аппаратных, технических, должностных (персонал и его функции). Применительно к текущему событию (вторжению) по каждому средству необходимо указать следующий набор показателей: а) вероятность того, что вторжение прошло через зону ответственности данного среда/механизма защиты информации, то есть вероятность того, что данное средство могло возникнуть на пути проникновения вторжения в систему; б) вероятность его бездействия либо неэффективности действия при возможном соприкосновении с вторжением либо оценку степени эффективности его участия в процессе противодействия вторжению – предлагается для оценки использовать десятибалльную шкалу; в) вероятность того, что это средство повреждено. Поскольку данные оценки должны выполняться и оперативно корректироваться в режиме реального времени, опираясь на предыдущие показатели и всю доступную информацию о вторжении, то необходимо наличие специальной подсистемы, которая бы и вычисляла значения этих характеристик. Условно предполагая, что всех средств противодействия в перечне не превосходит 50 (эта величина при практическом применении нейронной сети должна уточняться), находим, что общее количество входных контактов равно 50*4=200.

3.2. Опирается на перечни имеющихся элементов защиты и средств противодействия атаке, который дополняется перечнем зон ответственности (то есть защищаемых элементов АСОД) для каждого средства. Также необходимо указать оценки вероятности совершения атаки на каждый объект из списка элементов АСОД и оценку ожидаемого промежутка времени (в секундах или долях секунды) до момента совершения атаки. Так как всего элементов в АСОД, требующих обеспечения защиты, выше ограничено числом 100, то данный показатель требует выделения ему 100*3=300 входных контактов.

3.3. Основой для оценки данного показателя является перечень всех элементов АСОД, который дополняется для каждого элемента вероятностью того, что данный объект является фронтальным, то есть потенциальным источников продолжения атаки. Итого 100*2=200 входных контактов.

3.4. Данный показатель оценивается двумя характеристиками: оценкой (возможно, нижней оценкой вероятности успеш

Другие сайты издательства: Официальный сайт издательства NotaBene / Aurora Group s.r.o.

Перепечатка материалов допускается только в некоммерческих целях со ссылкой на оригинал публикации. Охраняется законами Российской Федерации. Любые нарушения закона преследуются в судебном порядке. © ООО "НБ-Медиа"