Исследована комплексная проблема раннего распознавания и предупреждения компьютерного нападения на ведомственные и корпоративные информационные ресурсы Российской Федерации. Предложен подход к созданию требуемых систем предупреждения на основе так называемого «вычислительного когнитивизма» – сравнительно нового научного направления исследований, в котором познание и когнитивные процессы являются разновидностью символьного вычисления. Показано, что когнитивный подход позволяет создавать системы, принципиально отличающиеся от традиционных систем обнаружения, предупреждения и ликвидаций последствий компьютерных атак уникальной способностью к самостоятельному ассоциированию и синтезу новых знаний о качественных характеристиках и количественных закономерностях информационного противоборства. Предложена возможная архитектура когнитивной системы раннего предупреждения о компьютерном нападении на информационные ресурсы Российской Федерации на основе конвергентных нано-, био-, инфо-, когнитивных технологий.
Ключевые слова: Когнитивная система, вычислительный когнитивизм, количественные закономерности информационного противоборства, конвергентные технологии, технологии больших данных, раннее предупреждение о компьютерном нападении
Распознавание образов и обработка изображений
УДК 004.89
Петренко С.А., д-р техн. наук, проф.,
Петренко А.С., аспирант
Санкт-Петербургский государственный
электротехнический университет " ЛЭТИ"
им. В.И. Ульянова (Ленина)
КОНЦЕПЦИЯ РАННЕГО РАСПОЗНАВАНИЯ
И ПРЕДУПРЕЖДЕНИЯ КОМПЬЮТЕРНОГО НАПАДЕНИЯ
Введение. Первые результаты исследований в области нано-, био-, инфо-, когнитивных технологий (NBIC-технологий), а также известные результаты «вычислительного когнитивизма» позволили приступить к созданию когнитивной системы раннего распознавания и предупреждения компьютерного нападения на корпоративные и ведомственные информационные ресурсы Российской Федерации [1]. Существенной способностью упомянутой системы является самостоятельное познание и поведение в условиях информационного противоборства:
- распознавание образов (паттернов и кластеров), определяющих подготовку и начало компьютерной агрессии;
- обучение и выработка типовых сценариев предупреждения, обнаружения и противодействия в киберпространстве;
- порождение, накопление и обработка новых знаний о количественных закономерностях информационного противоборства;
- представление «глубокой» семантики информационного противоборства;
- подготовка и реализация ответных решений, адекватных компьютерному нападению и пр.
Предпосылки когнитивного подхода. Термин «когнитивный» происходит от лат. «cognitio» - познание. Развитие математических моделей мыслительных процессов способствовало развитию когнитивного подхода в технической сфере. Появились первые «искусственные когнитивные системы», представляющие собой «интеллектуальные» программно-аппаратные комплексы на основе традиционной архитектуры Дж. фон Неймана.
Предпосылками современного когнитивного подхода послужили фундаментальные результаты[2]:
- математической логики (от Аристотеля до А.Н. Колмогорова);
- математической теории вычислимости (от А. Тьюринга до А.И. Мальцева);
- теории вычислительных машин архитектуры Дж. фон Неймана;
- теории порождающих грамматик Н. Хомского;
- теории вычислительной нейрофизики Дж. Марра и пр.
В основе современного когнитивного подхода находятся методы познания, восприятия и накопления информации, а также методы мышления или использования этой информации для «рассудительного» решения задач [3]. Считается, что искусственные когнитивные системы способны «повторить» сложные поведенческие функции нервной системы и даже мыслительные процессы человека.
Имеющийся технологический задел. В качестве технологической основы предлагается использовать современные программно-аппаратные комплексы анализа и обработки событий информационной безопасности. В международной практике упомянутые комплексы развиваются в составе специализированных центров безопасности, известных как Computer Emergency Response Team (CERT) или Computer Security Incident Responce Team (CSIRT) или Security Operation Center (SOC).
В Российской Федерации уже создан ряд государственных и корпоративных центров обнаружения, предупреждения и ликвидации последствий компьютерных атак или центров реагирования на инциденты компьютерной безопасности, которые по своей функциональности аналогичны зарубежным CERT/CSIRT/SOC. В отечественной практике они известны как СОПКА или СПОКА, например: GOV-CERT.RU (ФСБ России), СПОКА Минобороны, FinCERT (Банк России), CERT Ростехнологий, SOC Газпрома и пр.
Вместе с тем, на практике создание когнитивной системы раннего распознавания и предупреждения о компьютерном нападении на информационные ресурсы Российской Федерации оказалось далеко не тривиальной задачей. Потребовалось провести соответствующие научные исследования и решить ряд сложных научно-технических задач[1]. Например, такие задачи, как классификация входных данных, выявление первичных и вторичных признаков компьютерного нападения, раннее обнаружение кибератак, многофакторное прогнозирование компьютерного нападения, моделирование распространения кибератак, обучение, порождение новых знаний о количественных закономерностях информационного противоборства и пр. не имели готовых стандартных решений. Кроме того, нужно было обеспечить сбор, обработку, хранение и проведение аналитических вычислений на сверхбольших объемах структурированной и неструктурированной информации от разнообразных источников Inernet/Intranet и IoT/IIoT (тематика Big Data и Big Data Analytics).
Здесь достаточно важной задачей оказалась задача выбора и реализации компоненты потоковой обработки больших данных, Big data. Другой не менее важной задачей стала задача организации хранилища больших данных, Big Data. Дело в том, что на практике известные решения, например Cassandra или HBase, оказались мало пригодными из-за следующих ограничений:
– отсутствие компонент в базе данных для обеспечения эффективного хранения и поиска по временным рядам. При этом большинство известных решений не содержат средств интеграции по причине своей закрытости, а доступные открытые, например, InfluxDB, не отличаются высокой стабильностью работы;
– отсутствие логических связей между интерфейсами бизнес-логики и базы данных;
– дублирование функциональности системы в связи с разделением базы данных и логики обработки в гетерогенной среде решения;
– ограниченная производительность решения HBase, связанная с архитектурными особенностями решения.
– значительные накладные расходы Cassandra, связанные с синхронизацией данных на различных узлах и пр.
Заключение. Полученные результаты свидетельствуют о целесообразности поэтапного решения названной задачи.
Этап 1 – развитие технической компоненты традиционной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (СОПКИ) на основе технологий больших данных, Big Data — создание высокопроизводительного корпоративного (ведомственного) сегмента для распознавания и предупреждения компьютерного нападения.
Этап 2 - создание аналитической компоненты на основе «вычислительного когнитивизма» — реализация собственно когнитивной компоненты системы раннего распознавания и предупреждения о компьютерном нападении, способной самостоятельно извлекать и порождать полезные знания из больших объемов структурированной и неструктурированной информации.
При этом упомянутую техническую компоненту СОПКИ на основе технологий Big Data целесообразно наделить функциями:
· сбора больших данных о состоянии информационной безопасности в контролируемых информационных ресурсах;
· обнаружения и ликвидации последствий компьютерных атак на информационные ресурсы;
· поддержки средств программно-технического мониторинга событий информационной безопасности;
· взаимодействия с центрами государственной СОПКИ;
· информирования по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и пр.
Упомянутую аналитическую компоненту на основе «вычислительного когнитивизма» целесообразно наделить функциями:
· раннего предупреждения о компьютерном нападении на информационные ресурсы;
· выявления и порождения новых полезных знаний о качественных характеристиках и количественных закономерностях информационного противоборства;
· прогнозирования инцидентов безопасности, вызванных известными и ранее не известными компьютерными атаками;
· подготовки сценариев сдерживания киберпротивника и планирования ответных действий, адекватных компьютерной агрессии;
· подготовки шаблонов методических документов по вопросам раннего предупреждения, пресечения и ликвидации последствий компьютерных атак и пр.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность (Информационные технологии для инженеров). М.: Изд. ДМК-Пресс, 2010. 384 с.
2. Редько В.Г. Эволюция, нейронные сети, интеллект: Модели и концепции эволюционной кибернетики. М.: Изд. Книжный дом «ЛИБРОКОМ», 2013. 224 с.
3. Тарасов В.Б. От многоагентных систем к интеллектуальным организациям. Серия "Науки об искусственном". М.: Изд. Эдиториал УРСС, 2002. 352 с.
Библиографическая ссылка
Петренко Сергей Анатольевич, Петренко А.С. КОНЦЕПЦИЯ РАННЕГО РАСПОЗНАВАНИЯ И ПРЕДУПРЕЖДЕНИЯ КОМПЬЮТЕРНОГО НАПАДЕНИЯ // . – . – № ;
URL: istmu2016.csrae.ru/ru/0-9 (дата обращения:
04.05.2024).