Алгоритмы и методики интеллектуального анализа событий информационной безопасности в сетях и системах телекоммуникаций : диссертация на соискание ученой степени кандидата технических наук : 05.12.13

Актуальность темы. Все возрастающая роль информационной безопасности (ИБ) в общей системе национальной безопасности Российской Федерации зафиксирована в таких документах как Доктрина информационной безопасности РФ и Стратегия развития информационного общества в РФ. Угрозы безопасности информационных и телекоммуникационных средств и систем относят к одному из видов общей направленности угроз ИБ РФ на современном этапе развития общества. Противодействие использованию потенциала информационных и телекоммуникационных технологий в целях угрозы национальным интересам России относят к числу основных задач, требующих решения [1-5].
Среди ключевых задач в парадигме обеспечения ИБ сетей и систем телекоммуникаций [6-7], выделяют противодействие компьютерным атакам, что обеспечивается за счет комплексного применения ряда технических средств, к числу которых относят и средства обнаружения вторжений (СОВ).
Неотъемлемой задачей, связанной с эксплуатацией СОВ является анализ событий информационной безопасности (СИБ), зарегистрированных в информационно-телекоммуникационной системе (ИТС). Ее результатом должно быть корректирующее воздействие, во-первых, в отношении ИТС (для предотвращения вторжения), во-вторых, в отношении СОВ (для повышения ее эффективности путем внесения соответствующих изменений в конфигурацию). Большое количество фиксируемых сетевых СИБ представляет объективную сложность для проведения их исследования. Средства анализа потенциально опасной сетевой активности на основе стандартных возможностей систем управления базами данных (СУБД) не всегда обеспечивают желаемый результат.
В настоящее время ведутся активные исследования, связанные с применением методов интеллектуального анализа данных (МИАД) для решения задач обработки больших массивов информации. Интеллектуальный анализ данных (ИАД) представляет собой процесс выявления неявных знаний о данных,
7
например, в виде ранее неизвестных связей и закономерностей. Опыт применения подобных методов уже доказал свою эффективность во многих предметных областях.
Вышесказанное обусловливает актуальность темы диссертационной работы и необходимость проведения исследований указанной проблематики с позиций ИАД в целях поиска путей построения эффективных систем анализа сетевых СИБ.
Степень разработанности темы представляется относительно невысокой. Вопрос подходов к исследованию статистики СИБ остается мало изученным. Среди прочих следует выделить два направления, на которых сосредоточены значительные усилия исследователей в области ИБ. Первое касается оценки защищенности систем и сетей телекоммуникации (И.В. Котенко, А.А. Чечулин, М.В. Степашкина, А.А.Азарова и др.). Другое, активно разрабатываемое направление, связано с применением МИАД для выявления непосредственно фактов сетевых вторжений в сетевом трафике (В.Ю. Дайнеко, И.В. Шарабыров, А.К. Большев, С.В. Белим, М.Ю. Ваганов, С.А. Поздняков, D. Md. Farid, M.Z. Rahman, C.M. Rahman, N.K. Harhna, P.K. Sree, I.R. Babu, P. Docas, L. Ertoz, P.K. Chan, M.V. Mahoney, J. Markey, E. Beqiri и др.).
Учитывая общность предметной области, указанные исследования можно рассматривать в качестве наиболее близких к теме диссертационной работы. Их результаты были изучены на предмет возможного использования предлагаемых решений.
Объектом исследования является процесс исследования данных о СИБ, зафиксированных СОВ.
Предметом исследования является алгоритмическое и методическое обеспечение аналитического процесса при исследовании статистики СИБ.
Цели исследования: разработка критериев, алгоритмического, программного и методического обеспечения повышения эффективности аналитической обработки информации о СИБ.

8
Для достижения поставленной цели были сформированы следующие
задачи:
1.Изучить существующие МИАД, связанные с вопросами выявления сетевых вторжений, и определить основные критерии к методу анализа СИБ.
2.Разработать алгоритм и методику кластеризации данных на основе энтропийного подхода.
3.Разработать алгоритм и методику оценки согласованности времени наступления СИБ различных кластеров.
4. Разработать алгоритм и методику оценки уровня угрозы однородных СИБ на основе ретроспективных данных, прошедших экспертную оценку.
5. Разработать и апробировать программно-аппаратный комплекс (ПАК) для исследования статистики СИБ.
Соответствие паспорту специальности. Работа соответствует п.10 «Исследование и разработка новых методов защиты информации и обеспечение информационной безопасности в сетях, системах и устройствах телекоммуникаций» Паспорта специальности 05.12.13 – Системы, сети и устройства телекоммуникаций.
Научная новизна работы заключается в том, что в ней предложена и реализована концепция построения системы исследования статистики СИБ на основе МИАД. В результате проведенного исследования были получены следующие результаты, характеризующиеся научной новизной:
1. Впервые выбраны критерии МИАД для анализа статистики сетевых СИБ, заключающиеся в способности анализировать большие массивы данных, характеризующиеся малым количеством признаков СИБ и высокой вариативностью их значений с использованием номинальных шкал.
2. Впервые разработан подход, позволяющий повысить эффективность исследования статистики СИБ за счет многократного сокращения объема данных, требующих экспертного анализа, и выявления неявных зависимостей между группами СИБ, на основе МИАД.

9
3. Впервые на основе энтропийного подхода разработаны алгоритм и методика кластеризации данных, учитывающих специфику предметной области, а именно: малое число признаков характеризующих базовую сущность, применение номинальной шкалы для измерения признаков, высокую вариативность признаков.
4. Впервые для анализа статистики СИБ предложен и применен новый критерий – динамическая зависимость (ДЗ), характеризующий степень согласованности по времени СИБ различных кластеров. Разработаны и реализованы алгоритм и методика его вычисления.
5. Впервые разработаны алгоритмы и методика вычисления нормированных показателей статистики СИБ: степень изученности СИБ для заданного кластера и непротиворечивости экспертной оценки, используемые для автоматизации процесса определения уровня угрозы СИБ, входящих в состав различных кластеров.
Теоретическая значимость работы:
1. На основе этропийного подхода разработаны алгоритм и методика кластеризации данных по номинальным признакам.
2. Разработаны алгоритм и методика вычисления динамической зависимости между группами событий.
3. Разработаны алгоритм и методика автоматической оценки уровня угрозы текущих СИБ на основе ретроспективных данных, прошедших экспертную оценку.
Практическая значимость работы заключается в том, что теоретические результаты доведены до уровня практического применения: разработанные методики представлены в виде четкого алгоритма и реализованы в программном обеспечении, которое позволяет специалисту более эффективно выполнять аналитическое сопровождение при эксплуатации СОВ. Его использование позволяет структурировать исходные данные и многократно сократить количество сущностей, требующих экспертного анализа. Показано, каким образом большие данные сами становятся источником новой информации. Эта

10
информация присутствует в статистике в неявной форме и недоступна для непосредственного наблюдения. Она отражает особенности внутренней структуры и скрытых взаимосвязей. Применение разработанного ПАК позволяет извлекать эту информацию и предоставлять ее в распоряжение специалиста, тем самым давая возможность соотносить между собой различные группы СИБ как по статистическим признакам, так и в динамике, по степени согласованности времени наступления СИБ различных кластеров.
Методология и методы исследования. Основные результаты получены с использованием теории информации, теории вероятностей и математической статистики, методов объектно-ориентированного программирования, работы с реляционными базами данных, а также Java EE технологии.
Положения, выносимые на защиту:
1. Алгоритм и методика кластеризации статистики потенциально опасной сетевой активности, на основе энтропийного анализа данных, позволяющие эффективно обрабатывать сущности, с малым количеством признаков измеренных в номинальной шкале и обладающих высоким значением вариативности.
2. Алгоритм и методика вычисления динамической зависимости, позволяющие оценить степень согласованности по времени между СИБ различных кластеров.
3. Алгоритмы и методика расчета нормированных показателей статистики СИБ: степень изученности кластера и непротиворечивости экспертной оценки, позволяющие оценить уровень действительной сетевой угрозы на основе ретроспективных данных, прошедших экспертную оценку.
4. ПАК, реализующий функционал аналитического сопровождения при эксплуатации СОВ, включающий в себя три подсистемы: вычислительную, хранения данных и визуализации, построенные на алгоритмах и методиках данной работы.

11
Личное участие автора в получении научных результатов. Все основные результаты, представленные в диссертационной работе, получены автором лично. В ходе работы были предложены алгоритмы и методики, позволяющие повысить эффективность исследования статистики сетевых СИБ, выполнена их реализация в виде ПАК, проведен вычислительный эксперимент и ряд опытно- экспериментальных испытаний.
Степень достоверности и апробация результатов. Достоверность научных исследований обосновывается полнотой и корректностью теоретических обоснований, использованием строгих математических доказательств, результатами вычислительного эксперимента и опытно-экспериментальных испытаний, подтверждающими правильность применения МИАД и повышение эффективности работы со статистикой СИБ, а так же апробацией и внедрением ПАК в производственную деятельность организаций лицензиатов ФСТЭК и образовательный процесс СибГУТИ, о чем свидетельствуют акты внедрения и использования результатов диссертационной работы.
Основные теоретические положения и результаты диссертации представлены в научных печатных изданиях и обсуждены на научных конференциях различного уровня. По теме диссертации опубликовано 10 научных работ, среди которых три изданы в рецензируемых научных изданиях, рекомендованных ВАК РФ, и два, приравненных к ним, свидетельства о государственной регистрации программ ЭВМ.