УДК 004.78
На правах рукописи

МЫРЗАБАЕВА АЛТЫНКУЛ ШАРИПБЕКОВНА


РАЗРАБОТКА МНОГОАГЕНТНОЙ СИСТЕМЫ АНАЛИЗА ЗАЩИЩЕННОСТИ

КОРПОРАТИВНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ


Реферат

магистерской диссертации

на соискание академической степени магистра техники и технологии

по специальности 6М070300 – Информационные системы

Республика Казахстан

Кызылорда, 2013 г.
Работа выполнена на кафедре «Вычислительная техника и информационные системы» политехнического института Кызылординского государственного университета имени Коркыт Ата

Научный руководитель:

кандидат педагогических наук А.Б.Остаева

Официальный оппонент:

кандидат технических наук, доцент Б.К.Абдураимова

Ведущая организация

Кызылординский государственный университет имени Коркыт Ата

Защита диссертации состоится «21» февраля 2013г.

Кызылординский государственный университет имени Коркыт Ата, политехнический институт, по адресу: г.Кызылорда, пр.Абая,66, 5 учебный корпус, аудитория №315

С диссертацией можно ознакомиться в научно-технической библиотеке Кызылординского государственного университета имени Коркыт Ата

Введение
Актуальность работы. Рост глобальной сети Интернет и стремительное развитие информационных технологий привело к формированию информационной среды, которая оказывает влияние на все сферы деятельности человека. Среди наиболее перспективных является использование новых сетевых возможностей информационных технологий, благодаря которым облегчается процесс распространения информации, повышение эффективности производственных процессов.

В настоящее время все более популярным становится объединение ЭВМ предприятий в локальные вычислительные сети , подключение их к общей глобальной вычислительной сети. Все это дает возможность для организации эффективного управления внутри предприятий, осуществлять оперативный обмен данными между машинами одной локальной вычислительной сети и наладить взаимодействие между удаленными филиалами предприятия. Вместе с тем подобная интеграция таит в себе и не малую опасность, которая усиливается также и переходом компаний на электронный документооборот. Если раньше вопросы защиты конфиденциальной информации решались достаточно простыми методами, то на современном этапе развития вычислительных систем уже необходимо искать принципиально новые подходы к обеспечению защиты конфиденциальной информации. На настоящий момент, будучи размещенной на одной из машин сети некоторой компании, закрытая информация теоретически может оказаться доступной и для неавторизованных пользователей, что может привести к значительным финансовым потерям.

Актуальной задачей в области компьютерной безопасности является обнаружение уязвимостей и оценка уровня защищённости корпоративных вычислительных сетей. Для решения данной задачи служит специальный класс систем, называемых системами анализа защищённости.

Дать объективную оценку текущему состоянию информационной безопасности и безопасности в корпоративной сети, а также ее значение для целей и задач в целях повышения эффективности и результативности хозяйственной деятельности компании - это основная задача системы анализа безопасности в корпоративной сети. Современные системы анализа защиты предназначены для проверки защищаемой системы на соответствие заданной системной конфигурации и политике безопасности, определения уязвимостей для их дальнейшего устранения и уменьшения рисков, вызванных наличием данных уязвимостей.

Для организаций, компьютерные сети которых насчитывают не один десяток компьютеров, функционирующих под управлением различных операционных систем, на первое место выступает задача автоматизации процесса анализа защищенности в таких корпоративных сетях.

Одним из методов анализа и автоматизации контроля безопасности корпоративных вычислительных сетей является технология интеллектуальных программных агентов. Система защиты основана на архитектуре консоль-менеджер-агент. Для каждого из контролируемых систем, установлен программный агент, который выполняет необходимые настройки, и проверяет их правильность, контролирует целостность файлов, своевременную установку пакетов программного обеспечения коррекции и выполнения других полезных задач для управления безопасностью корпоративной вычислительной сети. Менеджеры являются центральными компонентами таких систем. Они посылают команды управления для всех агентов, подконтрольного им домена и хранят всю информацию, полученную от агентов в центральной базе данных. Администратор ведет управление менеджеров с помощью графической консоли, что позволяет выбирать, настраивать и создавать политики безопасности, делать анализ изменений в состоянии системы, осуществлять ранжирование уязвимостей и т.д. Все взаимные действия между агентами, менеджерами и консолью управления реализуются через защищенный клиент -серверный протокол. Применение таких систем позволяет значительно повысить уровень защищенности в корпоративной вычислительной сети.

Степень разработанности проблемы.

Особое внимание в настоящий момент уделяется проблемам оценки безопасности корпоративных систем предприятия Internet / Intranet. Эта предметная область рассматривается в работах ученых и практиков: С.А.Петренко, А.А. Петренко, А. Астахова, Е.Н.Тищенко, Д.В. Склярова, Маркуса Ранума и других. Наряду с этим на сегодняшний день существует достаточное количество работ зарубежных и российских ученых, посвящённых применению многоагентных систем в обеспечении сетевой безопасности. Среди них стоит отметить труды Бакирова Т.К., Котенко И.В., Берестова А.А., Петрова В.А., Степашкина М. В., Тарасов В.Б., Валеев С.С., Алиева А.Т., Шагова Г.Н., Астахова А.

Цели и задачи работы. Основной целью исследовательской работы является использование механизмов защиты многоагентной системы обеспечения сетевой безопасности в решении задач анализа защищенности корпоративной вычислительной сети.

Для достижения поставленной цели были выделены следующие задачи:

• 
  анализ состояния проблем обеспечения безопасности корпоративной вычислительной сети;
  
• 
  анализ существующих методов и средств анализа защищенности корпоративной вычислительной сети для выделения их достоинств и недостатков, определения требований к ним;
  
• 
  анализ онтологии многоагентных систем и построение модели онтологии интеллектуальной системы корпоративной вычислительной сети;
  
• 
  разработка программного средства для автоматизации анализа защищенности корпоративной вычислительной сети.
  

Основные объекты изучения в работе. Системы анализа защищенности корпоративной вычислительной сети.

Предмет исследования. Предметом исследования являются методы и средства анализа защищенности корпоративной вычислительной сети.

Объект исследования. Объектом исследования являются системы защиты

и анализа защищенности корпоративных сетей, основанные на агентах.

Используемые методы исследования. Для решения поставленных задач в работе используются методология информационной безопасности, методы теории множеств, экспертного и системного анализа, а также методы взаимодействия интеллектуальных агентов.

Научное новшество работы. Предложенный в данной работе подход позволяет отказаться от монолитных систем в пользу самоподдерживающихся распределенных систем защиты. Такой переход позволяет строить адаптивные системы защиты в соответствии со структурой сети, требуемым уровнем безопасности и имеющимися вычислительными ресурсами. Распределение средств защиты по всем узлам корпоративной сети и отсутствие единого центра управления значительно повышает общий уровень надежности системы защиты. Вместе с тем высокая скоординированность действий отдельных агентов в рамках единой системы позволяет эффективно противостоять новым наиболее сложным в обнаружении распределенным атакам. Возможность автоматизированного быстрого обновления элементов защиты дает возможность оперативно перестраивать систему защиты для противодействия новым атакам. Таким образом, значительно повышается общий уровень защищенности корпоративной вычислительной сети.

Основные положения, выносимые на защиту. В результате проведенного исследования выносятся следующие положения, обладающие научной новизной и являющиеся предметом защиты: разработке нового подхода к вопросам организации анализа защищенности корпоративных сетей, позволяющего обеспечить доступность, целостность и распределение средств защиты по всем узлам корпоративной сети и отсутствие единого центра управления, что значительно повышает общий уровень надежности системы защиты.

Апробация работ по теме диссертации. Основные положения и результаты диссертационного исследования изложены в опубликованном сборнике международной научно-практической конференции «Өшпес рух» (Туркестан, 2012г.) и в сборнике международной научно-практической конференции «Жоғары кәсіптік білім берудің инновациялық дамуы: тәжірибесі, мәселелері және келешегі» (Кызылорда: КГУ имени Коркыт ата, 2012 г.)

Практическая значимость исследования, проведенного в диссертации, заключается в разработке:

• 
  методики проектирования автоматизированной системы анализа защищенности корпоративной вычислительной сети с использованием агентно-ориентированного подхода;
  
• 
  модели онтологии интеллектуальной системы корпоративной вычислительной сети;
  
• 
  программного средства системы анализа защищенности корпоративной вычислительной сети, который был использован при модернизации системы защиты корпоративной сети.
  

Публикации. По данной теме диссертационного исследования опубликованы 3 научные статьи общим объемом 0,8 п. л

Структура и объем работы. Цель, основные задачи и логика диссертационного исследования определили его структуру, которая включает: введение, три раздела, заключение, список использованных источников и приложение.
Основное содержание работы
Глобальная информатизация и автоматизация сегодня охватила все важнейшие виды человеческой деятельности. При этом с каждым годом все более явной становится тенденция резкого увеличения роли и значения электронной информации во всех сферах жизни общества и если в конце XX века информация была просто важна для бизнеса, то сейчас, в начале нового XXI века, многие полагают, что информация и есть бизнес. В настоящее время деятельность любой организации невозможно представить без использования корпоративных сетей, которые играют значительную роль в жизненном цикле производства продукции или оказании услуг. В настоящее время их роль и влияние на обеспечение качества продукции и услуг постоянно растет.

КВС является сложной системой, включающей в себя множество самых разнообразных компонентов, и в общем виде типовую структуру КВС можно представить в виде следующей совокупности взаимодействующих между собой элементов (рисунок 1): серверы; рабочие станции; системное, прикладное и сетевое программное обеспечение; базы данных; активное сетевое и коммуникационное оборудование; зона Интернет, связанная с сетью пограничным маршрутизатором; брандмауэр, который фильтрует трафик между внутренней сетью и Интернетом; внутренний маршрутизатор, который соединяет внутреннюю сеть с внешними ресурсами через брандмауэр; внутренняя сеть, которая как правило состоит из нескольких подсетей; удаленный филиал, связанный с основной сетью, например, по выделенном каналу; система мультимедиа и видеоконференций; система видео-наблюдения; непосредственно пользователи.

Основной функцией КВС является обеспечение бесперебойного получения, обработки, передачи и модификации информации. Эффективность выполнения данной функции определяется ее влиянием на три основных свойства информации: конфиденциальность, целостность, доступность.

Конфиденциальность – свойство, определяющее ограниченность круга лиц имеющих доступ к информации. Данное свойство важно только для информации, которая изначально не является общедоступной.

Целостность – т.е. существование информации в неискаженном виде.

Доступность – свойство, характеризующее способность обеспечивать своевременный и беспрепятственный доступ пользователей к интересующей информации.

Рисунок 1 – Типовая модель корпоративной сети организации

Нарушение информационной безопасности компьютерных сетей может быть вызвано множеством различных причин: наличием уязвимостей в операционных системах и приложениях; неверной конфигурацией аппаратного и программного обеспечения; ошибками, допущенными при настройке контроля доступа; наличием уязвимых или легко атакуемых сервисов и т.д. Используя комбинации имеющихся уязвимостей и недостатков в конфигурации сети и применяемой политике безопасности, нарушители (как внешние, так и внутренние), в зависимости от своих целей, могут реализовать различные стратегии нападения. Эти стратегии могут быть направлены на разные крити- ческие ресурсы сети и включать разнообразные цепочки атакующих действий. В рамках этих цепочек может осуществляться пошаговая компрометация различных хостов и реализация различных угроз безопасности. Поэтому при проектировании и эксплуатации компьютерных сетей перед проектировщиком и (или) администратором сети возникает задача проверки того, обеспечивают ли планируемые для применения или уже используемые параметры конфигурации сети и механизмы защиты необходимый уровень защищенности. Кроме того, на этапе эксплуатации компьютерных сетей довольно часто происходят изменения в ее конфигурации и составе используемого программного и аппаратного обеспечения, поэтому необходимо постоянно производить мониторинг сети, анализ имеющихся уязвимостей и оценку уровня защищенности. На этапе проектирования основными исходными данными для анализа защищенности выступают спецификации проектируемой сети и политики безопасности, а на этапе эксплуатации — параметры реальной сети. Возросшая сложность компьютерных сетей и механизмов защиты, увеличение количества уязвимостей и потенциальных ошибок в их использовании, а также возможностей нарушителей по реализации атак обуславливает необходимость разработки мощных автоматизированных средств (систем) анализа защищенности. Эти системы призваны выполнять задачи по обнаружению и исправлению ошибок в конфигурации сети и используемой политике безопасности, выявлению возможных трасс атакующих действий различных категорий нарушителей, определению критичных сетевых ресурсов и выбору адекватной угрозам политики безопасности, которая задействует наиболее подходящие в заданных условиях защитные механизмы.

Сегодня, видимо, не существует каких-либо стандартизированных методик анализа защищенности КВС, поэтому алгоритмы действий аудиторов в конкретных ситуациях могут существенно различаться. Однако типовую методику анализа защищенности корпоративной сети предложить все-таки возможно; она включает использование следующих методов:

• 
  изучения исходных данных по КВС;
  
• 
  оценки рисков, связанных с осуществлением угроз безопасности в отношении ресурсов КВС;
  
• 
  анализа механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности и оценка их соответствия требованиям существующих нормативных документов, а также их адекватности существующим рискам
  
• 
  ручного анализа конфигурационных файлов маршрутизаторов и прокси-серверов, почтовых и DNS-серверов, других критических элементов сетевой инфраструктуры;
  
• 
  сканирования внешних сетевых адресов корпоративной сети;
  
• 
  сканирования ресурсов корпоративной сети изнутри;
  
• 
  анализа конфигурации серверов и рабочих станций при помощи специализированных программных агентов.
  

Перечисленные технические методы предполагают применение как активного, так и пассивного тестирования системы защиты. Активное тестирование заключается в эмуляции действий потенциального злоумышленника; пассивное тестирование предполагает анализ конфигурации операционной системы и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную или с использованием специализированных программных средств.

Таким образом, реализация современной СЗ КВС предполагает создание распределенной модульной структуры, направленной на достижение сововокупности взаимосвязанных целей, схематически изображенных на рисунке 2:

• 
  сбор информации о КВС и ее анализ;
  
• 
  моделирование КВС по результатам сбора информации и ее анализа;
  
• 
  оценка показателей, связанных с защитой КВС на основе модели КВС;
  
• 
  управление защитой КВС с использованием результатов моделирования и оценки показателей, связанных с защищенностью КВС.
  

Рисунок 2 –Цели системы защиты КВС

Защищенность является одним из важнейших показателей эффективности функционирования корпоративной вычислительной сети, наряду с такими показателями как надежность, отказоустойчивость, производительность и т. п.

Под защищенностью КВС будем понимать степень адекватности реализованных в ней механизмов защиты информации существующим в данной среде функционирования рискам, связанным с осуществлением угроз безопасности информации. Под угрозами безопасности информации традиционно понимается возможность нарушения таких свойств информации, как конфиденциальность, целостность и доступность. На практике всегда существует большое количество неподдающихся точной оценке возможных путей осуществления угроз безопасности в отношении ресурсов КВС. В идеале каждый путь осуществления угрозы должен быть перекрыт соответствующим механизмом защиты. Данное условие является первым фактором, определяющим защищенность КВС. Вторым фактором является прочность существующих механизмов защиты, характеризующаяся степенью сопротивляемости этих механизмов попыткам их обхода либо преодоления. Третьим фактором является величина ущерба, наносимого владельцу в случае успешного осуществления угроз безопасности. На практике получение точных значений приведенных характеристик затруднено, т. к. понятия угрозы, ущерба и сопротивляемости механизма защиты трудноформализуемы. Например, оценку ущерба в результате НСД к информации политического и военного характера точно определить вообще невозможно, а определение вероятности осуществления угрозы не может базироваться на статистическом анализе. Оценка степени сопротивляемости механизмов защиты всегда является субъективной.

Анализ защищенности КВС представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области безопасности КВС и вызывает постоянный интерес специалистов. Его основная задача — объективно оценить текущее состояние информационной безопасности предприятия, а также ее адекватность поставленным целям и задачам бизнеса.

Под анализом защищенности КВС понимается системный процесс получения объективных качественных и количественных оценок текущего состояния информационной безопасности организации в соответствии с определенными критериями и показателями на всех основных уровнях обеспечения безопасности: нормативно-методологическом, организационно-управленческом, процедурном и программно-техническом.

Результаты квалифицированно выполненного АЗ КВС предприятия позволяют построить оптимальную по эффективности и затратам систему защиты КВС, представляющую собой комплекс технических средств, а также процедурных, организационных и правовых мер, объединенных на основе модели управления ИБ.

Объективность анализа обеспечивается, в частности, тем, что оценка состояния ИБ производится специалистами на основе определенной методики, позволяющей объективно проанализировать все составляющие СЗ КВС.

АЗ КВС может представлять собой услугу, которую предлагают специализированные фирмы, тем не менее в организации должен проводиться внутренний анализ, выполняемый, например, администраторами безопасности.

Анализ защищенности КВС тесно связан с анализом информационных активов сети, компонентов и средств защиты сети разных уровней и их уязвимостей. Как уже было отмечено задача анализа защищенности предполагает достижение трех основных целей: сбор информации о КВС и ее анализ, моделирование КВС по результатам сбора информации и ее анализа, оценка показателей, связанных с защитой КВС на основе модели КВС, управление защитой КВС с использованием результатов моделирования и оценки показателей, связанных с защищенностью КВС.

В настоящее время не существует каких-либо стандартизированных методик анализа защищенности КВС, поэтому в конкретных ситуациях алгоритмы действий аудиторов могут существенно различаться. Однако типовую методику анализа защищенности корпоративной сети предложить все-таки возможно. И хотя данная методика не претендует на всеобщность, ее эффективность многократно проверена на практике.

Анализ защищенности КВС проводится с целью проверки эффективности используемых в ней механизмов защиты, их устойчивости в отношении возможных атак, а также с целью поиска уязвимостей в защите. Традиционно используются два основных принципа такого анализа:

• 
  принцип «черного ящика»;
  
• 
  принцип «белого ящика».
  

Принцип «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре анализируемого элемента КВС. При этом против объекта испытаний реализуются все известные типы атак и проверяется устойчивость системы защиты в отношении этих атак. Используемые методы тестирования симулируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования в данном случае являются сетевые сканеры, располагающие базами данных известных уязвимостей. Это позволяет выявить слабые места и уязвимости в защите элемента КВС, а также возможность их использования потенциальными злоумышленниками.

Принцип «белого ящика» предполагает составление программы тестирования на основании знаний о структуре и конфигурации анализируемых элементов КВС. В ходе тестирования проверяются наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности и существующим рисками. Выводы о наличие уязвимостей делаются на основании анализа конфигурации используемых средств защиты и системного ПО, а затем проверяются на практике. Основным инструментом анализа в данном случае являются программные агенты средств анализа защищенности системного уровня. Такой анализ отличается большей глубиной проверки, но требует наличия знаний о каждом анализируемом элементе КВС, установки на каждый клнтролируемый узел КВС и поэтому используется на небольшом количестве критических систем. В настоящее время осуществляются попытка снижения издержек на поддержку систем анализа и контроля, работающих по принципу «белого ящика», путем использования автоматизированных многоагентных систем, использующих централизованную систему оповещения и управления.

Применение средств анализа защищенности позволяет быстро определить все узлы корпоративной сети, доступные в момент проведения анализа, выявить все используемые в сети сервисы и протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). По результатам сканирования эти средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки.

Сканирование с целью обнаружения уязвимостей начинается с получения предварительной информации о проверяемой системе. Заканчивается сканирование попытками имитации проникновения, используя широко известные атаки, например подбор пароля методом полного перебора (brute force — «грубая сила»).

При помощи средств анализа защищенности на уровне сети можно тестировать не только возможность НСД в корпоративную сеть из сети Internet. Эти средства могут быть использованы как для оценки уровня безопасности организации, так и для контроля эффективности настройки сетевого программного и аппаратного обеспечения.

В настоящее время известно более десятка различных средств, автоматизирующих поиск уязвимостей сетевых протоколов и сервисов. Среди коммерческих систем анализа защищенности можно назвать Internet Scanner компании Internet Security Systems, Inc., NetSonar компании Cisco, CyberCop Scannerкомпании Network Associates и ряд других.

Типичная схема проведения анализа защищенности (на примере системы Internet Scanner) приведена на рисунке 3:

Рисунок 3 – Схема проведения анализа защищенности

Средства анализа защищенности данного класса анализируют не только уязвимость сетевых сервисов и протоколов, но и системного и прикладного ПО, отвечающего за работу с сетью. К такому обеспечению можно отнести Web-, FTP- и почтовые серверы, МЭ, браузеры и т. п.

Средства анализа защищенности ОС предназначены для проверки настроек ОС, влияющих на ее защищенность. К таким настройкам можно отнести:

• 
  учетные записи пользователей (account), например длину пароля и срок его действия;
  
• 
  права пользователей на доступ к критичным системным файлам;
  
• 
  уязвимые системные файлы;
  
• 
  установленные патчи (patch) и т. п.
  

Системы анализа защищенности на уровне ОС могут быть использованы также для контроля конфигурации ОС.

В отличие от средств анализа защищенности сетевого уровня данные системы проводят сканирование не снаружи, а изнутри анализируемой системы, т. е. они не имитируют атаки внешних злоумышленников. Кроме возможностей по обнаружению уязвимостей, некоторые системы анализа защищенности на уровне ОС (например, System Scanner компании Internet Security Systems) позволяют автоматически устранять часть обнаруженных проблем или корректировать параметры системы, не удовлетворяющие политике безопасности, принятой в организации.

Основные автоматизированные средства решения задачи анализа защищенности КВС, соответствующие методы и подходы можно условно разделить на два класса:

• 
  первый класс, к которому принадлежат сетевые сканеры, иногда называют средствами анализа защищенности сетевого уровня;
  
• 
  второй класс, к которому относятся все остальные средства, иногда называют средствами анализа защищенности системного уровня.
  

Данные классы средств имеют свои достоинства и недостатки и на практике взаимно дополняют друг друга.

АЗ КВС системного уровня включает использование следующих методов:

1. 
   Удаленный системный анализ элементов КВС и их уязвимостей (средства Microsoft Baseline Security Analyzer, System Scanner).
   
2. 
   Локальный системный анализ и контроль защищенности элементов КВС (средства CIS Security Benchmarks, системаSymantec ESM).
   

Методы АЗ элемента КВС системного уровня позволяют идентифицировать элемент КВС, собрать информация о его конфигурации и путем осуществления доступа к этому элементу или его настройкам с привилегиями администратора. С использованием этих методов можно также оценить адекватность конфигурации этого элемента существующим рискам путем сравнения с эталоном, обеспечивающим необходимый уровень защищенности.

Метод удаленного системного анализа элементов КВС подразумевает проведение системного анализа с использованием удаленного доступа к элементу КВС. Недостаткрм этого метода является сложность использования в больших гетерогенных КВС.

Примерами средств удаленного системного анализа являются свободно распространяемые средства CIS и разработчикоы сетевых ОС: CIS – Certified Scoring Tools, Microsoft Baseline Security Analyzer для ОС Windows.

В частности, система MBSA позволяет предприятиям небольшого и среднего размера определить защищенность КВС, работающей на платформе Microsoft, в соответствии с рекомендациями этой компании. Средство позволяет определить некорректную с точки зрения безопасности настройку элементов КВС, отсутствие обновлений, затрагивающих безопасность элементов КВС.

Метод локального системного анализа и контроля защищенности элементов КВС подразумевает проведение системного анализа с использованием локального доступа к элементу КВС. Такой анализ осуществляется с помощью программных агентов анализа защищенности системного уровня, которые, установливаются на целевую систему и используют полномочия администратора для получения полного доступа к системе. САЗ, использующие данный метод, требуют значительных затрат на внедрение в больших КВС, поскольку требуют установки средства на каждый анализируемый узел КВС. Однако, с другой стороны, они лишены недостатков средств сетевого системного анализа.

Один из методов автоматизации процессов анализа и контроля защищенности КВС со снижением необходимых затрат заключается в использовании многоагентного подхода к организации САЗ.

На каждую из контролируемых систем устанавливается программный агент, который выполняет соответствующие настройки программного обеспечения, проверяет их правильность, контролирует целостность файлов, своевременность установки обновлений, а также решает другие задачи по контролю защищенности КВС. Управление агентами осуществляет по сети программа-менеджер. Менеджеры, являющиеся центральными компонентами подобных систем, посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все полученные от агентов данные в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т.п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент-серверному протоколу. Такой подход, например, использован при построении комплексной системы управления безопасностью организации Symantec Enterprise Security Manager (ESM).Примером системы, использующей метод локального системного анализа и контроля защищенности элементов КВС и многоагентный подход к организации САЗ, является автоматизированная система управления безопасностью предприятия ESM компании Symantec.

Архитектура ESM приведена на рисунке 4. Она включает компоненты трех типов: исполнители, менеджеры и консоль управления.

Рисунок 4 – Пример архитектуры многоагентной САЗ КВС

Агенты –исполнители, установливаемые на каждый узел КВС, по команде менеджера осуществляют правильности и корректировку параметров ПО, контроль целостности файлов и установки обновлений.

Агенты-менеджеры являются центральными компонентами системы. Они осуществляют управление агентами-исполнителями контролируемого сегмента КВС и сохраняют все получаемые от агентов-исполнителей данные в центральной базе данных.

Управление системой осуществляется с помощью графической консоли, позволяющей выбирать, настраивать и создать политику безопасности КВС, анализировать изменения ее состояния. Все взаимодействия между агентами-исполнителями, агентами-менеджерами и управляющей консолью осуществляются с использованием защищенных протоколов.

Все агенты ESM объединяются в домены, т.е. группы агентов, объединенных по определенному признаку, например, по типу операционной системы, организационной или территориальной единице предприятия. Для каждого домена может быть задана единая политика безопасности.

При разработке МАС одной из важных задач является обеспечение взаимодействия агентов. Данная задача решается путем создания языка общения агентов включающего в себя все необходимые средства для их взаимодействия.

Язык общения (коммуникации) обеспечивает согласованное взаимодействие агентов – циркуляцию информации, передачу запросов услуг, реализует механизмы переговоров, поддерживает сотрудничество между агентами, направленное на достижение общей цели и, как следствие, формирование коллективов агентов. Также для общения агентов разрабатываются специальные модели представления знаний и языки для описания знаний. Язык взаимодействия рассматривается как многоуровневая структура, включающая:

• 
  уровень представления знаний;
  
• 
  уровень переговоров или координации;
  
• 
  уровень стратегий коммуникации.
  

Таким образом, язык общения агентов должен включать возможность реализации всех трёх уровней. Обеспечить это можно, проанализировав существующие языки программирования и отобрав необходимые качества для создания своего языка общений агентов. Существуют два главных подхода к разработке языка коммуникации агентов:

• 
  процедурный, в котором коммуникации основываются на исполняемом содержимом. Содержимое должно представлять собой исполняемый код, написанный на языке программирования;
  
• 
  декларативный, в котором коммуникации основаны на описаниях и определенных утверждениях, таких как определения, допущения и подобные.
  

Декларативный подход получил наибольшее распространение в разработке языков коммуникации агентов. Большинство реализаций декларативного подхода основывается на действиях, таких как отправка управляющих сообщений. К недостаткам декларативного подхода относится сложность эффективной реализации.

Одними из популярных декларативных языков является классический язык логического программирования Prolog (Programming in Logics). Он оперирует правилами и имеет встроенный механизм вывода, основанный на принципе резолюций, помогающий формально обращаться со знаниями. К недостаткам языка Prolog и других классических декларативных языков относится невозможность использования принципов объектно-ориентированного программирования (инкапсуляции, наследования, полиморфизма), что не позволяет разрабатывать сложные структуры данных и знаний.

Еще один известный логический язык содержания – это язык KIF (Knowledge Interchange Format), облегчающий обмен знаниями между системами искусственного интеллекта.

При разработке языка общения агентов целесообразней использовать опыт мировых организаций, занимающихся стандартизацией агентных технологий, таких как международный Фонд интеллектуальных физических агентов (The Foundation for Intelligent Physical Agents, или FIPA), образованный в 1996 г. для координации деятельности исследовательских центров разных стран по разработке стандартных инструментальных средств в области МАС. Большинство коммуникативных агентных языков (Agent Communication Language – ACL) основаны на речевом взаимодействии, т.е речевые действия при программировании выражаются посредством стандартных ключевых слов, что обеспечивает единообразное представление информации передаваемой агентами. В 1997 — 2000 годах в рамках этого фонда был разработан стандарт языка общения агентов, который назвали FIPA ACL, который описывает параметры сообщений агентов. FIPA ACL используется во многих коммуникативных языках межагентного взаимодействия.

Язык взаимодействия агентов является универсальной средой передачи информационных сообщений от одного агента другому. В настоящее время существует два стандартизированных языка взаимодействия, обладающих практически аналогичными возможностями: KQML, разработанный DARPA, и FIPAACL , разработанный FIPA, который, в связи с ориентацией на соблюдение рекомендаций FIPA был выбран для использования.
Заключение
В процессе выполнения диссертационной работы были получены следующие основные результаты:

• 
  показана актуальность применения многоагентных систем для решения задач анализа защищенности корпоративной вычислительной сети.
  
• 
  разработка методики проектирования системы анализа защищенности корпоративной вычислительной сети с использованием агентно-ориентированного подхода;
  
• 
  создание модели онтологии интеллектуальной системы корпоративной вычислительной сети;
  
• 
  разработка программного средства системы анализа защищенности корпоративной вычислительной сети,
  
• 
  разработан и программно реализован прототип многоагентной системы, который был использован при модернизации системы защиты корпоративной сети. Спроектированная многоагентная система позволяет существенно упростить и автоматизировать процесс анализа защищенности корпоративной вычислительной сети предприятия.
  

ТҮЙІНДЕМЕ
6М070300 – «Ақпараттық жүйелер» мамандығы бойынша

техника және технология магистрі академиялық дәрежесін алу диссертацияның рефератына

Мырзабаева Алтынкул Шарипбековна
Корпоративті есептеу желісінің қорғалғандығын талдауға арналған көпагенттік жүйесін құру
Жұмыстың маңыздылығы - Қазіргі таңда мекеменің корпоративті есептеу желісінің қорғау жүйесін ұйымдастыру процесінің бірінші қадамы - оның қорғалғандығын талдау. КЕЖ қорғау жүйесінің қалып күйі осы ортадағы ақпараттың қауіпсіздігіне нұқсан келтіретін тәуекелдіктерден ақпаратты қорғау механизмдерінің жүзеге асыру адекваттығын көрсетеді. Корпоративті есептеу желісінің конфигурациясы күрделенген сайын және түйін саны ұлғайған сайын қорғалғандықты талдау процесін автоматтандыру маңыздылығы арта түседі.

Жұмыстың негізгі зерттеу объектілері. Зерттеу объектісі болып интеллектуалды агенттерге негізделген корпоративті есептеу желісінің қорғалғандығын талдау жүйелері.

Жұмыстың мақсаты мен міндеттері. Зерттеу жұмысының мақсаты корпоративті есептеу желісінің қорғалғандығын талдау мәселесін шешу барысында желілік қауіпсіздікті қамтамасыз ететін көпагенттік жүйелердің қорғау механизмдерін қолдану Зерттеу мақсатына сай алға төмендегідей міндеттер қойылды: корпоративті есептеу желі қауіпсіздігін қамтамасыз ету мәселесін талдау; корпоративті есептеу желісінің қорғалғандығын талдайтын қолданыстағы құралдары мен әдістерін талдау және олардың кемшіліктері мен артықшылықтарын ерекшелеу; корпоративті есептеу желісінің қорғалғандығын талдау үдерісін автоматтандыратын бағдарламалық құрал құру.

Жұмыстың ғылыми жаңалығы. Көпагенттік жүйеде желі қауіпсіздігі мен сенімділігін арттыру мақсатында монолитті жүйе емес, өзіне-өзі қолдау көрсететін үлестірілген қорғаныс жүйесі қолданылады. Бұл тәсіл желі құрылымына, қауіпсіздік деңгейлері талаптарына және желі ресурстарына сәйкес адаптивті қорғаныс жүйесін құруға мүмкіндік береді. Қорғаныс құралдарының бүкіл желі түйіндеріне үлестірілуі және бірегей басқару орталығының болмауы қорғаныс жүйесінің жалпы сенімділігін арттырады. Корпоративтік желілерді қорғаудың көпагенттік технологиясына негізделген бірегей жүйесінде жекелеген агенттердің жұмыла әрекет етуі жаңадан пайда болған күрделі шабуылдарға тиімді түрде қарсы тұру мүмкіндігін береді. Корпоративті есептеу желісінің қауіпсіздігін қамтамасыз етуді көпагенттік технология негізінде аталып өткен мүмкіндіктерімен ұйымдастыру тәсілі бүгінгі күні жергілікті желі сенімділігін қадағалау мен қолдаудың перспективалық бағыты екендігін көрсетеді.

Жұмыстың негізгі ғылыми маңыздылығы. Диссертацияда жүргізілген зерттеудің ғылыми-тәжірибелік маңызы: корпоративті есептеу жүйесінің қорғалғандығын талдайтын автоматтандырылған жүйені жобалау үшін агенттік технологияны қолданатын әдістерді құру; корпоративті есептеу желісінің интеллектуалды жүйесінің онтологиясының үлгісін құру; корпоративті желінің қорғау жүйесін жетілдіру мақсатында қолданатын қорғалғандығын талдайтын бағдарламалық құралын құрастыру.

Зерттеу нәтижелерін апробациясы. Жұмыстың негізгі бағыттары бойынша әр түрлі аймақтық, халықаралық ғылыми-тәжірибелік конференцияларда баяндама жасалды және Білім және Ғылым саласындағы қадағалау және аттестаттау Комитеті ұсынған басылымда жарияланды.

Магистрлік жұмыстың құрылымы мен көлемі.

Диссертациялық жұмыс кіріспеден, үш негізгі бөлімнен, қорытынды, пайдаланылған әдебиеттер тізімінен және қосымшалардан тұрады.

Summary
on the thesis submitted to confer for scientific degree of Master of Engineering and Technology speciality 6М070300 - Information systems
Myrzabaeva Altynkul Sharipbekovna
Development of an multi-agent system security analysis of corporate computer networks
The work urgency – Currently, the first stage in the organization of corporate network security is to analyze its security. Corporate computer network reflects the state of security adequacy sold it to existing mechanisms for the protection of information in the operational environment to risks associated with the implementation of information security threats. As the number of nodes and the complexity of the corporate network of urgency to security analysis of the corporate computer network.

The main objects of studying in work. The object of investigation of the system of protection and security analysis of enterprise network based on agents.

Purposes and problems of work. The main purpose of the research is the use of mechanisms for the protection of multi-agent systems for network security in solving the security analysis of the corporate computer network.

To achieve this goal were the following tasks: analysis of the security challenges of the corporate computer network; analysis of existing methods and tools for security analysis of the corporate computer network to highlight their strengths and weaknesses, determine the requirements for them; development of software tools to automate security analysis of the corporate computer network.

Scientific innovation of research of work. Proposed in this paper, the approach eliminates the monolithic systems in favor of self-supported distributed systems security. This transition allows us to construct adaptive protection system in accordance with the structure of the network, the required level of security, and computing resources. Distribution of protection across all nodes corporate network and the lack of unified management significantly increases the overall reliability of the protection system. However, the high coordination of actions of individual agents within a single system can effectively counter the new most difficult to detect distributed attacks. Ability to quickly update an automated security feature allows you to quickly rebuild the defense system to counter new attacks. Thus greatly increasing the overall level of security of the corporate computer network.

The scientific-practical importance of job. Scientific and practical significance of the study in the thesis is to develop: methods of designing automated security analysis of the corporate computer network using agent-oriented approach; intellektualnoĭ ontology model of corporate computer network; software system security analysis of the corporate computer network, which was used for the modernization of the protection of corporate networks.

Approbation of results of research. Approbation of results of research. The basic rules and results of job are stated at the international, republican and regional scientific - practical conferences, are published in the editions recommended Committee on supervision and certification in sphere of education and a science of Ministry of education and a science of Republic of Kazakhstan.

The structure of the dissertation. The dissertation consists of an introduction, three chapters, conclusion, list of references and applications