×
10.11.2019
219.017.dfaf

СПОСОБ ОПРЕДЕЛЕНИЯ ПОТЕНЦИАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ НА ОСНОВЕ СВЕДЕНИЙ ОБ УЯЗВИМОСТЯХ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Вид РИД

Изобретение

Юридическая информация Свернуть Развернуть
Краткое описание РИД Свернуть Развернуть
Аннотация: Изобретение относится к вычислительной технике. Технический результат заключается в снижении сложности и трудоемкости процесса формирования перечня потенциальных угроз. Способ определения потенциальных угроз безопасности информации на основе сведений об уязвимостях программного обеспечения содержит этапы, на которых получают перечень известных уязвимостей и угроз; создают искусственные нейронные сети (ИНС) для определения возможности реализации угроз; получают набор обучающих выборок уязвимостей для каждой ИНС; производят обучение созданных ИНС с использованием полученных выборок; получают перечень выявленных в ИС уязвимостей; подают признаки каждой выявленной в ИС уязвимости на вход каждой созданной ИНС и получают ранжированный по вероятности реализации перечень потенциальных угроз. 2 ил.
Реферат Свернуть Развернуть

ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ

Изобретение относится к области защиты информации, обрабатываемой в информационных системах (ИС), и может быть использовано для определения потенциальных угроз безопасности информации (далее - угрозы), реализация которых может привести к нарушению безопасности информации в ИС, на основе сведений об уязвимостях программного обеспечения (далее - уязвимости), используемого в данной ИС.

УРОВЕНЬ ТЕХНИКИ

В настоящее время сведения об известных уязвимостях и угрозах могут быть получены из различных баз данных уязвимостей, угроз и эксплойтов, сайтов производителей программного обеспечения и прочих источников. Однако эти источники не предоставляют какой-либо информации о связях между записями об уязвимостях и угрозах. Также в открытом доступе отсутствуют какие-либо средства, позволяющие в автоматизированном режиме получить сведения об угрозах, которые может повлечь эксплуатация определенной уязвимости. Таким образом, определение потенциальных угроз для конкретной ИС необходимо производить вручную, последовательно анализируя информацию о каждой выявленной уязвимости, что является весьма трудоемкой задачей, причем эксплуатация одной уязвимости может повлечь реализацию сразу нескольких угроз, а специалист, производящий анализ уязвимостей, должен обладать глубокими знаниями в области информационной безопасности, построения ИС и систем защиты информации. Наиболее близким к заявляемому способу является метод, основанный на применении аппарата нейросетевых технологий для определения актуальных угроз безопасности информации информационных систем [1]. Данный метод предназначен для автоматизации процедуры получения сведений об актуальных для ИС угрозах на основе данных об уязвимостях программного обеспечения, входящего в состав ИС с использованием аппарата нейросетевых технологий. В качестве исходных данных для обучения нейронных сетей используются сведения об уязвимостях программного обеспечения, накопленные в банке данных угроз безопасности информации ФСТЭК России (далее - банк данных). Этот метод выбран в качестве прототипа предложенного решения.

Недостатки данного метода вытекают из необходимости подбора оптимальных характеристик параметров при создании нейронных сетей для каждой угрозы, в связи с чем указанный способ имеет высокую сложность технической реализации. И, несмотря на то, что в ходе исследований эмпирическим путем была установлена оптимальная топология для большинства из созданных нейронных сетей, дальнейшие экспериментальные исследования показали следующее.

Во-первых, приведенная топология требует большого количества обучающих выборок, создание которых для каждой известной угрозы из банка данных в настоящее время не представляется возможным;

Во-вторых, анализ трех указанных признаков (класс уязвимости, тип ошибки, тип программного обеспечения) не является достаточным для определения угроз, не входящих в состав угроз, перечисленных в [1];

В-третьих, наиболее важным недостатком является то, что, помимо топологии нейронной сети необходимо подбирать такие параметры нейронных сетей как функции активации, алгоритм обучения, количество итераций, порог ошибки и, кроме того, осуществлять подготовку входных данных.

В отличие от [4] в изобретении предлагается анализировать дополнительный признак уязвимости («базовая оценка CVSS») и использовать определенные характеристики искусственных нейронных сетей.

РАСКРЫТИЕ ИЗОБРЕТЕНИЯ

Задачей изобретения является разработка способа, позволяющего автоматизировать процедуру определения потенциальных угроз ИС на основе сведений об уязвимостях в программном обеспечении, используемом в данной ИС.

Технический результат, на достижение которого направлено предполагаемое изобретение, заключается в снижении сложности и трудоемкости процесса формирования перечня потенциальных угроз, реализацию которых может повлечь эксплуатация уязвимостей ИС.

Указанный результат достигается путем реализации способа определения потенциальных угроз на основе применения искусственных нейронных сетей (ИНС) и включает в себя этапы, на которых:

получают перечень известных уязвимостей и угроз, необходимый для дальнейшего формирования обучающей выборки, причем данный перечень может быть получен из различных баз данных уязвимостей и угроз или других доступных источников;

создают ИНС для определения возможности реализации угроз, причем ИНС создают для каждой угрозы, актуальность которой необходимо проверить для ИС, причем каждую ИНС создают с четырьмя входами, принимающими значения признаков уязвимости («класс уязвимости», «тип ошибки CWE», «тип программного обеспечения» и «базовая оценка CVSS»), одним скрытым слоем, содержащим 8 нейронов, и одним выходом, на котором формируется вероятность реализации угрозы при заданных на входах ИНС признаках уязвимости, а в качестве функции активации нейронов используется сигмоидальная функция;

получают набор обучающих выборок уязвимостей (эталонных данных) для каждой ИНС, причем каждый набор содержит два класса обучающих выборок: первый класс обучающих выборок представляет собой сведения об уязвимостях, которые могут повлечь реализацию данной угрозы, а второй класс обучающих выборок представляет собой сведения об уязвимостях, эксплуатация которых не может повлечь реализацию данной угрозы, при этом значения признаков уязвимостей предварительно кодируют таким образом, что значения категориальных признаков («класс уязвимости», «тип ошибки CWE» и «тип программного обеспечения») представляются отношением количества положительных примеров объектов обучающей выборки, относящихся к соответствующей категории, к общему количеству примеров обучающей выборки, относящихся к данной категории, а значение количественного признака «базовая оценка CVSS» нормализуется;

производят обучение созданных ИНС на эталонных данных путем ввода сформированных для каждой ИНС обучающих выборок первого и второго класса, причем обучение производят с использованием «Быстрого» метода обучения (алгоритм обратного распространения ошибки, описанный Фальманом в 1988 году), а выборки могут вводиться в произвольном порядке так, чтобы ИНС обучались определению уязвимостей, которые потенциально могут повлечь реализацию соответствующих угроз;

получают перечень выявленных в ИС уязвимостей по результатам анализа используемого в ИС программного обеспечения на наличие известных уязвимостей, а также уязвимостей «нулевого дня», т.е. уязвимостей, о которых стало известно до момента выпуска разработчиком соответствующего программного обеспечения исправлений ошибок или соответствующих обновлений;

подают признаки каждой выявленной в ИС уязвимости на вход каждой созданной ИНС и получают на выходе вероятность реализации соответствующей угрозы;

формируют ранжированный по вероятности реализации перечень потенциальных угроз.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ

На фиг. 1 представлена блок-схема последовательности операций, иллюстрирующая способ определения потенциальных угроз безопасности информации на основе сведений об уязвимостях программного обеспечения согласно примерному варианту реализации, который может быть выполнен, например, в виде веб-приложения, программного обеспечения для настольных или мобильных платформ.

На этапе 1 получают перечень известных уязвимостей и угроз. Сведения об уязвимостях и угрозах могут храниться в базе данных таким образом, чтобы необходимую информацию можно было получить путем выполнения специальных запросов.

На этапе 2 создают многослойные ИНС прямого распространения. Структура ИНС, создаваемых для решения указанной задачи, показана на фиг. 2, а в качестве функции активации используется сигмоидальная функция (системное название - FANN SIGMOID). Многослойные ИНС могут быть реализованы с использованием одной из существующих программных библиотек для создания ИНС, например, с использованием библиотеки с открытым исходным кодом FANN (Fast Artificial Neural Network), использование которой возможно при разработке более чем на 30 различных языках программирования [3].

На этапе 3 для обучения каждой созданной ИНС получают наборы обучающих выборок (эталонных данных об уязвимостях). Получение наборов обучающих выборок может быть осуществлено путем специально сформированных запросов к базе данных, созданной на этапе 1. Данные в обучающих выборках должны быть закодированы таким образом, что значения категориальных признаков («класс уязвимости», «тип ошибки CWE» и «тип программного обеспечения») представляются отношением количества положительных примеров объектов обучающей выборки, относящихся к соответствующей категории, к общему количеству примеров обучающей выборки, относящихся к данной категории, а значение количественного признака «базовая оценка CVSS» нормализуется.

На этапе 4 производят обучение созданных ИНС с использованием полученных эталонных данных об уязвимостях. В случае реализации ИНС с использованием библиотеки FANN процедура обучения может быть осуществлена с применением специальных функций для обучения ИНС, входящих в состав указанной библиотеки на выбранном языке программирования [3], при этом в качестве алгоритма обучения используется «Быстрый» метод обучения (системное название -F ANNTRAINQUICKPROP).

На этапе 5 получают перечень выявленных в ИС уязвимостей. Сведения об уязвимостях ИС могут быть получены, например, путем сканирования ИС с использованием существующих сканеров уязвимостей или поиска сведений об уязвимостях используемых в ИС версий программного обеспечения в доступных источниках.

На этапе 6 поочередно подают параметры каждой уязвимости из составленного на предыдущем этапе перечня на вход каждой созданной ИНС. В результате на выходе ИНС формируется вероятность реализации соответствующей угрозы. При использовании библиотеки FANN указанные на данном этапе операции могут быть реализованы на выбранном языке программирования с использованием специальных функций для запуска ИНС из указанной библиотеки [4].

На этапе 7 формируют ранжированный по вероятности реализации перечень потенциальных угроз.

Заявляемый способ проверен экспериментально в лабораторных условиях.

Предлагаемое техническое решение является новым, поскольку из общедоступных сведений не известен способ определения потенциальных угроз ИС, использующий:

анализ совокупности признаков уязвимостей, состоящей из признаков «класс уязвимости», «тип ошибки CWE», «тип программного обеспечения» и «базовая оценка CVSS»;

структуру нейронной сети, приведенную на фиг. 2;

«Быстрый» метод обучения нейронных сетей;

сигмоидальную функцию активации нейронов;

отношение количества положительных примеров объектов обучающей выборки, относящихся к соответствующей категории, к общему количеству примеров обучающей выборки, относящихся к данной категории, и нормализацию в качестве способов кодирования данных обучающих выборок.

Предлагаемое техническое решение промышленно применимо, поскольку для его реализации может быть использовано стандартное компьютерное оборудование и программное обеспечение, выпускаемое промышленностью и имеющееся на рынке.

Достоинства предлагаемого изобретения заключаются в следующем:

реализация способа позволяет в автоматизированном режиме решать трудоемкую задачу по получению сведений о потенциальных угрозах ИС;

предлагаемый способ, в отличие от [4], не требует подбора оптимальных характеристик параметров при создании нейронных сетей для каждой угрозы;

предлагаемый способ может быть реализован на большинстве современных языков программирования, при этом он может быть выполнен в виде веб-приложения, программного обеспечения для настольных или мобильных платформ;

реализация способа может быть осуществлена без финансовых затрат, поскольку для его реализации может быть использовано свободно распространяемое программное обеспечение.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Предлагаемое изобретение поясняется чертежами и графическими изображениями, на которых показаны:

на фиг. 1 - блок-схема последовательности операций, иллюстрирующая способ определения потенциальных угроз;

на фиг. 2 - структура ИНС для определения возможности реализации угрозы.

Список литературы:

1. Соловьев С.В., Мамута В.В. Применение аппарата нейросетевых технологий для определения актуальных угроз безопасности информации информационных систем // Наукоемкие технологии в космических исследованиях Земли. 2016. №5 (8). С. 78-81.

2. FANN [Электронный ресурс] Language Bindings: Режим доступа: http://leenissen.dk/fami/wp/language-bindings/ свободный. - (дата обращения: 05.09.2017).

3. FANN [Электронный ресурс] FANN Training: Режим доступа: http://leenissen.dk/fann/html/files/fann_train-h.html свободный. - (дата обращения: 05.09.2017).

4. FANN [Электронный ресурс] FANN Creation/Execution: Режим доступа: http://leenissen.dk/fann/html/files/fann-h.html свободный. - (дата обращения: 05.09.2017).


СПОСОБ ОПРЕДЕЛЕНИЯ ПОТЕНЦИАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ НА ОСНОВЕ СВЕДЕНИЙ ОБ УЯЗВИМОСТЯХ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
СПОСОБ ОПРЕДЕЛЕНИЯ ПОТЕНЦИАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ НА ОСНОВЕ СВЕДЕНИЙ ОБ УЯЗВИМОСТЯХ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Источник поступления информации: Роспатент

Показаны записи 1-10 из 13.
10.12.2013
№216.012.8a19

Способ обнаружения электронных устройств

Изобретение относится к способам и технике нелинейной радиолокации и может использоваться для поиска и обнаружения электронных устройств, в том числе объектов с нелинейными электрическими свойствами (ОНЭС). Достигаемый технический результат - обеспечение возможности одновременной согласованной...
Тип: Изобретение
Номер охранного документа: 0002501035
Дата охранного документа: 10.12.2013
27.03.2014
№216.012.af02

Нелинейный радиолокатор обнаружения радиоэлектронных устройств

Изобретение относится к области техники нелинейной радиолокации и может использоваться для поиска и обнаружения радиоэлектронных устройств и других объектов с нелинейными электрическими свойствами (ОНЭС). Достигаемый технический результат - стабилизация вероятности обнаружения ОНЭС различного...
Тип: Изобретение
Номер охранного документа: 0002510517
Дата охранного документа: 27.03.2014
10.02.2015
№216.013.24aa

Способ обнаружения модуляции несущей частоты импульсов периодической последовательности

Изобретение относится к области электронной обработки сигналов и предназначено для использования в радиоприемных системах. Достигаемый технический результат - обеспечение возможности однозначного обнаружения модуляции несущей частоты импульсов периодической последовательности. Способ...
Тип: Изобретение
Номер охранного документа: 0002540839
Дата охранного документа: 10.02.2015
10.02.2015
№216.013.24ab

Устройство обнаружения модуляции несущей частоты импульсов периодической последовательности

Устройство относится к области электронной обработки сигналов и предназначено для использования в радиоприемных системах. Техническим результатом изобретения является обеспечение возможности однозначного обнаружения модуляции несущей частоты импульсов импульсной последовательности. Устройство...
Тип: Изобретение
Номер охранного документа: 0002540840
Дата охранного документа: 10.02.2015
10.08.2015
№216.013.69f0

Способ дистанционного перехвата речевой информации из защищаемого помещения

Изобретение относится к области радиотехники, в частности к технической разведке сигналов, и может преимущественно использоваться для дистанционного перехвата конфиденциальной речевой информации из защищаемого помещения (ЗП) с использованием электрического зондирования технического средства...
Тип: Изобретение
Номер охранного документа: 0002558673
Дата охранного документа: 10.08.2015
27.08.2015
№216.013.74ec

Способ радиоперехвата речевой информации из защищаемого помещения

Изобретение относится к области радиотехники, в частности к технической разведке сигналов, и может преимущественно использоваться для дистанционного радиоперехвата речевой информации, циркулирующей в защищенном помещении (ЗП) с ограниченным доступом. Способ радиоперехвата речевой информации из...
Тип: Изобретение
Номер охранного документа: 0002561507
Дата охранного документа: 27.08.2015
20.02.2016
№216.014.e86f

Способ дистанционного перехвата речевой информации из защищаемого помещения здания с охраняемой зоной

Изобретение относится к области радиотехники, в частности к активным радиолокационным методам получения информации, и может преимущественно использоваться для дистанционного перехвата из-за границы охраняемой зоны, установленной вокруг здания, конфиденциальной речевой информации, циркулирующей...
Тип: Изобретение
Номер охранного документа: 0002575406
Дата охранного документа: 20.02.2016
10.04.2016
№216.015.2cbb

Способ селекции сигналов по частоте

Изобретение относится к области обработки сигналов и предназначено для использования во входных цепях радиоприемных систем. Технический результат - снижение искажений выходных сигналов. Способ включает последовательное формирование пространственно-когерентного монохроматического светового...
Тип: Изобретение
Номер охранного документа: 0002579974
Дата охранного документа: 10.04.2016
10.05.2016
№216.015.3c19

Устройство селекции сигналов по частоте

Устройство селекции сигналов по частоте содержит последовательно оптически соединенные лазер, коллиматор, акустооптический модулятор (АОМ) света, первую интегрирующую линзу и пространственный фильтр, а также вторую интегрирующую линзу и линейку фотодиодов. Электрический вход модулятора является...
Тип: Изобретение
Номер охранного документа: 0002583128
Дата охранного документа: 10.05.2016
19.01.2018
№218.016.01b9

Способ контроля защищенности акустической речевой информации, циркулирующей в помещении, от ее утечки по акустическому каналу

Изобретение относится к области аудио- и радиотехники, в частности к защите информации от ее утечки по техническим каналам, и может преимущественно использоваться для контроля защищенности акустической речевой информации, циркулирующей в помещении, от утечки из помещения наружу сквозь оконную...
Тип: Изобретение
Номер охранного документа: 0002629964
Дата охранного документа: 05.09.2017
Показаны записи 1-2 из 2.
10.03.2015
№216.013.30ca

Способ контроля исполнения домашнего ареста с биометрической аутентификацией контролируемого

Изобретение относится к средствам контроля исполнения домашнего ареста. Техническим результатом является повышение надежности автоматизированного контроля исполнения домашнего ареста, а также отказ от необходимости использования браслетов, носимых на руках или на ногах. Способ заключается в...
Тип: Изобретение
Номер охранного документа: 0002543958
Дата охранного документа: 10.03.2015
19.01.2018
№218.015.ff2c

Способ гарантированного обезличивания электронных документов

Изобретение относится к защите персональных данных. Технический результат – эффективная защита персональных данных. Способ гарантированного обезличивания электронных документов пользователя, в котором: создают пару ключей, считывают несколько примеров биометрического образа пользователя, из...
Тип: Изобретение
Номер охранного документа: 0002629445
Дата охранного документа: 29.08.2017
+ добавить свой РИД