Учебники 80371

Дополнительный вход и соответствующий ему вес используются для инициализации нейрона, то есть для смещения активационной функции нейрона по горизонтальной оси и формирования таким образом порога чувствительности нейрона. Использование различных передаточных функций позволяет вносить нелинейность в работу нейрона и в целом нейронной сети. Простейшая нейронная сеть показана на рис. 5.23.

Входные

нейроны

Рис. 5.23. Схема простой нейронной сети

Однако простейшая нейронная сеть не позволяет создавать программные биометрические автоматы, ориентированные на применение высоконадежной биометрической аутентификации в сетях общего пользования.

Фактически биометрические параметры пользователя должны быть связаны с его уникальным криптографическим ключом или длинным паролем доступа. Если при доступе к своей информации человек имеет ключ или пароль, состоящие из 256 бит, то необходимо иметь нейронную сеть с 256 выходами. При этом входной биометрический образ «Свой» должен порождать на выходах ней-

521

ронной сети нужный код доступа. Если же средством биометрической аутентификации хочет воспользоваться «Чужой», то его образ должен породить на выходах нейронной сети случайный код. Блок-схема такого нейросетевого преобразователя «биометрия-код приведена на рис. 5.24.

Нейронные сети не программируются в привычном смысле этого слова, они обучаются. Возможность обучения — одно из главных преимуществ нейронных сетей перед традиционными алгоритмами. Технически обучение заключается в нахождении коэффициентов связей между нейронами. В процессе обучения нейронная сеть способна выявлять сложные зависимости между входными данными и выходными, а также выполнять обобщение. Это значит, что в случае успешного обучения сеть сможет вернуть верный результат на основании данных, которые отсутствовали в обучающей выборке, а также неполных и/или «зашумленных», частично искаженных данных.

При создании программных биометрических автоматов по блок-схеме рис. 5.24 хакеры, пытающиеся исследовать программу, сталкиваются с проблемой перебора возможных состояний кода ключа, а это является вычислительно сложной задачей. При этом хакеры не видят сам биометрический образ, так как он размещен в нейросетевом контейнере, а код доступа подобрать не могут из-за высокой вычислительной сложности этой задачи.

В связи с этим имеются предпосылки для создания программных автоматов, способных защищать личную информацию пользователей в сетях общего пользования, в том числе в сети Интернете. Требования к таким автоматам изложены в пакете национальных стандартов ГОСТ Р

52633.хх [65, 68].

522

Рис. 5.24. Блок-схема преобразователя «биометрия-код», построенного с использованием многослойной нейронной сети с большим числом входов и выходов

523

5.6. DLP-системы, их возможности и перспективы применения

Возможность несанкционированной передачи информации из локальных и корпоративных сетей во внешние сети, особенно, с использованием скрытых каналов, обусловил необходимость поиска решений по обнаружению и блокированию такой передачи. В результате появились специализированные системы защиты от утечек конфиденциальной информации или DLP-системы

(Data Loss Prevention - DLP), предназначенные для отсле-

живания и блокирования попыток несанкционированной передачи данных за пределы защищаемой сети, подключенной к внешним сетям (как правило, сетям общего пользования).

Помимо предотвращения утечек информации DLPсистема может выполнять функции по отслеживанию действий пользователей, записи и анализу их коммуникаций через электронную почту, социальные сети, чаты и т.д. Использование DLP-систем наиболее актуально для организаций, где риск утечки конфиденциальной информации повлечет серьезный финансовый или репутационный ущерб, а также для организаций, которые настороженно относятся к лояльности своих сотрудников.

При использовании традиционных (штатных) каналов передачи данных DLP-системы должны выполнять следующие основные функции:

контроль передачи информации через Интернет с ис-

пользованием E-Mail, HTTP, HTTPS, FTP, Skype, ICQ

и других приложений и протоколов;

контроль сохранения информации на внешние носители - CD, DVD, flash, мобильные телефоны и т.п.;

524

защита информации от утечки путем контроля вывода данных на печать;

блокирование попыток пересылки/сохранения конфиденциальных данных, информирование администраторов безопасности информации об инцидентах, создание теневых копий, использование карантинной папки;

поиск конфиденциальной информации на рабочих станциях и файловых серверах по ключевым словам, меткам документов, атрибутам файлов и цифровым отпечаткам;

предотвращение утечек информации путем контроля движения конфиденциальных сведений.

Внастоящее время в России используется значительное количество DLP-систем, основанных на различных технологиях обнаружения несанкционированной передачи информации (табл. 5.13) [69]. Этими DLP-системами могут контролироваться как разные сетевые каналы (табл. 5.14), так и локальные устройства (табл. 5.15) [69].

525

Таблица 5.13 Примеры применяемых в России DLP-систем и используемые в них технологии

обнаружения несанкционированной передачи информации

526

Таблица 5.14 Каналы несанкционированной передачи информации, которые могут

контролироваться с использованием DLP-систем

527

Таблица 5.15 Локальные устройства, которые могут контролироваться с использованием DLP-систем

528

Возможности DLP-систем сегодня активно расширяются и, прежде всего, в направлении выявления скрытых каналов передачи данных (см. раздел 3.7).

Для защиты от несанкционированной передачи с использованием СК по памяти с сокрытием информации в структурированных данных можно выделить не-

сколько основных методов:

нормализация структур данных – приведение элементов данных в составе структур данных в соответствие с заданными правилами формирования структур, в том числе приведение размеров служебных полей (длин структур данных) в соответствие с реальным объёмам передаваемых данных, очистка (обнуление) неиспользуемых элементов (полей) данных;

проверка полей данных – поиск ключевых слов по словарям и аномальных числовых или символьных последовательностей в основных полях данных, тестирование на отсутствие ошибок в адресных и других хорошо описанных полях данных;

фильтрация потока данных по уровням модели OSI обособленными, доверенными инструментами. Например, соединения TCP для подключения к HTTP-ресурсам должны выполняться через доверенный прокси-сервер, самостоятельно формирующий пакеты протокола TCP;

отказ от избыточной поддержки протоколов обмена данными, замена более уязвимых способов доступа к внешним ресурсам на более защищённые. Например, отказ от пропуска пакетов ICMP, NTP, SMB и тому подобных через шлюзы; отключение неиспользуемых в допустимых (раз-

529

решённых) каналах протоколов; упаковка потока данных в защищённые каналы с шифрованием (например, через SSL-соединения) с целью минимизации разнообразия структур данных, используемых при передаче по открытым каналам; противодействие попыткам организации соединений типа «точка-точка».

Внастоящее время отсутствуют сведения о существующих и готовых к использованию средствах защиты от угроз безопасности информации, основанных на СК с использованием сокрытия информации в структурированных данных, за исключением сведений о блокировке потоков данных по протоколу ICMP и выдаче сообщения «Detected covert channel exploit in ICMP packet» модулем «Personal Firewall Active Defense System», входящим в состав про-

граммного пакета «ESET Smart Security», при обнаружении фрагментированных пакетов ICMP [70].

Вскрытых каналах, основанных на сокрытии информации в неструктурированных данных, для скры-

тия информации используются преимущественно стеганографические преобразования (см. раздел 3.7.2). При этом пока нет возможности выделить набор общих методов защиты от утечки с использованием таких СК. В каждом конкретном случае используются алгоритмы анализа, специфичные для каждого из методов сокрытия с применением стеганографических преобразований.

Наименование и классификация методов защиты от несанкционированной передачи информации по СК с использованием стеганографических преобразований приведены на рис. 5.25. Суть основных методов обнаружения стеганографических преобразований сводится к следующему.

530