Рус Eng Cn Translate this page:
Please select your language to translate the article


You can just close the window to don't translate
Library
Your profile

Back to contents

Software systems and computational methods
Reference:

Functionality of the system of information security in automated data processing systems in the conditions of external intrusions by analogy with the human immune system

Simavoryan Simon Zhorzhevich

PhD in Technical Science

Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University

354003, Russia, Krasnodarskii krai, g. Sochi, ul. Plastunskaya, 94

simsim@mail.ru
Other publications by this author
 

 
Simonyan Arsen Rafikovich

PhD in Physics and Mathematics

Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University

354000, Russia, g. Sochi, ul. Ostrovskogo, 37, kv. 91

oppm@mail.ru
Other publications by this author
 

 
Popov Georgii Aleksandrovich

Doctor of Technical Science

Head of the Department of Information Security, Astrakhan State Technical University

414025, Russia, Astrakhanskaya oblast', g. Astrakhan', ul. Tatishcheva, 16

popov@astu.org
Other publications by this author
 

 
Ulitina Elena Ivanovna

PhD in Physics and Mathematics

Associate Professor, Department of Applied Mathematics and Computer Science, Sochi State University

354003, Russia, Krasnodarskii krai, g. Sochi, ul. Plastunskaya, 94

ulitina@rambler.ru
Other publications by this author
 

 

DOI:

10.7256/2454-0714.2021.3.36226

Received:

04-08-2021


Published:

24-11-2021


Abstract: This article is dedicated to construction of the system of information security in automated data processing systems that function by analogy with the human immune system. The subject of this research is the development of the procedure for countering external intrusions of viruses, spam, and other destructive software programs in automated data processing systems. The object of this research is the systems of ensuring information security in automated data processing systems and human immune system. Methodological research on elaboration of the procedure for identification of intrusion is conducted via methods of artificial intelligence, systemic analysis, theory of neural and immune systems in the sphere of ensuring information security based on the achievements of systemic analysis and a systemic-conceptual approach towards information security in automated data processing systems. The main result lies in the developed general procedure for the functionality of the system of ensuring information security in countering external intrusions in the form of block-diagram and its description. The procedure is based on the idea of similarity in functionality of the mechanisms and procedures for protection against external intrusions in both, human immune system and automated data processing system, as well as drawing parallel between them. The main peculiarity of the developed procedure lies in its applicability to the accepted classification of the initial external environment of intrusion onto physical, information, field, and infrastructure environments. Such approach guarantees the novelty of the development from the perspective of constant updating of human immune system countering mechanisms to the external intrusions and its application for each environment in applicable to automated data processing systems.


Keywords:

artificial immune systems, human immune system, information security systems, information protection, intrusions detection system, intelligent systems, neural systems, cellular immunity, humoral immunity, systems approach

This article written in Russian. You can find original text of the article here .

Введение

В настоящее время, проблеме построения системы ОИБ в АСОД, функционирующей по аналогии с некоторыми механизмами иммунной системы человека, уделяется большое внимание. Системы, имитирующие работу естественной иммунной системы человека и реализуемые в АСОД, называются искусственными иммунными системами (ИИС). ИИС способны выявлять не только ранее известные угрозы, но и неизвестные ранее виды угроз. ИИС способны адаптироваться под изменяющийся поток угроз, который характеризуются постоянным обновлением и агрессивностью [1-3]. В данной работе рассматривается проблема построения системы ОИБ в АСОД функционирующих по аналогии с ИмС при отражении внешних вторжений на базе достижений системного анализа и системно-концептуального подхода [4]. Актуальность данной проблемы отражена в таких работах как [5, 6,10,12]. Проблему выявления внешних вторжений можно разделить на два направления: 1) выявление вторжения на рубежах проникновения в АСОД и 2) выявление вторжений, преодолевших внешние рубежи защиты, при этом следует иметь в виду, что вторжения могут быть выявленными, так и не выявленными, т.е. временно скрытыми, ещё не проявившимися себя. В рамках проекта РФФИ № 19-01-00383 авторами исследуется задача анализа возможностей применения механизмов функционирования ИмС применительно к системам ОИБ в АСОД, проведен анализ на аналогию и различие между структурами ИмС и ОИБ, сделан вывод о том адаптивные системы обеспечения информационной безопасности, содержащие в себе средства и механизмы защиты, построенные по аналогии с иммунной системой человека, могут обеспечить успешную и эффективную защиту информации в АСОД на основе таких концептуальных требований как: адаптируемость, обучаемость и управляемость, выполнение которых гарантирует осуществление успешной защиты информации в АСОД при построении адаптируемых систем ОИБ, с использованием нейросетевых технологий по аналогии с ИмС, объединенных в единый головной центр управления. В данной работе на основе проведения системного анализа ИмС как структуры, нацеленной на защиту организма человека от различных внешних и внутренних угроз, разработан некоторый аналог механизма функционирования ИмС в системах ОИБ при противодействии внешним вторжениям, которая была ориентирована на возможность ее применения в АСОД. В дальнейшем авторами будут опубликованы результаты по построению иммунноподобной системы ОИБ для отражения внутренних угроз.

1. Основная часть.

Опишем общую процедуру функционирования системы противодействия внешним вторжениям, максимально близкой к ИмС. В приводимом ниже описании процесса функционирования ИмС выделен только тот стержень процесса работы ИмС, который представляет интерес с точки зрения повышения эффективности функционирования систем ОИБ.

На рис.1 приводится процедура работы ИмС при противодействии внешним вторжениям, на рис.2 приводится процедура работы системы ОИБ при противодействии внешним вторжениям.

Вначале опишем общий алгоритм функционирования ИмС при реализации основной его функции – функции защиты от вторжений.

Встречу антигена и клетки ИмС можно разбить на три этапа:

1. Распознание вторжения антигена, идентификация антигена;

2. Иммунологический ответ, выброс необходимых биологически активные веществ.

3. Запоминание антигена, выработка клеток памяти.

Процесс противостояния антигенов и ИмС заключается в попытках антигена (различных внешних живых и неживых объектов самой различной природы) проникнуть в тело человека, преодолев все заградительные элементы (барьеры) ИмС (рис.1, бл. 1 - 3) - кожный покров, пищеварительный тракт, система дыхания, органы чувств.

Если антигену удалось преодолеть внешнюю границу тела, то он сталкивается с клетками, ответственными за контроль пограничной зоны и выявление чуждых объектов. Поясним содержание этого механизма (рис. 1, бл. 4, 5).

В человеческом организме имеется система «свой-чужой», которая распознаёт собственные клетки организма и чужие инородные клетки, а также мутированные клетки своего организма. Имеется два механизма распознавания и уничтожения антигена: первый – врожденный иммунитет, второй – адаптивный. Ключевым компонентом первого механизма является MHC-I - группа белков, индивидуальная для каждого человека, которая располагается на поверхности каждой клетки нашего организма, - «паспорт» клетки. По этому «паспорту» ИмС выделяет родные не мутированные клетки организма. Клетки организма, называемые натуральными киллерами, и Т-киллеры умеют распознавать MHC-I рецептор, и в случае его отсутствия или несоответствия «паспорту» уничтожают объект [14]. Второй механизм иммунного ответа на вторжение антигена называется адаптивным (клеточным) иммунитетом, когда форма и содержание противодействия вторжению подбирается индивидуально для каждого типа антигена, вируса, микроба. В этом случае ИмС опирается на антитела, которые синтезируются В-лимфоцитами. Эти антитела связываются с чужеродными объектами (антигенами) и нейтрализуют их. Ключевая особенность антитела: каждое антитело специализировано на определенный код антигена и поэтому может нейтрализовать только антигены с этим кодом, то есть определенный тип антигена.

Рис.1. Процедура работы ИмС при противодействии внешним вторжениям.

Если микробам удалось проникнуть в организм, то прежде всего они сталкиваются с врожденной ИмС (рис. 1, бл. 5-10). Вначале в зону поражения устремляются компоненты врожденной ИмС: нейтрофилов (из красного костного мозга) и макрофаги из ближайших тканей организма. Если антиген

уничтожить удается только с помощью нейтрофилов, то процесс иммунной защиты завершается.

Если нет, то привлекаются макрофаги, которые пожирают и переваривают антиген. Привлечение макрофагов необходимо также для формирования образа уничтоженного инородного объекта в «базе данных» по микробам, с которыми организм сталкивался ранее; эта база размещена в лимфатических узлах.

Если же врожденной ИмС не удалось нейтрализовать вторжение микробов, то к процессу противодействия подключается адаптивная ИмС (рис.1, бл. 11-18). То есть если же не удалось справиться с очагом поражения только с помощью нейтрофилов и макрофагов в течение некоторого контрольного промежутка времени, то активизируется клеточный иммунный ответ. В основе его рецепторы МНС-2 класса, реагирующие на индивидуальный код (определенная индивидуальная последовательность аминокислот) данного антигена. Рецепторы MHC 2 класса находятся только на поверхности Т- и В-лимфоцитов, а также специализированных клеток, поглощающих всё, что не имеет индивидуального кода организма. При этом Т-хелпер снимает информацию о микробе с макрофага, передает ее В-лимфоциту и способствует формированию клона Т-киллеров, ориентированных на разрушение именно данного микроба. Отметим, что В-лимфоциты и сами могут снимать фрагменты вирусов с поверхности макрофага. Но в клетки памяти, содержащие информацию о микробе, превращаются только В-лимфоциты, активированные Т-клетками (точнее, только часть из них). При повторной встрече с этим же видом бактерий благодаря клеткам памяти организм намного быстрее начинает синтезировать нужные антитела, и иммунный ответ запускается раньше.

Для того, чтобы процесс противоборства с вторгшимися микробами не вышел из-под контроля, и клетки-киллеры ИмС не стали уничтожать здоровые клетки самого организма (а такое развитие событий возможно), в зону вторжения направляются специальные клетки иммунной системы – Т-супрессоры, предназначенные для контроля за процессом противоборства и в случаи необходимости принятии мер по стабилизации ситуации (рис.1, бл. 19-20). Таким образом, весь процесс контролируется Т-супрессорами, которые регулируют его интенсивность, принимают решение о моменте завершения процесса. В частности, избыточный приток нейтрофилов в очаг внутриклеточной инфекции может привести к появлению гнойного воспаления.

Если же, несмотря на все предпринятые усилия, ИмС не удалось нейтрализовать вторжение и ресурсы организма значимо подорваны, то необходимо внешнее вмешательство и помощь организму в нейтрализации проникших микробов. Вопрос о необходимости внешней помощи решается в целом вне ИмС - хозяином организма и/или его окружением (рис1, бл. 21).

Более подробно работу ИмС можно найти в [14]. Все перечисленные процедуры и компоненты ИмС имеют своих аналогов в системах ОИБ, что будет рассмотрено ниже при обсуждении схемы рис.2.

Рассмотрим теперь, каким образом идеология защиты системы ИмС может быть перенесена в системы ОИБ. Разделим среды проникновения внешних атак на следующие: 1) физическую, 2) информационную, 3) полевую и 4) инфраструктурную. В системах ОИБ целесообразно сформировать, так же, как и в ИмС, две независимые подсистемы: 1) выявления (идентификации) и 2) нейтрализации (локализации и ликвидации) чужеродных программ и зараженных объектов в АСОД.

Первая подсистема формируется на стадии проектирования АСОД, где все элементы защиты закладываются в системное обеспечение; именно так создаются автоматизированные системы в защищенном исполнении [13].

Вторая подсистема формируется с учетом особенностей эксплуатации АСОД в конкретных реальных условиях. Компоненты второй подсистемы обычно не являются частью системного обеспечения, при необходимости могут заменяться аналогами, совершенствоваться и модифицироваться.

Первый механизм, опирающийся на процедуры аутентификации, позволяет распознавать все «родные» компоненты защищаемого объекта (программные модули и системы, технические устройства, источники и каналы данных и др.) в перманентном режиме осуществляя опрос объектов. При этом необходимо исходить из положения, что все компоненты угроз должны идентифицироваться с помощью идентификационных меток (жетона) [11]. В случае обнаружения несоответствия идентификационной метки (жетона) компоненты его предписанному значению, компонента либо уничтожается, либо заменяется на копию, либо «лечится», и т.п. Более того, в системах ОИБ данный механизм может быть реализован существенно более эффективнее: каждый компонент имеет свою индивидуальную идентификационную метку (жетон), а не общий для всех компонентов.

Второй механизм защиты опирается на выявление в составе конкретного программного модуля кодовых и иных фрагментов, характерных для конкретной злонамеренной программы из заданной их совокупности. Например, именно так функционирует подавляющее большинство антивирусных программ, опираясь на базы данных, содержащих характерные фрагменты ранее встречавшихся вирусных и шпионских программ [7, 8, 9].

Таким образом, механизм выявления и уничтожения чужеродных клеток в ИмС может быть полноценно интерпретирован и реализован в современных системах ОИБ. Более того, большинство его ключевых модулей уже в значительной степени реализованы, и поэтому требуется объединить их все в единую систему.

Перейдем к описанию алгоритма работы системы ОИБ, построенной по аналогии с работой ИмС, алгоритм в виде блок-схемы процедуры работы системы ОИБ при противодействии внешним вторжениям приведен на рис. 1.

Первый этап процесса противостояния вторжению заключается в попытках различных атак проникнуть внутрь объекта защиты, преодолев все контролирующие элементы на рубежах защиты (бл.1 - 2).

В блоке 3 осуществляется проверка на нейтрализованность атаки во внешней среде. Если атаке удалось преодолеть внешний рубеж объекта по одной из вышеперечисленных сред проникновения, то он сталкивается с программно-аппаратными модулями, ответственными за контроль входной зоны системы и выявление чуждых объектов (бл.4-6). Для этого целесообразно аналогично ИмС создать в системах ОИБ механизмы распознавания типа «свой-чужой». Оно включает два независимых механизма распознавания и нейтрализации атак, т.е. локализации и ликвидации. Первый – встроенная подсистема ОИБ. Ключевым компонентом этой подсистемы является раздача и контроль специальных идентификационных меток [11], которыми снабжаются все программно-аппаратные компоненты информационной системы - «паспорт» информационной системы. По этому «паспорту» система ОИБ выделяет «родные» компоненты в системе обработки данных. Встроенные механизмы активной защиты, предназначенные для поиска, выявления уничтожения чужеродных объектов в системе, способны распознавать эти идентификационные метки, и в случае отсутствия метки или ее несоответствия «паспорту» уничтожают объект. Если вторжению удалось проникнуть в информационную систему (бл.7), то оно прежде всего сталкивается с встроенной подсистемой ОИБ (бл. 8-9). Вначале в зону проникновения направляются компоненты встроенной подсистемы ОИБ. Если нейтрализовать атаку удалось только с помощью средств встроенной подсистемы ОИБ, то противодействия атаке завершается. Создается образ атаки в виде аналога/прецедента характерного элемента и этот образ обычно помещается в соответствующую базу данных. Местоположение и защита этой базы данных обеспечивается встроенными механизмами ОИБ.

Рис.2. Процедура работы системы ОИБ при противодействии внешним вторжениям.

Если же и встроенной подсистеме ОИБ не удалось нейтрализовать вторжение (бл.10), то к процессу противодействия атаке подключается адаптивная подсистема ОИБ (бл.11-14). То есть, если же не удалось справиться с вторжением только с помощью средств врожденной ОИБ в течение некоторого контрольного промежутка времени или до исчерпывания всех возможностей подсистем, то активизируются адаптивные средства противодействия.

Как было отмечено выше, все программно-аппаратные и технические средства и их компоненты в системах ОИБ могут быть снабжены индивидуальным кодом (идентификационной меткой или жетоном), который позволяет не только выявлять чужеродные объекты и компоненты, то однозначно и индивидуально идентифицировать свои компоненты. Более того, наличие баз данных по различным чужеродным средствам, в том числе и злонамеренным, позволяет распознавать и чужеродные объекты и предпринимать при необходимости наиболее адекватные действия по их нейтрализации. Наличие указанных баз данных позволяет адаптивной подсистеме ОИБ намного быстрее и эффективнее проводить процесс нейтрализации атаки, что особенно важно в системах ОИБ, где нередко время допустимой реакции крайне ограничено, поскольку в оперативном режиме система ОИБ функционирует в режиме реального времени.

Если аналог/прецедент не найден (блок 15), то запускаются чрезвычайные механизмы и мероприятия ОИБ на противодействие атаке, блокирование, изолирование и уничтожение фрагментов информационной системы (блок 16), с последующим анализом на нейтрализацию атаки (бл. 17). Если аналог/прецедент найден, то осуществляется противодействие атаке на основе адаптации систем ОИБ по аналогу/прецеденту (бл. 18-19).

Если же, несмотря на все предпринятые усилия, системе ОИБ не удалось нейтрализовать вторжение (блок 20), имеющиеся ресурсы объекта защиты оказались не в состоянии нейтрализовать атаку, то включается чрезвычайный режим работы АСОД и системы ОИБ, а также по возможности, подключаются внешние по отношению к объекту защиты средства ОИБ (блок 21). Вопрос о необходимости привлечения внешней помощи решается в целом вне системы ОИБ (руководством организации или/и системы ОИБ). Чем более серьезной и опасной является атака на объект защиты, тем активнее применяются адаптивные средства ОИБ. Однако, начальная оперативная реакция системы ОИБ всегда происходит на основе встроенных механизмов защиты.

Заключение

В работе, на основе проведения системного анализа ИмС человека как структуры, и на основе системно-концептуального подхода к разработке систем ОИБ в АСОД разработана процедура работы системы ОИБ при противодействии внешним вторжениям. Процедура разработана с учетом максимальной схожести и проведения параллельности понятий и механизмов функционирования ИМС человека и системы ОИБ АСОД.

Таким образом, имеются два механизма противодействия атаке: встроенный и адаптивный. Первый (встроенный) механизм нацелен на выявление у клетки «паспорта» объекта защиты, и при его отсутствии или повреждении объект нейтрализуется. Второй (адаптивный) механизм, наоборот, нацелен на поиск аналогов атаки, часто выявляемых на основе специфического кода (для программных объектов), и при их обнаружении эти объекты нейтрализуются. Первый механизм быстро реагирует на вторжение в режиме реального времени. Реакция второго механизма более запоздалая, поскольку ему требуется время для нахождения аналога/прецедента. Но второй механизм позволяет эффективно противостоять наиболее опасным атакам. Более того, второй механизм позволяет формировать «базу данных» (память) по происшедшим ранее атакам – как на данном объекте защиты, так и на других объектах. То есть второй механизм позволяет организовывать и эффективно использовать коллективный опыт противодействия угрозам. И именно этот механизм позволяет далее формировать механизмы противодействия по отношению к абсолютно новым, неизвестных ранее типам и процедурам атак. Пока данная задача в системах ОИБ решается недостаточно эффективно; в частности, при появлении нового компьютерного вируса антивирусным программам требуется некоторое время, возможно несколько, месяцев для формирования средств противодействия этим вирусам. В течении этих месяцев вирус продолжает безнаказанно свои разрушительные действия. Разработанная процедура работы системы ОИБ при противодействии внешним вторжениям будет способствовать по аналогии функционирования ИМС человека будет способствовать более эффективному решению созданию эффективных иммунноподобных процедур функционирования систем ОИБ для широкого спектра автоматизированных систем при противодействии внешним вторжениям.

Выводы.

В работе, разработана новая процедура работы системы ОИБ в АСОД по противодействию внешним вторжениям на основе проведения системного анализа ИмС человека как структуры, нацеленной на защиту организма от различных внешних угроз. Предлагается аналог подобный ИмС человека применительно к системе ОИБ в АСОД. Процедура разработана на идее установления подобности механизмов и процедур защиты в ИмС и в АСОД. Представлена общая схема процесса функционирования подобной системы в АСОД. Представлены некоторые рекомендации по совершенствованию существующих систем ОИБ в соответствии с предлагаемой идеологией их построения.

Благодарности. Работа выполнена при финансовой поддержке РФФИ в рамках гранта № 19-01-00383.

References
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.