|
Глава 2. Разработка моделей и алгоритмов прогнозирования угроз и уязвимостей информационной безопасности на основе анализа данных
тематических интернет–ресурсов
Характерные особенности функционирования тематических интернет–ресурсов и подход к прогнозированию угроз и уязвимостей
информационной безопасности
На сегодняшний день в сети Интернет функционирует большое количество специализированных информационных ресурсов (форумов, интернет–площадок), используемых пользователями для обсуждения вопросов информационной безопасности, а также способов и механизмов несанкционированного доступа к охраняемым компьютерным данным. В части из них зарегистрированы пользователи, преимущественно интересующиеся сведениями о защите компьютерной информации, а в других – способами совершения атак на информационные системы. Указанные форумы могут рассматриваться источниками информации о вредоносном программном обеспечении, уязвимостях и компьютерных атаках.
На тематических интернет–ресурсов преобладающее большинство обсуждаемых тем посвящено следующим вопросам:
программное обеспечение, используемое для организации компьютерных
атак;
программирование, в целях реализации угроз и уязвимостей
информационной безопасности;
создание и распространение вредоносных компьютерных программ;
мошенничество с использованием информационных технологий;
противоправные операции с банковскими картами и обналичивание похищенных денежных средств;
обеспечение анонимности при осуществлении противоправных действий с применением информационных технологий;
Указанные выше темы соответствуют актуальным в настоящее время угрозам информационной безопасности [26, 38, 52, 54], что позволяет рассматривать тематические интернет–ресурсы в качестве источников информации для выявления угроз и уязвимостей.
Как упоминалось ранее, события, происходящие в определенной предметной области, как правило, находят отражение на посвященных им дискуссионных интернет–площадках. Среди пользователей тематических интернет–ресурсов присутствуют потенциальные нарушители (заинтересованы в преодолении средств защиты информации) и участники, располагающие сведениями об угрозах и уязвимостях информационной безопасности. Они обмениваются имеющимися у них знаниями с использованием форумов. Указанные факторы позволяют прогнозировать угрозы и уязвимости информационной безопасности, основываясь на анализе данных тематических интернет–ресурсов, используя закономерности, характерные процессу обсуждения угроз и уязвимостей. В общем виде данный процесс можно представить схемой, изображенной на рисунке 2.1.
Для каждого сообщения интернет–форума, кроме текста, доступна информация, о времени его создания, авторе, рейтинге автора, принадлежности к определенному форуму и теме форума, количестве сообщений в теме форума. Описанная структура сообщений позволяет проводить их семантический и статистический анализ.
Путем проведения семантического анализа сообщений форумов возможно осуществление фильтрации тех, которые не имеют отношения к предметной области угроз и уязвимостей информационной безопасности. Таким образом, из дальнейшего анализа исключаются сообщения, не содержащие информации, относящейся к угрозам и уязвимостям информационной безопасности.
Рисунок 2.1 – Схема информационного наполнения тематических интернет–
ресурсов и их анализа
В настоящее время в качестве одного из эффективных средств описания предметных областей применяется онтология. При еѐ использовании, интересующая предметная область подлежит описанию в виде организованной совокупности понятий, учитывая существующие между ними связи и их свойства. Онтологические методы позволяют вычислять степень близости текстовых сообщений к терминам предметной области, заданной онтологией. Считается, что сообщения, имеющие нулевое значения коэффициента близости ко всем терминам онтологии, не имеют отношения к рассматриваемой предметной области [70].
Для функционирования тематических интернет–ресурсов характерна закономерность, заключающаяся в том, что при появлении угрозы или уязвимости информационной безопасности, участник форума, которому стало о ней известно, создает новую тему на форуме и оставляет сообщение. Другие участники форума оставляют в созданной теме сообщения, дополняющие или опровергающие
предшествующие. В зависимости от важности информации, обсуждаемой в той или иной теме форума, различается внутренний рейтинг авторов сообщений. Как правило, при высокой значимости темы сообщений форума, высок и рейтинг авторов сообщений. Также закономерно увеличение частоты появления сообщений в теме форума, где обсуждается важная информация, особенно в начальной стадии дискуссии.
Перечисленные закономерности могут быть описаны в виде правил нечетких продукций, применяемых в системах нечеткого логического вывода. Для прогнозирования угроз и уязвимостей информационной безопасности могут применяться результаты анализа сообщений тематических интернет–ресурсов. Для этого необходимо проведение статистического анализа потока сообщений форумов и применение систем нечеткого логического вывода. В связи с тем, что пользователи тематических форумов могут создавать сообщения, не имеющие отношения к рассматриваемой предметной области, целесообразно применять методы семантического анализа для исключения их из числа анализируемых. В качестве входных переменных в системе нечеткого вывода могут выступать статистические параметры, характеризующие процесс обсуждения угроз и уязвимостей безопасности информации. Нечеткие правила описывают закономерности изменения потока сообщений тематических интернет–ресурсов (база нечетких продукций). Обоснованность применения нечетких моделей связана со значительной степенью присутствующей неопределенности, по причине сложности предметной области и неполноты информации [36, 42, 70, 75,
76].
Основываясь на результатах прогнозирования возникновения ранее неизвестных угроз и уязвимостей безопасности, специалист, осуществляющий защиту информации, может оценить степень их опасности и предпринять меры по устранению возможных уязвимостей и пересмотру модели угроз информационной безопасности.
Do'stlaringiz bilan baham: |
