Внутренняя структура работы агента
От того насколько правильно спроектирован агент, будет зависеть объем вычислительной нефункциональной нагрузки, которая будет создаваться им, объем дополнительного сетевого трафика. Поскольку непосредственное кодирование агента осуществляется на объектно-ориентированных языках программирования, для разработки проекта агента используются средства унифицированного языка моделирования – UML. Агент реализуется в виде совокупности классов, как показано на рисунке 3.
Главным классом, который сосредотачивает в себе функции управления другими классами и взаимодействует со внешней средой, является класс «Основной модуль».
Каждому агенту в точности соответствует 1 экземпляр данного класса. Единственным свойством данного класса является идентификатор – набор символов, уникально определяющего каждого агента системы. Класс включает в себя два интерфейса. Интерфейс «Поток событий операционной системы» подразумевает взаимодействие агента с операционной системой (ОС) по средствам прикладного программного интерфейса, что позволяет фиксировать различия событий внешней среды: доступ к файлам, запросы на сетевое соединение, запуск приложений, регистрацию пользователей в системе, и т.д. Интерфейс пользователя позволяет авторизированным пользователям управлять работой агента непосредственно через графическое представление агента или командную строку. Основными методами класса являются: «Анализировать события», «Анализировать приоритеты». Анализ события подразумевает фильтрацию потока сообщений об изменениях состояния объектов внешней среды и выявления событий, потенциально влияющих на безопасность. Анализ приоритетов включает в себя последовательный вызов методов классов «Нейронная Сеть» и «МАИ» для вычисления наименьшего опасного состояния защищаемого ресурса.
Класс «Нейронная Сеть» реализует обучаемую нейронную сеть (НС) в виде множества экземпляров «Узел НС» и процедур пересчета сравнений состояний с идеальным последствие при заданных условиях. Для узлов НС, соответствующим атомарным события внешней среды, множество «Родители» будет пустым, а множество «Потомки» включать в себя идентификаторы зависимых узлов. Соответственно, целевые узлы, ассоциируемые с угрозами, будут иметь пустое множество потомков. Свойство «ПрогнозированиеУгроз» класса Нейронная сеть содержит в себе вектор прогнозов атак в зависимости от состояния начальных и вводимых условий в сеть, связанных с целевыми узлами НС. Значение данного вектора являются необходимым условием функционирования класса «МАИ». В качестве свойств данный класс содержит вектора приоритетов критериев, вектора приоритетов угроз по критериям «Ущерб от нерасознавания атаки» и «Ущерб от ложного блокирования нормальной работы». Поскольку эти приоритеты определяются экспертами и не изменяются в ходе работы агента, нет необходимости их пересчитывать. Пересчету подвергаются лишь приоритеты по критерию «Вероятность атаки» и итоговые приоритеты угроз. Итоговый вектор приоритетов содержит все необходимые данные для принятия решения по безопасности, характеризующего минимальными потерями для защищаемого ресурса.
Рис. 3 – Диаграмма классов агента системы ЗИ
Методы «Усилить защиту» и «Ослабить защиту» выполняют набор команд классов «Межсетевой экран» и «Internet Explorer», направленные на увеличение и понижение уровня защищенности соответственно, что достигается простым ужесточением или ослабление правил сравнения системы. Данные классы предоставляют доступ агента к функциям управления как отдельными средствами защиты информации, так и к интегрированным в прикладное ПО механизмам ЗИ. Метод «Запись в журнал ЗИ» осуществляет сохранение сведений о всех выявленных событиях, исходных условий получения события и принятых решениях в журнал защиты информации агента. Вместе с тем основной модуль реализует функции взаимодействия с другими агентами. Для этого используются классы «Сервер общений» и «Клиент сообщений».
Сервер сообщений реализует прослушивание соответствующего порта и прием сообщений от агентов-координаторов или соседних агентов исполнителей. Клиент сообщений осуществляет передачу информации другим агентам через сеть.
Метод «Сканирования журнала МЭ» выполняет анализ записей о выходящих и сходящих TCP/UDP соединение по нескольким портам, пришедшим с одного и того же узла информационной сети. В случае обнаружения такой последовательности порты блокируются с помощью межсетевого экрана, отправляется уведомление администратору безопасности по электиронной почте с использованием метода «Информировать администратора» и модуля SMTP-соединения.
Заключение
При рассмотрении особенностей разработки эффективной структуры интеллектуальной защиты информации на предприятии наиболее удобным и эффективным для автоматизации процесса принятия решения по управлению становится многоагентый подход. Предложенный метод оперативного управления защитой информации позволяет автоматизировать часть функций принятия решений по информационной безопасности, снизить информационные риски и ускорить реакцию системы защиты на изменения состояния информационной системы.
Литература
1. «Обеспечение безопасности локальных сетей», журнал Information Security #3, Артем Дрожжин, 2004 г.
2. Федотов В.Б. Технология многоагентых систем и доступ к распределенным информационным ресурсам. // VII Международная конференция по электронным публикациям (El-Pub 2002), 23-27 сентября 2002 г., г. Новосибирск, Академгородок.
3. Скобелев П.О. Открытые мультиагентные системы для оперативной обработки информации в процессах принятия решений// Дис. ... д-ра техн. наук: 05.13.01 Самара, 2003 418 с. РГБ ОД, 71:04-5/239
4. Царегородцев А.В. Информационная безопасность в управляющих системах. // Издательство "РУДН", 2003 г.
References
1. Artem Droggin. Security of local networks // Information Security №3, 2004.
2. Fedotov V.B. Technology basis agent systems and access to the distributed information resources. // II International conference on electronic publications (El-Pub 2002), on September, 23-27rd, 2002, Novosibirsk, Academgorodok.
3. Skobelev P.O. Opened agents systems for operative processing of the information in decision-making processes//Dis.... Dr.Sci.Tech.: 05.13.01 Samara, 2003 418 with. РГБ ODES, 71:04-5/239
4. Tsaregorodtsev A.V. Information security in operating systems. // Publishing house "RUDN", 2003