Оренбургский государственный университет

Система идентификации источников распространения вредоносной рассылки в распределенных информационно-вычислительных сетях на основе комбинаторной семантической модели генерации гипотез с ассоциативно-мажоритарным принципом принятия решения

Проект № 1 от 30 июля 2017 г.

Руководитель — Абрамова Т.В.

Преподаватель кафедры вычислительной техники и защиты информации ОГУ Абрамова Таисия Вячеславовна стала обладателем областного гранта в сфере научной и научно-технической деятельности в 2017 году. Абрамовой Т.В. был выполнен проект «Система идентификации источников распространения вредоносной рассылки в распределенных информационно-вычислительных сетях на основе комбинаторной семантической модели генерации гипотез с ассоциативно-мажоритарным принципом принятия решения».

Целью научно-исследовательской работы является повышение оперативности идентификации источников вредоносного воздействия в распределенных информационно-вычислительных сетях (РИВС) и принятия достоверного решения на основе мажоритарного подхода.

В работе использованы методы теории вероятности, теории принятия решений, теории оптимизации систем автоматизированного управления, теории распознавания образов.

1. Определена проблемная область идентификации источников распространения вредоносной рассылки в РИВС по данным мониторинга сетевого трафика в условиях дефицита информации. Выявлена проблема сложности идентификации субъектов сетевого взаимодействия по фрагментам сведений, расположенных в различных участках сетевого трафика, вследствие большого объема обрабатываемых данных. Определена целевая функция, зависящая от вероятности возникновения вредоносного воздействия и ущерба от него. В качестве основных критериев оценки эффективности выбраны время поиска фрагментов данных об источнике вредоносной рассылки в сети и достоверность его идентификации.
2. Разработана имитационная модель оперативного поиска информации об аномалии и идентификации источников вредоносной рассылки в сетевом трафике на основе ситуационно-ассоциативного подхода с мажоритарным принципом принятия решения.
3. В рамках реализации модели разработан алгоритм идентификации источников вредоносного воздействия в РИВС при высоком уровне информационной энтропии на основе мониторинга сетевого трафика, базирующийся на ассоциативном поиске исходных фрагментов данных о вредоносной рассылке и комбинаторной семантической модели генерации гипотез об ее источнике. Для проверки гипотез и принятия решения использован мажоритарный подход.
4. Разработано программное средство оперативного поиска фрагментов информации и формирования гипотез об источниках вредоносного воздействия в РИВС по слабоструктурированным исходным данным, осуществляющее формирование и проверку гипотез ситуаций по исходной совокупности фрагментов сведений на основе мажоритарного принципа в условиях дефицита информации.
5. Разработана система идентификации источников распространения вредоносной рассылки в распределенных информационно-вычислительных сетях. Проведена экспериментальная оценка эффективности разработанной системы, показавшая высокую оперативность и достоверность ее работы в системах информационной поддержки администратора ИБ. Выявлено, что в совокупности с ассоциативным подходом к организации и поиску данных, комбинаторная семантическая модель генерации гипотез значительно увеличивает эффективность поиска информации в информационном пространстве большого объема, а мажоритарность в принятии решений позволяет оперативно и достоверно выявлять наиболее вероятные цели поиска.
6. В качестве рекомендаций по внедрению разработанной системы предложено использование системы в сетевом администрировании, совместно со стандартным сетевым оборудованием и штатными средствами сетевой безопасности.

Проект имеет практическую ценность для обеспечения информационной безопасности компьютерных сетей. Разработанная система может быть использована в системе информационной безопасности в различных организациях и фирмах для мониторинга сетевого трафика, выявления сетевых аномалий и идентификации источников вредоносных рассылок в распределенной сети. В ходе проведения серии экспериментов было установлено, что разработанная система в несколько раз позволяет увеличить эффективность идентификации субъектов сетевого взаимодействия в РИВС по отдельным фрагментам сведений в условиях дефицита исходных данных в информационном пространстве большого объема.

При использовании в сетевом администрировании совместно со стандартным сетевым оборудованием и штатными средствами сетевой безопасности разработанная система позволит повысить оперативность в принятии решений в задачах поиска и идентификации источников вредоносного воздействия в РИВС в трафике большого объема по доступной совокупности фрагментов сведений.