ОСНОВЫ ИНФОРМАЦИОННОЙ ТЕХНОЛОГИИ ИНТЕЛЛЕКТУАЛЬНОГО ПРОТИВОДЕЙСТВИЯ

Массовое распространение компьютерных вирусов и других деструктивных программ привели к тому, что вопрос о создании совершенных средств противодействия и защиты приобретает новое качество. Это уже не просто вопрос о сохранности чьих-то данных, а вопрос победы или поражения в информационной войне. Согласно мнению ряда зарубежных экспертов, государство, проигравшее в информационной войне, будет отброшено в своем развитии на многие десятилетия. Поэтому вопрос победы или поражения в информационной войне – это вопрос жизни или смерти государства, подвергшегося информационной агрессии.

Массовое распространение компьютерных вирусов и других деструктивных программ привели к тому, что вопрос о создании совершенных средств противодействия и защиты приобретает новое качество. Это уже не просто вопрос о сохранности чьих-то данных, а вопрос победы или поражения в информационной войне. Согласно мнению ряда зарубежных экспертов, государство, проигравшее в информационной войне, будет отброшено в своем развитии на многие десятилетия. Поэтому вопрос победы или поражения в информационной войне – это вопрос жизни или смерти государства, подвергшегося информационной агрессии.

Сегодня уже ясно, что традиционные методы построения систем защиты информации не принесут желаемого результата. Надо искать принципиально новые подходы к решению этой проблемы.

В ходе проведения работ по теме диссертационного исследования в качестве такого нового подхода была апробирована гипотеза функционального и структурного подобия иммунной системы человека и системы обнаружения вторжений и реагирования в компьютерные системы.

Считается, что сегодня уже разработан ряд алгоритмов, позволяющих писать вирусы, которые принципиально нельзя будет обнаружить ни одним из существующих способов ни сегодня, ни в ближайшем будущем. Многие отмечают, что получить произвольным образом самомодифицирующийся код просто невозможно, по крайней мере - для архитектуры Intel. В любом случае существуют жесткие рамки, которые позволяют одну и ту же операцию реализовать ограниченным числом способов, которые известны заранее, что дает, в принципе, возможность перечислить все ключевые фрагменты вирусов, а это позволит их безошибочно распознавать. Несмотря на сложность, это вполне осуществимая задача.

Однако если предположить, что архитектура процессора может быть произвольной, или даже синтезируемой динамически в процессе выполнения, как это сделано в работе. Достаточно написать эмулятор соответствующего процессора – некоторую виртуальную машину, которая будет выполнять код вируса, построенный на определенных принципах. Что важно - реализация виртуальной машины может быть произвольной. Учитывать надо и то, что есть возможность автоматической генерации эмуляторов.

Вирус, написанный на виртуальной машине, требует очень много времени для анализа традиционными методами. Если такие вирусы распространяться, то вряд ли существующая антивирусная промышленность сможет с ними эффективно бороться. Большинство специалистов считает, что это вполне закономерно. Вирусы рано или поздно должны были усложниться до той степени, когда несколько специалистов при помощи «ручного» анализа уже ничего не смогут сделать. Естественно, необходимо предложить средства автоматической борьбы с такого рода деструктивными программами. Вопрос заключается в том, на каких принципах должна базироваться такая антивирусная система? Ответ оказывается удивительно простым – на принципах иммунной системы человека. Действительно, в нашем организме функционирует превосходная система, способная бороться с миллиардами болезнетворных антигенов.

О некоторых основах иммунитета

Иммунная система выработалась в процессе эволюции как средство защиты от заражения микроорганизмами. Все позвоночные (в том числе и человек) имеют иммунную систему. У беспозвоночных защитные системы более примитивны: обычно их основу составляют фагоцитирующие клетки, растворяющие болезнетворные антигены.

Высокая специфичность - фундаментальная особенность всех иммунных реакций. Способность отличать чужое от своего - второе фундаментальное свойство иммунной системы. Почти любая макромолекула, чуждая организму реципиента, может вызвать иммунный ответ. Вещество, способное вызвать иммунный ответ, называют антигеном (т.е. генератором антител). Самое удивительное в том, что иммунная система может различать даже очень сходные антигены, например два белка, различающиеся только одной аминокислотой. Это и послужило в качестве побудительного мотива при выборе гипотезы формирования нового подхода к обеспечению информационной безопасности.

Поразительная способность к узнаванию делает иммунную систему почти уникальной среди клеточных систем; более сложной оказывается только нервная система. Обе системы состоят из очень большого числа клеток, организованных в сложные сети. В пределах такой сети между отдельными клетками возможны как положительные, так и отрицательные взаимодействия, причем ответ одной клетки распространяется в системе и сказывается на многих других клетках. Сегодня установлено, что, в отличие от нейронов, относительно жестко фиксированных в пространстве, клетки, составляющие иммунологическую сеть, непрерывно перемещаются и лишь кратковременно взаимодействуют друг с другом.

Используя эту аналогию и возможности агентно-ориентированного программирования, можно решать весьма разнообразные задачи по выявлению вторжений и организации реагирования на компьютерные инциденты.

Существует два основных типа иммунных ответов: гуморальные ответы и иммунные ответы клеточного типа.

Гуморальные ответы связаны с выработкой антител - белков, называемых также иммуноглобулинами. Связывание с антителами деактивирует вирусы. Связанные антитела служат метками для микроорганизмов, подлежащих уничтожению.

Эта аналогия будет использована нами при создании метода обнаружения вторжений, основанного на контроле изменения бинарных строк программного кода.

Иммунный ответ клеточного типа - второй вид иммунных реакций состоит в образовании специализированных клеток, реагирующих с чужеродным антигеном на поверхности других собственных клеток организма. Реагирующая клетка может убить собственную клетку, зараженную вирусом и имеющую на своей поверхности вирусные белки, тем самым, уничтожая инфицированную клетку до завершения процесса репликации. В других случаях реакция клетки состоит в генерации химических сигналов, стимулирующих разрушение внедрившихся микроорганизмов макрофагами. Данная аналогия пока не задействована в модели, но предполагается в качестве одного из перспективных направлений исследований.

За специфичность иммунного ответа ответственны лимфоциты - одна из групп лейкоцитов. Общее число лимфоцитов в организме человека составляет около 2 1012, по клеточной массе иммунная система человека сравнима с головным мозгом. Два основных класса иммунных реакций определяются двумя различными классами лимфоцитов: Т-клетки ответственны за клеточный иммунитет, а В-клетки вырабатывают антитела.

Большая часть Т-лимфоцитов играет в иммунитете регулирующую роль, усиливая или подавляя реакции других лейкоцитов. Эти клетки, называемые соответственно Т-хелперами и Т-супрессорами, объединяют в группы регуляторных клеток. Другие Т-лимфоциты, которые называют цитотоксическими Т-клетками, убивают клетки, инфицированные вирусами. Поскольку и цитотоксические Т-лимфоциты, и В-лимфоциты непосредственно участвуют в защите организма от инфекции, эти два типа лимфоцитов объединяют под названием эффекторных клеток.

Самое поразительное свойство иммунной системы - то, что она может высокоспецифичным образом реагировать на миллионы чужеродных антигенов, вырабатывая антитела, специфически взаимодействующие с антигеном, который вызвал их образование. Весьма интересен тот факт, что иммунная система способна вырабатывать антитела к молекулам, созданным человеком и не существующим в природе. Этот и ряд других интересных фактов удалось объяснить при помощи так называемой "теории клональной селекции". Согласно вышеназванной теории, каждый лимфоцит в процессе своего развития приобретает способность реагировать с определенным антигеном, еще ни разу с ним не встретившись. Это обусловлено тем, что на поверхности клетки появляются белки-рецепторы, которые специфически соответствуют какому-то антигену. Если клетка встретится с таким антигеном, то его связывание с рецепторами активирует клетку - вызовет ее размножение и созревание ее потомков.

Таким образом, чужеродный антиген селективно стимулирует те клетки, у которых окажутся подходящие ему специфические рецепторы и которые поэтому неизбежно будут реагировать именно на этот антиген.

Те участки антигена, которые взаимодействуют с антигенсвязывающим участком молекулы антитела или же рецептора на лимфоците, называются антигенными детерминантами.

Большая часть лимфоцитов находится в непрерывной циркуляции. Постоянная циркуляция не только обеспечивает встречу соответствующих лимфоцитов с антигеном, но также позволяет нужным лимфоцитам встретиться друг с другом: взаимодействия между специфическими лимфоцитами играют решающую роль в большинстве иммунных ответов.

Иммунная система также как и нервная, обладает памятью. Именно поэтому возможно приобретение пожизненного иммунитета к некоторым болезням.

Каким образом иммунная система отличает собственные клетки организма от "чужих". Одна из возможных причин состоит в том, что организм наследует гены, кодирующие рецепторы для чужих, но не для собственных антигенов, и поэтому его иммунная система запрограммирована таким образом, чтобы отвечать только на чужеродные антигены.

Другая причина состоит в том, что иммунная система первоначально могла быть способна отвечать и на свои, и на чужие антигены, но в раннем периоде развития могла обучиться не отвечать на свои. Таким образом, иммунная система потенциально способна реагировать на антигены собственного организма, но обучается не делать этого.

Полагают, что обучение иммунной системы проходит путем уничтожения лимфоцитов, реагирующих на антигены собственного организма.

Антитела представляют собой белки, а белки кодируются генами. Поэтому разнообразие антител ставит сложную генетическую проблему: каким образом число видов вырабатываемых антител может превышать число генов в геноме организма? Одним из важных моментов, касающийся создания многообразия антител, заключается в том, что в ходе развития В-клеток ДНК организма подвергается перестройке.

Экспериментально показано, что частота соматических мутаций в генных последовательностях, кодирующих V-области оценивается в 10-3 на одну пару нуклеотидов, что примерно в миллион раз чаще спонтанного мутирования в других генах. Этот процесс получил название соматического гипермутирования. При этом в V-областях после повторной иммунизации быстро накапливаются точечные мутации.

Направляемое антигеном соматическое гипермутирование осуществляет тонкую подстройку образования антител в результате созревания сродства. Таким образом, созревание сродства - это результат повторяющихся циклов соматического гипермутирования, за которым следует направляемая антигеном селекция в процессе гуморального ответа.

Антитела не только защищают организм от инфекций, но играют важную роль в регуляции самих иммунных ответов. Подобно нейронам в нервной системе, многие лимфоциты, возможно, в большей степени взаимодействуют друг с другом, чем с окружающим миром, и тогда иммунный ответ можно было бы рассматривать не как ответ независимых реагирующих с антигеном лимфоцитов, а как реверберирующее возмущение иммунологической сети. Размеры такой идиотопической сети в принципе могут быть огромными.

Об организации системы обнаружения вторжений и реагирования на базе информационной технологии интеллектуального противодействия

Как отмечалось выше, важнейшим концептуальным положением гарантированной защиты информации является требование адаптируемости системы ведения информационного противоборства к среде ее функционирования или способности к целенаправленному приспособлению при изменении характера дестабилизирующих факторов и угроз, а также структуры, технологических схем и условий функционирования компьютерной системы. Если система защиты информации реагирует на воздействие среды структурными изменениями, восстанавливающими порядок в ее функционировании, и данный процесс сопровождается ее переходом на более высокую степень организации, то она обладает способностью к саморазвитию и самоорганизации.

Именно этим, ключевым для систем информационной борьбы и обладает иммунная система организма.

Синергетическая концепция структуры механизмов управления защитой информации включает два контура: контур «оперативной информации», или авторегуляции, как контур реакции системы защиты на каждый единичный акт воздействия (атаки) на компьютерную систему с целью сохранения ее устойчивости (защищенности) в данный момент; и контур «структурной информации» как контур отбора и запоминания множества «следов» воздействия (атак) на компьютерную систему, контур накопления разнообразия и его формирования в определенную структуру. Механизм управления самоорганизующихся систем отличается наличием второго контура обратных связей и органов памяти. Во втором контуре осуществляется отбор полезной информации из первого контура обратных связей: эта информация накапливается, формирует опыт, знания, анализируется и синтезируется в определенные структуры, повышая уровень организации, активность и живучесть системы.

В разработанной технологии первый контур (контур «оперативной информации») реализуется с использованием стохастических нейронных сетей, на которых решается тот или иной вид задачи распознавания образов.

Более сложные задачи по выработке вариантов решений, а также по накоплению и обобщению информации решаются во втором слое (контуре «структурной информации»), который в предложенной технологии реализован на основе М-сетей.

Важной особенностью описываемого подхода является то, что все три уровня реализованы на основе единого технологического подхода с использованием мобильных программ-агентов и искусственных нейронных сетей.

Сергей Гриняев

источник