В начале 2016 года ряд отечественных компаний приступил к работам по созданию корпоративного (ведомственного) сегмента государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее - СОПКА). При этом во внимание принимаются основные положения Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (п.п. 7, 11, 13 и 14), утвержденной Президентом Российской Федерации от 12 декабря 2014 № К 1274. В том числе, новая актуальная задача семантического анализа данных кибербезопасности. Давайте рассмотрим возможности применения технологии Master Data Management, MDM для решения упомянутой задачи.
Ключевые слова: Мастер данные кибербезопасности, онтология кибербезопасности, семантический анализ, управление знаниями кибербезопасности, система управления «мастер» данными
Интеллектуальные системы и технологии
УДК 004.89
Петренко С.А., д-р техн. наук, проф.,
Петренко А.С., аспирант
Санкт-Петербургский государственный
электротехнический университет " ЛЭТИ"
им. В.И. Ульянова (Ленина)
СЕМАНТИЧЕСКИЙ АНАЛИЗ ДАННЫХ КИБЕРБЕЗОПАСНОСТИ
Введение. Под системой управления «мастер» данными СОПКИ, Master Data Management (MDM) понимается информационная система, которая аккумулирует входные данные от различных внешних и внутренних источников данных (Internet/Intranet и IIoT/IoT), обеспечивает централизованное хранение и предоставление этих данных в стандартизованном виде для принятия достоверных решений и поддержки операционной деятельности СОПКИ.
В информационных технологиях технология MDM традиционно используется для управления данными о продукции (PIM) и о клиентах (CustomerDataManagement, CDI) [1].
К основным тенденциям и перспективам развития MDM относятся:
- Смещение применений MDM от бизнес-аналитики и поддержки принятия решений – к операционной деятельности, непосредственно влияющей на бизнес-результаты;
- Переход от решений узкой предметной направленности (в основном, клиенты либо продукция) к мультидоменным решениям (сразу несколько видов данных – продукция, клиенты, финансы, безопасность и т.д.);
- «Социальный» MDM – использование современных возможностей коллективной работы, социальных сетей и мессенджеров для автоматизации обработки мастер-данных;
- Распространение принципов управления мастер данными на широкий круг корпоративных данных – Data governance (единое управление данными предприятия);
- Интеграция MDM в систему управления бизнес-процессами предприятия и системы корпоративной кибербезопасности;
- Включение в сферу MDM наряду с условно-постоянной информацией (клиенты, продукты и пр.) также и постоянной информации («жесткие» справочники – Reference data);
- Адаптация MDM для работы с «большими данными», Big Data и потоковой обработки данных;
- Реализация MDM в виде соответствующих «облачных» услуг SaaS, PaaS и IaaS;
- Эволюция от синтаксических к семантическим технологиям анализа и обработки данных.
Под семантической MDM кибербезопасности понимается система управления данными, которая оперирует правилами поведения и взаимодействия объектов в киберпространстве в интересах решения задач государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (СОПКИ) с целью недопущения перехода защищаемой критической инфраструктуры в катастрофические состояния.
К типовым задачам создаваемой семантической MDM относятся [2]:
- построение и поддержка онтологий кибербезопасности – объектных моделей информационного противоборства, необходимых для решения задач СОПКИ;
- унификация моделей хранения данных кибербезопасности, поступающих от внешних и внутренних обеспечивающих систем, например, SIEM, IDS/IPS, СЗИ от НСД, СКЗИ и пр.;
- стандартизация внутренних протоколов обмена данными кибербезопасности;
- регламентирование процессов ведения баз данных и баз знаний кибербезопасности;
- поддержка принятия решений в СОПКЕ на основе семантики информационного противоборства, представленной в соответствующих онтологиях кибербезопасности и пр.
Принципы MDM кибербезопасности. Сформулируем основные принципы MDM кибербезопасности, предназначенной для семантического анализа и управления основными (мастер) данными СОПКИ.
1. Консолидация данных кибербезопасности из внешних источников информации в присоединенных сетях Internet и IIoT и внутренних обеспечивающих средств защиты от несакционированного доступа (СЗИ от НСД), криптографической защиты информации (СКЗИ), систем класса SIEM и собственно СОПКИ в единую информационную среду;
2. Представление сводных данных кибербезопасности от упомянутых внешних и внутренних системах и средствах в виде единой объектно-ориентированной модели данных кибербезопасности;
3. Онтологическое представление объектов информационного противоборства – использование семантических моделей и подмоделей различных предметных областей для хранения названных информационных объектов;
4. Контекстность видения объектов информационного противоборства – представление объектов исключительно в связи с целями и задачами государственной и корпоративной СОПКИ;
5. Ориентированность на знания – перенос знаний (правил поведения и взаимосвязи объектов) из логики обеспечивающих прикладных приложений обеспечения кибербезопасности в единую объектную базу данных.
Прокомментируем ряд упомянутых принципов MDM кибербезопасности.
Сводный репозиторий данных кибербезопасности для каждого сегмента или центра СОПКИ должен являться единственным местом, в котором будет происходить добавление, изменение или удаление данных. Другими словами, MDM кибербезопасности должна представлять собой самостоятельный класс технических систем, который не является подчиненным по отношению к какой-либо прикладной системе обеспечения кибербезопасности, например, IDS/IPS или SIEM. Перенос правил принятия решений на уровень моделей данных кибербезопасности сделает их доступными для всех систем и средств СОПКИ. Ориентированность на построение семантических моделей информационного противоборства позволит обеспечить максимальный уровень автоматизации, поскольку частные решения, однажды внесенные в семантическую базу данных кибербезопасности, будут надлежащим образом формализованы и многократно использованы в различных приложениях СОПКИ.
Таким образом, MDM кибербезопасности позволяет сформировать и поддерживать консолидированное пространство сводных данных кибербезопасности для поддержки операционной деятельности каждого корпоративного или ведомственного сегмента или центра СОПКИ. Данные кибербезопасности для каждого упомянутого сегмента собираются из различных внешних и внутренних обеспечивающих систем и аккумулируются в единое постоянное место хранения. Вынесение части данных за пределы упомянутого консолидированного пространства не целесообразно, поскольку это приведет к разрыву связи между объектами киберпространства и автоматически к нарушению целостности системы знаний об информационном противоборстве и ограничит возможности создаваемой системы.
Модель предметной области, представленная MDM кибербезопасности, должна быть способной к адаптации и самоорганизации. Своевременно отображать появление новых объектов и связей, изменения правил поведения объектов в киберпространстве и их отношений между собой. Другими словами, семантическая MDM должна уметь адаптироваться и представлять собой интеллектуальную среду поддержки принятия решений в СОПКЕ, вне зависимости от характера и конкретного содержания информационного противоборства в киберпространстве. Контекстное представление внутренней структуры объектов предметной области информационного противоборства должно динамически меняться в зависимости от решения задач обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Ключевой характеристикой MDM кибербезопасности является - онтологическое представление [3] объектов информационного противоборства в киберпространстве. Без построения упомянутой онтологической модели невозможно формализовать взаимосвязи объектов с другими сущностями, т.к. правила совместимости двух объектов определяются по совокупной совместимости их составных частей. При этом смысл каждого такого объекта проявляется в его семантических связях с другими объектами информационного противоборства. Очевидно, что при построении семантической модели информационного противоборства в рамках локальной MDM–системы отдельно взятого сегмента или центра СОПКИ придется оперировать терминами и определениями из различных областей знаний. А в дальнейшем придется объединить упомянутые локальные MDM системы воедино, например, с помощью технологии Semantic Web.
В перспективе, семантическую MDM кибербезопасности следует рассматривать как:
- единый язык общения различных прикладных систем обеспечения кибербезопасности;
- совокупность методик ведения специализированных баз данных и справочников кибербезопасности;
- набор технологических решений, обеспечивающих создание единого информационного пространства для поддержки операционной деятельности государственной системы СОПКИ.
Заключение. Научно-техническая новизна предлагаемого подхода заключается в построении онтологических моделей информационного противоборства с «глубокой» семантикой процесса. Суть предлагаемого подхода кратко можно выразить как “семантическое управление кибербезопасностью” или, более развернуто, “методология многократного применения знаний о количественных закономерносятях и качественных характеристиках информационного противоборства”. Переход к применению семантических технологий при создании СОПКИ – критически важная инновация, определяющая в среднесрочной перспективе основной вектор развития в этой сфере и источник технологических преимуществ создаваемых систем обнаружения, предупреждения и ликвидации последствий компьютерных атак на корпоративные и ведомственные информационные ресурсы Российской Федерации. При этом соответствующее научное обеспечение составляют, прежде всего, методы представления знаний информационного противоборства с использованием онтологий, релевантные методы онтологического инжиниринга и семантического анализа данных кибербезопасности.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Гаврилова Т.А. Базы знаний интеллектуальных систем. Учебник для вузов /Т.А. Гаврилова, В.Ф. Хорошевский. СПб.: Изд. Питер, 2000. 384 с.
2. Петренко С.А., Петренко А.А. Аудит информационной безопасности Internet/Intranet (Информационные технологии для инженеров). М.: Изд. ДМК-Пресс, 2014. 314 с.
3. Тарасов В.Б. От многоагентных систем к интеллектуальным организациям. Серия "Науки об искусственном". М.: Изд. Эдиториал УРСС, 2002. 352 с.
Библиографическая ссылка
Петренко Сергей Анатольевич, Петренко А.С. СЕМАНТИЧЕСКИЙ АНАЛИЗ ДАННЫХ КИБЕРБЕЗОПАСНОСТИ // . – . – № ;
URL: istmu2016.csrae.ru/ru/0-12 (дата обращения:
04.05.2024).
