Методология обнаружения угроз нарушения информационной безопасности в открытых компьютерных сетях на основе функциональной модели естественного языка Специальность: – «Методы и системы защиты информации, информационная безопасность» 1

Актуальность Огромное количество текстовой информации используемой в электронном документообороте системах и подсистемах мониторинга ИБ ИТКС. Преобладание ручных технологий обработки текстовых сообщений. Высокая производительность СВТ и достаточность ресурсов в современных СЗИ и системах мониторинга ИБ ИТКС. Высокая эффективность аппарата баз данных и знаний в системах искусственного интеллекта. ПРОТИВОРЕЧИЕ Возможности, предоставляемые ИТ, позволяют разработать НМА, обеспечивающий заданный уровень обработки информации. Недостаточный уровень автоматизации процессов анализа текстовой информации. Объективная необходимость развития автоматических методов СЗИ и мониторинга состояния ИБ ИТКС обнаружения нарушения целостности, доступности, конфиденциальности текстовой информации 2

Объект и предмет исследования Системы мониторинга состояния информационной безопасности, обрабатывающие предметно ориентированные ЕЯ тексты и сообщения в ИТКС Методы и средства обнаружения и противодействия угрозам нарушения информационной безопасности, основанные на обработке и анализе текстов документов 3

Особенности объекта и предмета исследования 1.Направление: Защита информации Защита от информации 2.Объект угрозы: ИТО ИТКС Механизмы управления Ресурсы Структуры ИПО ИТКС Механизмы управления Ресурсы Структуры 3.Средство осуществления угрозы ИБ Текстовая информация 4

Научная проблема Обоснование и разработка теоретических основ математического и программного обеспечения СЗИ и мониторинга состояния ИБ ИТКС, выявляющих угрозы нарушения конфиденциальности, целостности, доступности, основанных на автоматизации процессов вычисления данных и фактов из текстов документов, с использованием проблемно ориентированной функциональной модели естественного языка 5

Цель работы Теоретическая - разработка, развитие аналитических методов, применяемых в системах мониторинга СЗИ, для обработки и вычисления информации ЕЯ текстов с целью обнаружения и противодействие угрозам нарушения информационной безопасности, отличающихся от известных использованием функциональности семантико- грамматических связей между словами, позволяющих осуществлять более качественный анализ конструкций естественного языка. Прагматическая - повышение показателей защищенности информации, вероятности обнаружения угроз ИБ за счет увеличения качественных характеристик идентифицируемых ЕЯ конструкций при автоматизации процессов вычисления информации текстов предметной области в системах мониторинга состояния ИБ ИТКС. 6

Сущность проблемы Особенности обеспечения безопасности процессов сбора, хранения, передачи, обработки информации в ИТКС Естественно-языковые тексты и сообщения Информационно- технические объекты ИТКС, используемые сервисы Возможности систем мониторинга состояния ИБ ИТКС Алгоритмы и предметно ориентированные базы данных идентификации информации Качественные характеристики обрабатываемой информации Методы ранжирования текстовых сообщений Оценка возможностей и повышение качественных показателей обнаружения угроз ИБ Модели представления естественного языка 7

Формальная запись научной проблемы: Найти такие, что при 8

Основные направления исследования (1) Направление математической лингвистики: связано с разработкой моделей представления естественного языка, методов и алгоритмов обработки и вычисления естественно-языковых конструкций, направленных на достижение заданных качественных показателей СЗИ и систем мониторинга ИБ Направление контроля информационных потоков: нацелено на поддержку контроля технических каналов утечки конфиденциальной информации Направление информационной безопасности: определяет основополагающие направления защиты информации и защиты от информации в ИТКС и глобальных вычислительных сетях, связанные с ними качественные показатели. Системное направление: позволяет повысить качественные характеристики систем мониторинга состояния ИБ ИТКС и СЗИ обнаружения и идентификации угроз ИБ на основе функциональной модели естественного языка, 9

Основные направления исследования (2) Методика определения характеристик для СЗИ информационно-технических объектов, обрабатывающих текстовую информацию Система моделей, методов, методик для обнаружения и предотвращения угроз нарушения информационной безопасности при контент анализе текстов открытых источников компьютерных сетей, основанная на применении модели естественного языка Концепция построения методов и моделей мониторинга потоков текстовой информации ИТКС, основанная на идентификации информационных объектов текстовой информации. Комплекс методик и моделей активного аудита текстовых источников открытых компьютерных сетей, содержащих угрозы нарушения ИБ, основанный на построении специализированных объектов естественно-языковых конструкций Комплекс методов, определяющий состав морфологического уровня обработки ЕЯ сообщений СЗИ, позволяющих повысить устойчивость алгоритмов функциональных компонент анализа текстовой информации 10

Методика определения характеристик для СЗИ ИТО (1) Краткая характеристика: Цель: Повышение точности определения наиболее уязвимых узлов ИТО Обоснование ТТХ СЗИ и систем мониторинга состояния информационной безопасности Подходы к решению: Моделирование поведения потенциального нарушителя Вероятностные оценки информационного воздействия

M= OtOt OpOp TiTi ToTo Методика определения характеристик для СЗИ ИТО (2) O t Z o ; Z o Tz o ; O t I o ; O t S o ; O t 12 O t – множество информационно-технических объектов(ИТО), O p – множество информационно-психологических объектов(ИПО), T i – входные информационные потоки текстовой информации T o – выходные информационные потоки текстовой информации. Z o – система защиты информации Tz o – характеристики системы защиты информации I o - характеристики целевой аудитории S o – характеристики предоставляемых сервисов

Методика определения характеристик для СЗИ ИТО (3) Вероятность возникновения события оказания влияния на ИПО 13

Методика определения характеристик для СЗИ ИТО (4) N = n(t) Зависимость вероятности информационного воздействия от интенсивности поступления потенциально опасных сообщений

Методика позволяет: Обосновывать требуемые качественные показатели, определяющие характеристики обнаружения угроз ИБ СЗИ и системами мониторинга частота модерации ИТО ИТКС уровень накапливаемых немодерируемых сообщений Определять наиболее уязвимые сервисы и элементы ИТО ИТКС Вырабатывать рекомендации и определять комплекс мероприятий по достижению заданной вероятности устранения угрозы 15

Обнаружение угроз нарушения ИБ на основе на применении модели ЕЯ Краткая характеристика: Цель: Повышение вероятности обнаружения потенциально опасных сообщений Повышение показателей качества СМПО СЗИ и систем мониторинга состояния ИБ Подходы к решению: Адаптация к особенностям специфических текстовых конструкций Повышение устойчивости алгоритмов СМПО СЗИ и систем мониторинга состояния ИБ

Z o – система защиты информации / система мониторинга состояния ИБ ИТКС Tz o – характеристики системы защиты информации Uz o - уязвимости функциональных характеристик СМПО Z o = Обнаружение угроз нарушения ИБ на основе на применении модели ЕЯ 17

M = W- множество словоформ Si- множество синтаксических шаблонов Ks- множество классов Морфологический уровень Синтаксический уровень Семантический уровень Синтаксический предикат Sint(A 1,…,A n ) A i - морфологическая информация + Система приоритетов для сборки конструкций СГТ ППФ, где K i =17 + СГТ отдельных частей речи Адаптированная модель естественного языка 18

Статистические особенности конструкций ЕЯ в комментариях 19 Распределение количества слов в предложениях комментариев пользователей Распределение частей речи в предложениях комментариев пользователей

Универсальная структура представления естественного языка M= где W - множество словоформ H – характеристики H={O|D|C} О - объект D - действие С={Co,Cd} – характеристики объектов и действий Действие Характеристики Прилагательное Причастие Числительное Наречие Деепричастие Наречие Управление сборкой конструкции Междометие Союз ЧастицаВводное слово ПредлогЗнак препинания + Алгоритмы синтаксического анализа Существительное Местоимение Числительное Объект 20

Результаты оценки показателей качества H - извлеченные релевантные документы, D - общее число найденных документов, N – общее число релевантных документов в выборке. 21

Применение моделей позволяет: Производить адаптацию систем мониторинга состояния ИБ ИТКС и СЗИ под особенности видов текстовых сообщений Уменьшать вычислительные затраты при обработке текстовой информации Повышать качественные характеристики обнаружения угроз СЗИ и системами мониторинга, анализирующими текстовую информацию Снижать трудоемкость создания предметно ориентированных баз данных Осуществлять настройку словарных БД, используемых при предметно-ориентированной обработке ЕЯ 22

Определение состава морфологического уровня обработки ЕЯ сообщений СЗИ(1) Краткая характеристика: Цель: Повышение качественных показателей защищенности исходя из специфических характеристик обрабатываемой СЗИ текстовой информации в условиях внешних ограничений Подходы к решению: Определение влияния природы ЕЯ на реализацию уровней обработки в условиях внешних ограничений Обоснование использования различных видов обработки Результаты:

P A =P a + P s. Пусть a i – коэффициент полезности (эффективности) элемента СЗИ, b i – требования элемента СЗИ к вычислительным ресурсам. Тогда внутри уровня обработки ЕЯ Определение состава морфологического уровня обработки ЕЯ сообщений СЗИ (2) 24

Морфологический анализатор Распознавание словоформы s k Определение исходной формы слова s i (s k {s i }) Определение морфологической парадигмы M i ({s i }{M i }) Определение морфологических признаков парадигмы M i {M i }{P i I } Определение исходной формы слова s i {s i }{P i } Входная последовательность Результат анализа 25

Устойчивость алгоритмов 26 База данных аббревиатур предметной области База данных сигнатур База данных шаблонов предметной области Метод контроля

Результаты Повышение устойчивости обработки текстовой информации за счет выявления специфических конструкций и их особенностей, направленных на использование уязвимостей СЗИ Повышение показателей качества обнаружения потенциально опасных сообщений потоков текстовой информации Обеспечение заданной надежности алгоритмов и СМПО СЗИ и систем мониторинга состояния ИБ ИТКС Оптимизация состава средств обнаружения угроз ИБ 27

Мониторинг потоков текстовой информации ИТКС(1) Краткая характеристика: Цель: Повышение качественных показателей систем мониторинга состояния ИБ при внешней обработке ЕЯ конструкций Снижение вычислительной сложности обработки текстовой информации Подходы к решению: Создание системы приоритетов обработки ОЕЯ Использование масштабируемых предикатов

Z o – система мониторинга состояния ИБ ИТКС Tz o – характеристики множества функциональных компонент систем мониторинга состояния ИБ ИТКС Z o Tz o : R {H o,H 1 } Мониторинг потоков текстовой информации ИТКС (2) 29

Pril G Predl s s Nar W (a if i ) Связи конструкции словоформ сообщения 30 G(Z1:!Им {K1} g, Z2:!Род{K2} g, Z3:!Дат{K3} g, Z4:!Вин{K4} g, Z5:!Тв{K5} g, Z6:!Пред{K6} g) S(Z1:!Род, Z2:!Дат, Z3:!Вин, Z4:!Тв, Z5:!Пред)

Алгоритмическая последовательность свертки предложения ОЕЯ Существительное Прилагательное + Предлог Существительное (прилагательное) + Существительное Предлог Существит. (прилагат.) + Глагол (Предлог Существит. (прилагат.) i..n ) Наречие Прилагательное Зависимость количества сравнений от числа слов сообщения: 1 – Семантическая модель без системы приоритетов. 2 – Семантическая модель с системой приоритетов. 3 – Синтаксическая модель. 31 Без системы приоритетов Предлагаемая модель

Результаты Использование функциональных особенностей ЕЯ конструкций при вычислении семантики выражений для обнаружения потенциально опасных сообщений Создание специализированных БД для оценки эмоционального фона сообщения, находящегося на ИТО с целью анализа информационного воздействия Автоматизация вычисления пространственно- временных характеристик ЕЯ конструкций для построения предметно ориентированных БД Уменьшение вычислительной сложности алгоритмов обработки ЕЯ информации 32

Активный аудит текстовых источников открытых компьютерных сетей(1) Краткая характеристика: Цель: Повышение точности вычисления ИТО, требующих мониторинга состояния ИБ Подходы к решению: Вероятностные оценки нахождения потенциально опасных сообщений Использование структур информационных объектов для обучения системы

R = G(p,Q) p – вероятностные характеристики Q – обучение системы Активный аудит текстовых источников открытых компьютерных сетей(2) 34

Ранжирование ИТО Вероятность содержания m=3 и более потенциально опасных сообщений в ИТО, включающего в себя n=10 ресурсов в зависимости от вероятности появления потенциально опасных сообщений, при вероятности обнаружения СЗИ 0.3,0.5,0.7 Вероятность содержания m=3 потенциально опасных сообщений в ИТО, включающего в себя n=10 ресурсов в зависимости от вероятности обнаружения СЗИ потенциально опасных сообщений, при вероятности появления потенциально опасных сообщений 0.3,0.5, Вероятность содержания m=3 и более потенциально опасных сообщений в ИТО, включающего в себя n=10 ресурсов в зависимости от вероятности появления потенциально опасных сообщений, при вероятности обнаружения СЗИ 0.3,0.5,0.7

Построение информационных объектов O={I,Pr,Atr,Do,Du}; где I=H(Y); - идентификатор объекта s m Pr - признак объекта s p Atr - атрибут объекта s f D o,D u – действия над объектом и объекта объект может быть использован в моделях извлечения фактов и в моделях обучения. Информация [ВЛАДЕЛЕЦ:] системы Информация [ОБЪЕКТ:] о системе 36

Качественные показатели обучения системы h – количество правильных извлечений n – количество извлечений найденных системой d – количество релевантных извлечений в выборке 37

Результаты Повышение вероятности обнаружения информационных объектов, подвергающихся информационным угрозам. Осуществление контроля за открытыми ресурсами ИТКС Исследование информации ресурсов сети с целью информационного противодействия различным видам утечек информации, корпоративному шпионажу и бизнес-разведке Распознавание компонентов текстовых сообщений ИТО, содержащих элементы возможных угроз ИБ 38

Основные результаты(1) 39 1.Методика определения характеристик для СЗИ информационно-технических объектов, обрабатывающих текстовую информацию, основанная на модели обеспечения ИБ потоков ИТКС отличается от известных, базирующихся на аналитических подходах, использованием вероятностных оценок информационного воздействия текстовых сообщений ресурсов открытых вычислительных сетей, что позволяет определить необходимые качественные показатели для систем мониторинга состояния ИБ и СЗИ ресурсов.

Основные результаты(2) 2. Система моделей, методов, методик для обнаружения и предотвращения угроз нарушения информационной безопасности при анализе текстов открытых источников компьютерных сетей, основанная на применении модели естественного языка, отличается от известных, базирующихся на аналитических подходах, использованием в описаниях словоформ масштабируемых предикатов связей, аргументы которых содержат информацию о морфологических характеристиках и семантико- грамматических типах присоединяемых слов, что позволяет увеличить вероятность обнаружения конфиденциальной информации системами анализа контента за счет унификации описания, упрощения структуры ЕЯ базы данных без существенных потерь показателей полноты и точности при вычислении объектов текстовой информации.

Основные результаты(3) Комплекс методов, определяющий состав морфологического уровня обработки ЕЯ сообщений СЗИ, позволяющих повысить устойчивость алгоритмов функциональных компонент анализа текстовой информации, отличается от известных, использующих аналитические подходы, вычислением информации на основе характеристик, содержащихся в БД описаний словоформ для анализа возможностей соединения слов, что позволяет определять идентификаторы связей между словами, и, как следствие, повысить точность распознавания данных с целью уменьшения вероятности преодоления защиты.

Основные результаты(4) 4. Концепция построения методов и моделей мониторинга потоков текстовой информации ИТКС, основанная на идентификации структур текстовой информации, отличается от известных, базирующихся на алгоритмах вычисления связей между словами, использованием системы приоритетов, реализующей последовательность перебора формализованных описаний синтаксической информации словоформ, обусловленную стилистическими особенностями текстов предметной области, что позволяет увеличить вероятность обнаружения угроз при осуществлении мониторинга сообщений открытых источников текстовой информации вычислительных сетей, избегая лавинообразного роста вычислительной сложности при построении структур без существенного снижения устойчивости обработки..

Основные результаты(5) 5. Комплекс методик и моделей активного аудита текстовых источников открытых компьютерных сетей, содержащих угрозы нарушения ИБ, основанный на построении специализированных объектов естественно-языковых конструкций, отличается от известных, базирующихся на статистических подходах, использованием фреймовых структур, что позволяет уменьшить количество примеров для достижения заданного показателя качества функции обучения, увеличив вероятность обнаружения требуемой информации для систем мониторинга состояния ИБ..

Использование результатов ФЦП «Научные и научно-педагогические кадры инновационной России» НИР - 4 ФЦП «Исследования и разработки по приоритетным направлениям развития научно-технологического комплекса России на годы» НИР - 1, ОКР -1 По заказу МО РФ НИР– 6, ОКР -3