Комбінований метод та засоби виявлення вторгнень на основі еволюційних механізмів штучного імунітету - Автореферат

Сучасні програмні засоби забезпечення безпеки, що реалізують методи сигнатурного аналізу для виявлення вторгнень, або методи статистичного аналізу для виявлення аномалій не можуть забезпечити гарантованого або навіть прийнятного захисту кібернетичного простору компютерних систем і мереж від наростаючої загрози все нових і різноманітних атак з боку швидко прогресуючих спеціалістів та аматорів, у тому числі терористів. Значна кількість початкових розробок у цих областях показали серйозні науково-технічні проблеми, що існують у розвитку і реалізації еволюційних підходів в задачах виявлення вторгнень в компютерні системи та мережі. Дослідження відомих методів та алгоритмів виявлення вторгнень, у тому числі, алгоритму негативної селекції в концепції штучного імунітету, показали необхідність рішення і подолання ряду складних і актуальних науково-технічних проблем, звязаних з: безперервним збільшенням обсягів памяті для збереження інформації про вторгнення, складністю створення або вибору необхідних детекторів для виявлення, значними складностями і витратами часу на обчислення, що є перешкодою для виявлення вторгнень у реальному часі, високим рівнем позитивних помилок і низьким рівнем виявлення. Дисертаційна робота присвячена актуальній темі: підвищення ефективності прикладного математичного і програмного забезпечення для виявлення аномалій та вторгнень, що мають місце в компютерних системах та мережах і швидко змінюють свій характер. Дисертаційна робота виконувалася в 2001-2005 роках відповідно до планів науково-дослідних робіт кафедри обчислювальної техніки НТУУ “КПІ” і в розвиток досліджень, виконаних у лабораторії “Проблем безпеки компютерних систем” кафедри з НДР № 0194UO38973 “Концепція і концептуальні підходи, нормативно-правова база захисту інформації в компютерних системах”, а також НДР за планом Фонду фундаментальних досліджень України № 12.3/81 “Інформаційне забезпечення компютерних засобів контролю і діагностики великих енергообєктів на основі систем штучного інтелекту майбутніх поколінь”, номер держреєстрації № 0194UO38690.Запропоновано нову розгорнуту класифікацію систем виявлення вторгнень (СВВ) і виділене перспективний напрямок створення розподілених СВВ, що реалізують спільний підхід на основі розподілу обовязків окремого центрального сервера і передачі їх спільним СВВ на основі хост-компютерів. В таблиці 1 представлено загальну класифікацію існуючих Network & Host - орієнтованих систем виявлення вторгнення (IDS - Intrusion Detection Systems) відповідно до структурної організації механізмів збору інформації і засобів обробки даних. Виконано аналіз застосування еволюційних механізмів штучного імунітету в системах виявлення вторгнень. Цей клас є базовим для класів КЛАСАНТІТІЛОКЛІТКАТ, відтворюючий допоміжну функцію активації детекторів, та КЛАСТІЛОПАМЯТІКЛІТКАМ, який моделює збереження образу вторгнення (антигену) і породження відповідних М-кліток памяті імунітету на основі клонування, які в наступному швидко протидіють антигену. З огляду на те, що системи виявлення на основі штучного імунітету мають низький рівень виявлення і відносно коротку історію в порівнянні з іншими методами, запропоновано використовувати механізми ШІ на визначених етапах, сполучаючи їх з відомими підходами і методами виявлення атак і аномалій.