МАТЕМАТИЧЕСКАЯ ПОСТАНОВКА ЗАДЧИ ОПТИМИЗАЦИИ СБОРА СОБЫТИЙ БЕЗОПАСНОСТИ ПРИ ПРОЕКТИРОВАНИИ СИСТЕМ МОНИТОРИНГА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

MATHEMATICAL STATEMENT OF THE PROBLEM OF OPTIMIZATION OF COLLECTION OF SECURITY EVENTS IN DESIGNING INFORMATION PROTECTION MONITORING SYSTEMS

Andrey Shabanov

student, department of information security, Moscow State Technical University N.E. Bauman,

Russia, Moscow,

АННОТАЦИЯ

С растущим объемом информации, которая обрабатывается и передается между различными информационными системами, организации и отдельные пользователи все больше зависят от непрерывности и корректности выполнения данных процессов. Для реагирования на угрозы безопасности в информационных системах необходимо иметь инструменты, позволяющие анализировать в реальном времени происходящие события, число которых только растет.

С одной стороны, мониторинг средств информационной безопасности позволяет специалистам соответствующим образом реагировать, с другой стороны нагружает вычислительные и сетевые ресурсы, которые должны обрабатывать и передавать большие объемы логов.

Данная работа посвящена разработке математической модели задачи оптимизации. В работе формулируется задача разработки алгоритма сбора логов с систем информационной безопасности, а также предлагается метод ее решения.

ABSTRACT

With the growing volume of information that is processed and transmitted between various information systems, organizations and individual users are increasingly dependent on the continuity and correctness of the execution of these processes. To respond to security threats in information systems, you need to have tools that allow you to analyze real-time events, the number of which is only growing.

On the one hand, monitoring information security tools allows specialists to respond appropriately, on the other hand, it loads computing and network resources that must process and transfer large volumes of logs.

This work is devoted to the development of a mathematical model of the optimization problem. The paper formulates the task of developing an algorithm for collecting logs from information security systems, and also proposes a method for solving it.

Ключевые слова: мониторинг, нейронная сеть прогнозирования, оптимизация получения системных журналов.

Keywords: monitoring, forecasting neural network, optimization of obtaining system logs.

Формулирование математической постановки задачи

Под источником информации следует понимать произвольный узел сети , в том числе и внешний по отношению к этой сети, на котором установлено программное обеспечение, способное отслеживать и протоколировать события безопасности. В общем случае математическая модель формализованного события безопасности будет иметь вид:

                                 (1)

где type – тип сообщения;

source – источник, сгенерировавший сообщение;

severity – важность сообщения;

timestamp – временная метка.

Тело сообщения msg представляет собой структуру, поля которой содержат специфические для информационного объекта или его компонента характеристики.

Полученная таким образом информация должна быть передана модулю сбора данных подсистемы визуализации для последующей обработки, анализа и визуализации [2, c. 506]. Способ передачи зависит от источника информации, однако, как правило, внешние источники опрашиваются с заданным временным интервалом.

Сформулируем математическую постановку задачи разработки оптимального алгоритма сбора логов с систем информационной безопасности.

Исходные данные и операции:

 – время от возникновения лога в источнике до появления в системе мониторинга средств ИБ;

N – количество временных интервалов;

K – количество источников логов;

-индекс временного интервала;

 -индекс источника лога;

 – временной интервал;

 – множество источников логов для опроса во временном интервале ;

 – объем формализованного сообщения от источника логов.

Получим среднее значение объема логов за временной интервал:

                                                             (2)

Таким образом, среднеквадратическое отклонение равно:

                                                    (3)

Для того, чтобы нагрузка при получении логов была минимальна, необходимо, чтобы среднеквадратическое отклонение было минимальным, при условии того, что все логи за время  были переданы в систему мониторинга.

Математическая постановка задачи имеет следующий вид:

                             (4)

Предлагаемое решение задачи оптимизации

Самым простым вариантом является последовательный опрос источников ИБ в цикле, но как не трудно понять данный метод является самым неоптимальным. Второй вариант использование заранее запрограммированной последовательность опроса, на основе полученной статистики по прошедшее время работы, однако при изменении состава сети количество логов меняется, следовательно, алгоритм будет требовать корректировки.

Наиболее логичным в данной ситуации использовать статистические методы на основе нейронной сети, которая автоматически будет корректировать порядок опроса. В дополнение, данное решение позволяет обнаруживать аномалии, которые могут быть инцидентом ИБ. Например, прогнозируемое количество логов сильно отличается от полученных.

Решение данной задачи состоит из двух этапов:

Решение задачи прогнозирования количества логов в момент времени с каждого источника событий информационной безопасности.

Определение порядка опроса средств ИБ, имеющих логи согласно прогнозу пункта 1.

Для решения задачи прогнозирования предлагается использовать нейронную сеть архитектуры многослойного персептрона (см рисунок 1) [1, с. 219].

Рисунок 1. Архитектура нейронной сети многослойного персептрона

Исходные данные для обучения представляют собой временной ряд, состоящий из значений поминутного количества байт логов событий, получаемых со средств информационной безопасности в локальной сети за двухмесячный период. Экспертная оценка, необходимая для обучения нейронной сети с учителем [3], содержится в исходных данных и выделяется при их обработке.

На вход нейронной сети подается 120 значений – данные об объеме логов за два предыдущих часа, на выходе получаем 60 значения, соответствующие прогнозу на час вперед.

Скрытый и выходной слои нейронной сети имеют сигмоидальную функцию активации (7), которая применима для обучения нейронной сети методом обратного распространения ошибки.

                                                                (4)

Обучение многослойного персептрона проводится методом обратного распространения ошибки, который является модификацией классического метода градиентного спуска. Основная идея этого метода состоит в распространении сигналов ошибки от выходов сети к её входам, в направлении, обратном прямому распространению сигналов в обычном режиме работы.

При обучении зависимость среднеквадратичной ошибки (RMSE) рассчитывается по формуле:

Для оценки результатов прогнозирования временных рядов используется средняя абсолютная ошибка в процентах (10):

Прогнозирование количества событий с каждого источника позволяет проводить сбор логов в момент, когда на устройстве уже есть некоторое накопленное количество логов и при этом нагрузка на сеть и сервер обработки минимальна.

Заключение

В рамках данной статьи была сформулирована математическая постановка задачи разработки алгоритма сбора логов с систем информационной безопасности. В итоге, математическая постановка задачи выглядит в виде системы:

Для решения данной задачи предложено использовать нейронную сеть с архитектурой многослойного персептрона. На основе прогноза, несложно распределить нагрузку таким образом, чтобы количество обрабатываемых данных было минимальным, но за выбранный промежуток времени события получались в порядке получения более важных, что является необходимым условием для сокращения времени реакции на инциденты ИБ.

Список литературы:

1. Хайкин Саймон. Нейронные сети. Полный курс, 2-е издание: пер. с англ. – М. Издательский дом: Вильямс, 2006. – 219с.
2. Kotenko I.V., Novikova E.S. Visualization of Security Metrics for Cyber Situation Awareness //IEEE Computer Society. 2014.
3. Wikipedia. Multilayer perceptron. [Электронный ресурс]. URL: http://en.wikipedia.org/wiki/Multilayer_perceptron (дата обращения: 13.02.2020).