Способ определения уязвимостей программного обеспечения, формирующих условия для нарушения безопасности информации в информационной системе вследствие компьютерной атаки

Авторы патента:

G06F21/57 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

G06F17/16 - матричные или векторные вычисления

Владельцы патента RU 2783224:

Федеральное автономное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (RU)

Изобретение относится к области защиты информации. Техническим результатом является повышение эффективности формирования перечня уязвимостей информационных систем, эксплуатация которых может привести к нарушению безопасности информации в информационных системах. Способ определения уязвимостей программного обеспечения, формирующих условия для нарушения безопасности информации в информационной системе вследствие компьютерной атаки, заключается в том, что формируют набор типов термов известных техник компьютерных атак (далее – техник) и уязвимостей, определенных путем анализа описаний техник и уязвимостей; определяют веса каждого типа термов экспертным методом; формируют упорядоченный вектор типов термов с учетом их веса; формируют векторные представления каждой техники и уязвимости, входящих в сформированный набор, представленных в виде значений типов термов; вычисляют меры сходимости описаний техник и уязвимостей с целью определения их тождественности; формируют перечень уязвимостей, необходимых для реализации компьютерной атаки, на основе вычисленных мер сходимости описаний техник и уязвимостей. 1 ил.

ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ

Изобретение относится к области защиты информации, обрабатываемой в информационной системе, и может быть использовано для определения перечня уязвимостей программного обеспечения (далее - уязвимости) информационной системы (далее - ИС), необходимых для реализации компьютерной атаки на ИС, проведение которой может привести к нарушению безопасности информации в этой системе.

УРОВЕНЬ ТЕХНИКИ

В современном мире, согласно нормативным правовым актам и результатам анализа компьютерных инцидентов, угрозы безопасности информации представляют уже не единичное действие нарушителя по эксплуатации уязвимости для достижения своих деструктивных целей, а многоэтапное продвижение нарушителя по ИС путем применения различных технических приемов (техник).

Угрозы безопасности информации реализуются компьютерными атаками, которые представляют собой упорядоченную последовательность действий нарушителя для достижения деструктивных целей, связанных с нарушением безопасности информации, в информационной или автоматизированной системе управления. Каждая компьютерная атака реализуется по определенному сценарию, который представляет собой описание порядка выполнения действий нарушителя. При этом часть действий нарушителя реализуется техниками, связанными с эксплуатацией уязвимостей. В настоящее время сведения об известных уязвимостях и техниках могут быть получены из различных баз данных уязвимостей, угроз и эксплойтов, баз знаний о тактиках и техниках, сайтов производителей программного обеспечения и прочих источников. Однако эти источники не предоставляют какой-либо информации о связях между записями об уязвимостях и техниках. Кроме того, в открытом доступе отсутствуют автоматизированные программные средства, позволяющие определять сведения о возможных техниках нарушителя, связанных с эксплуатацией определенных уязвимостей, и реализуемых при этом компьютерных атаках. Таким образом, определение техник на основе сведений об известных уязвимостях для конкретной ИС и формирование сценариев компьютерных атак производится вручную путем последовательного анализа информации о каждой выявленной уязвимости, что является весьма трудоемкой задачей. Наиболее близким к заявляемому способу является метод, основанный на применении аппарата нейросетевых технологий для определения актуальных угроз безопасности информации ИС [1]. Данный метод предназначен для автоматизации процедуры получения сведений об актуальных для ИС угрозах на основе данных об уязвимостях ИС. В качестве исходных данных для обучения нейронных сетей используются сведения об уязвимостях, содержащиеся в банке данных угроз безопасности информации ФСТЭК России (далее - банк данных).

Недостатками данного метода является необходимость создания обучающих выборок на основе экспертных методов, причем специалисты, составляющие исходные данные, должны обладать глубокими знаниями в области информационной безопасности, построения информационных систем и систем защиты информации. Кроме того, в разработанном способе [1] предполагается создание искусственных нейронных сетей для каждой угрозы, что является, во-первых, трудоемкой задачей, решение которой требует специальных знаний в области нейросетевых технологий, во-вторых, решается эта задача путем разработки специальных программных средств.

РАСКРЫТИЕ ИЗОБРЕТЕНИЯ

Задачей изобретения является разработка способа, позволяющего автоматизировать процедуру определения перечня уязвимостей ИС, необходимых для реализации компьютерной атаки на ИС, проведение которой может привести к нарушению безопасности информации в этой системе.

Технический результат, на достижение которого направлено предлагаемое изобретение, заключается в снижении сложности и трудоемкости процесса формирования перечня уязвимостей ИС, эксплуатация которых может привести к нарушению безопасности информации в ИС.

Указанный результат достигается путем реализации способа определения перечня уязвимостей на основе применения векторной модели их описаний и включает в себя этапы, на которых:

формируют набор типов термов техник и уязвимостей, определенных путем анализа их описаний;

определяют веса каждого типа термов экспертным методом;

формируют упорядоченный вектор типов термов с учетом их веса;

формируют векторное представление техники и уязвимости, представленных в виде значений типов термов;

вычисляют меру сходимости описаний техники и уязвимости с целью определения их тождественности. Мера сходимости необходима для сравнения текстов описаний уязвимостей и техник, определения их тождественности и зависит от результата логического сравнения значений типов термов уязвимости и значений весов соответствующих типов термов;

формируют перечень уязвимостей, необходимых для реализации компьютерной атаки.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ

На фиг. 1 представлена блок-схема последовательности операций, иллюстрирующая способ определения уязвимостей, формирующих условия для нарушения безопасности информации в ИС вследствие компьютерной атаки, на основе векторной модели.

На этапе 1 формируют набор типов термов техник и уязвимостей, определенных путем анализа их описаний, по которым можно установить их соответствие. К набору типов термов для уязвимостей и техник отнесены: вектор доступа; деструктивное действие; последствие; тип программного обеспечения; причина существования; объект воздействия; аутентификация; инструмент; условие существования уязвимости; информационная технология; действия источника УБИ; способ реализации; действия пользователей (жертв).

Каждый из этих типов термов не является обязательным в описании каждой уязвимости или техники, но каждый имеет свою определенную значимость. Порядок, в котором представлены типы термов выше, составлен на основе важности слова для идентификации данного текста в описании по убыванию. Важность определена экспертным путем. Определено, что установить тождественность последствий, к которым может привести эксплуатация уязвимости и реализация техники (действия) и угрозы БИ, наиболее важно, чем прохождение процедуры аутентификации.

Таким образом, все типы термов, которые встречаются в описаниях упорядочены. Формально вектора, которые являются представлениями описаний уязвимости и техники в векторном пространстве, состоящие из всех типов термов, выписанных по порядку убывания веса, включая те, которые не встречаются, можно представить в следующем виде:

где d - векторное представление описания уязвимостей и техник,

Tt_n - переменная, обозначающая тип терма,

n - общее количество типов термов.

На этапе 2 определяют веса каждого типа термов экспертным методом. Наибольшую значимость имеют те типы термов, значения которых встречаются наиболее часто в описаниях уязвимостей и техник. Частота встречаемости определена в ходе анализа этих описаний на этапе 1. Самый большой вес имеют типы термов «вектор доступа», «деструктивное действие» и «последствие», значение которых принимается равным 1, а самый низкий вес имеют такие типы термов как «действия источника УБИ», «способ реализации», «действия пользователей (жертв)» - 0,1.

На этапе 3 формируют упорядоченный вектор типов термов с учетом их веса.

Для каждого типа терма определен весовой коэффициент, определяющий его значимость в процессе сопоставления уязвимости и техники, который определяется вектором:

где d_w - векторное представление весовых коэффициентов описаний уязвимости и техники,

w_n - весовой коэффициент типа терма Th_n, принимает значения от 0 до 1;

n - общее количество типов термов.

На этапе 4 формируют векторное представление техники и уязвимости, представленных в виде значений типов термов. Векторное представление техники может быть представлено в следующем виде:

Векторное представление уязвимости может быть представлено в следующем виде:

На этапе 5 вычисляют меру сходимости описаний техники и уязвимости с целью определения их тождественности. Располагая векторным представлением для техник и уязвимостей, определяется их тождественность путем вычисления меры сходимости по следующей формуле:

Для анализируемой техники считается мера сходимости с каждой известной уязвимостью.

На этапе 6 формируют перечень уязвимостей, необходимых для реализации компьютерной атаки. Для той уязвимости, для которой мера сходимости окажется максимальной, определяется однозначное установление тождественности. Таким образом, определяется перечень уязвимостей, необходимых для реализации компьютерной атаки, состоящей из известной последовательности техник, выполняемых нарушителем.

Заявляемый способ проверен экспериментально в лабораторных условиях.

Предлагаемое техническое решение является новым, поскольку из общедоступных сведений не известен способ определения потенциальных уязвимостей ИС, использующий:

анализ описаний, представленных в вербальном виде, с последующим формированием отличительных признаков - типов термов;

формирование векторного представления описаний техник и уязвимостей;

вычисление меры сходимости для определения однозначного соответствия.

Предлагаемое техническое решение промышленно применимо, поскольку для его реализации может быть использовано стандартное компьютерное оборудование и программное обеспечение, выпускаемое промышленностью и имеющееся на рынке.

Достоинства предлагаемого изобретения заключаются в следующем:

реализация способа позволяет в ручном или автоматизированном режиме решать трудоемкую задачу по получению сведений о потенциальных уязвимостях ИС, которые необходимы для реализации компьютерной атаки на ИС;

предлагаемый способ позволяет однозначно определять тождественность уязвимостей и техник нарушителя, из которых состоит компьютерная атака, что позволяет выстраивать эффективную защиту ИС путем устранения уязвимостей, эксплуатация которых может привести к нарушению безопасности информации;

реализация способа может быть осуществлена без финансовых затрат, поскольку для его реализации может быть использовано свободно распространяемое программное обеспечение.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Предлагаемое изобретение поясняется чертежами и графическими изображениями, на которых показаны:

на фиг. 1 - блок-схема последовательности операций, иллюстрирующая способ определения уязвимостей.

Список литературы:

1. Мамута В.В., Соловьев С.В. Способ определения потенциальных угроз безопасности информации на основе сведений об уязвимостях программного обеспечения // Патент России №2705460, 2019 (заявка №2019107861 от 19.03.2019).

Способ определения уязвимостей программного обеспечения, формирующих условия для нарушения безопасности информации в информационной системе вследствие компьютерной атаки, отличающийся тем, что с целью определения перечня уязвимостей, формирующих условия для нарушения безопасности информации в информационной системе вследствие компьютерной атаки, осуществляют следующую последовательность действий:

формируют набор типов термов известных техник компьютерных атак (далее – техник) и уязвимостей, определенных путем анализа описаний техник и уязвимостей;

определяют веса каждого типа термов экспертным методом;

формируют упорядоченный вектор типов термов с учетом их веса;

формируют векторные представления каждой техники и уязвимости, входящих в сформированный набор, представленных в виде значений типов термов;

вычисляют меры сходимости описаний техник и уязвимостей с целью определения их тождественности;

формируют перечень уязвимостей, необходимых для реализации компьютерной атаки, на основе вычисленных мер сходимости описаний техник и уязвимостей.

Изобретение относится к области вычислительной техники для анализа двоичных исполняемых файлов и исходного кода с использованием нечеткой логики. Технический результат заключается в снижении количества ложноположительных и ложноотрицательных результатов и обеспечении функций для устранения обнаруженных уязвимостей и ошибок.

Генерирование биометрической цифровой подписи для верификации личности // 2783069

Изобретение относится к системе и способам верификации личности. Техническим результатом является повышение уровня безопасности биометрической цифровой подписи пользователя.

Способ и устройство для идентификации личности для авторизации с опорной точкой и сервер // 2782842

Изобретение относится к способу и устройству для авторизованного распознавания личности с опорной точкой и серверу. Технический результат состоит в упрощении и эффективности распознавания личности.

Система обнаружения компьютерных атак с адаптивным изменением комплексных правил // 2782711

Изобретение относится к области информационных технологий, в частности к информационной безопасности, а именно к средствам мониторинга информационной безопасности и обеспечивает контроль трафика и предотвращение компьютерных атак. Технический результат заключается в снижении времени проверки системой мониторинга проверяемых пакетов потока данных.

Способ защиты вычислительных сетей от компьютерных атак, направленных на различные узлы и информационные ресурсы // 2782704

Изобретение относится к области обеспечения безопасности сетей связи и может быть использовано в системах обнаружения атак. Техническим результатом является повышение защищенности вычислительных сетей от компьютерных атак за счет прогнозирования развития воздействий во времени на различные узлы и информационные ресурсы, формирования правил фильтрации для текущей атаки и опережающей передачи их на узлы вычислительной сети в направлении вектора воздействий.

Система надежного облачного хранения с регулируемой избыточностью данных // 2782681

Изобретение относится к вычислительным системам. Техническим результатом данного изобретения является повышение надежности облачного хранения (полиномиальной СОК) и возможность регулирования избыточности.

Устройство и способ для определения патологии органов грудной клетки на основе рентгеновских изображений // 2782518

Изобретение относится к области обработки изображений и, более конкретно, к устройству и способу для определения патологии на основе анализа рентгеновских изображений. Предложено устройство, которое содержит: блок для подлежащих обработке данных, содержащих рентгеновское изображение органов грудной клетки; блок для подготовки изображения, содержащегося в подлежащих обработке данных, для использования нейронной сетью посредством выполнения над ним одного или более предварительных преобразований; блок предсказания патологии для определения наличия или отсутствия патологии на изображении с использованием упомянутой нейронной сети; блок для формирования отчета об исследовании, проведенном в данном устройстве; и блок для передачи отчета в устройство, запрашивавшее обработку данных.

Способ и компьютерная система обработки скважинных данных // 2782505

Изобретение относится к области автоматизированного анализа и обработки скважинных данных, получаемых в процессе и после бурения. В соответствии с предлагаемым способом собирают исходные скважинные данные, содержащие по меньшей мере один тип данных, выбранных из группы, содержащей данные, характеризующие процесс бурения и представляющие собой результаты измерений с датчиков, расположенных на поверхности, и данные каротажа в каждый момент времени.

Способ и сервер для обучения алгоритма машинного обучения ранжированию объектов // 2782502

Изобретение относится к вычислительной технике. Технический результат заключается в оптимизации качества ранжирования объектов алгоритмом машинного обучения в ответ на поисковый запрос.

Устройство обработки информации, способ обработки информации и программа // 2782175

Изобретение относится к технологиям обработки информации относительно мест для курения. Технический результат – повышение точности при определении зон для курения.

Скалярно-векторный процессор // 2781355

Настоящее техническое решение относится к области микропроцессорной вычислительной техники. Технический результат заключается в повышении скорости работы и объема обрабатываемых данных за счёт параллельных скалярных и векторных вычислений.