33626

Многоагентные системы защиты

Доклад

Информатика, кибернетика и программирование

Многоагентные системы защиты Наиболее наглядной и удобно разрабатываемой является модель в основе которой лежит архитектура базовых агентов многоагентной системы защиты ВС. Многоагентная система – сложная система в которой функционируют два или более интеллектуальных агентов. Под агентом понимается самостоятельная интеллектуальная аппаратнопрограммная система которая обладает рядом знаний о себе и окружающем мире и поведение которой определяется этими знаниями. Таким образом компоненты системы зищиты агенты защиты представляют собой...

Русский

2013-09-06

54 KB

16 чел.

45. Многоагентные системы защиты

Наиболее наглядной и удобно разрабатываемой является модель, в основе которой лежит архитектура базовых агентов многоагентной системы защиты ВС.

Многоагентная система – сложная система, в которой функционируют два или более интеллектуальных агентов.

Под агентом понимается самостоятельная интеллектуальная аппаратно-программная система, которая обладает рядом знаний о себе и окружающем мире и поведение которой определяется этими знаниями.

Таким образом компоненты системы зищиты (агенты защиты) представляют собой интеллектуальные автономные аппаратно-программные комплексы, реализующие определенные функции защиты с целью обеспечения требуемого класса безопасности данных в ВС. Они позволяют реализовать комплексную надстройку над механизмами безопасности используемых сетевых аппаратно-программных средств, повышая защищенность системы до требуемого уровня.

Агенты распределяются по отдельным аппаратно-программным комплексам (серверам или другим сетевым устройствам), и, специализируются по типам решаемых задач и взаимодействуют друг с другом с целью обмена информацией и принятия согласованных решений.

Исходя из вышесказанного в архитектуре распределенной системы защиты выделяются агенты следующих типов: 1) агент разграничения доступа, который ограничивает доступ к данным в соответствии с правами отдельных пользователей путем реализации дискреционных правил разграничения доступа, задающих каждой паре «субъект-объект» разрешенные виды сообщений (чтение, запись, выполнение и др.); 2) агент аутентификации и идентификации, ответственный за идентификацию источников данных и подтверждение их подлинности; 3) агент фильтрации и преобразования потоков сообщений обеспечивает анализ поступающих данных по каким либо критериям; 4) агент регистрации событий обеспечивает сбор данных от отдельных МЭ, их объединение и генерации отчетов; 5) мета-агенты, ответственные за координацию работы системы безопасности, а также централизованное управление различными политиками безопасности из единого места.

Агент разграничения доступа

Агент разграничения доступа реализуется в виде совокупности программно-аппаратных механизмов, которые (рис. 8.1) обеспечивают доступ (полный или ограниченный) субъектов (пользователи вне данной ВС, подсети, сегменте сети) и объектов (станции в составе данной ВС, подсети, сегменте сети). Разграничение доступа описывается посредством строгой модели защиты. На основании полномочий субъекта и свойств объекта данных, записанных в базе полномочий, и характеристик доступа, диспетчер принимает решение разрешить доступ (а если разрешить то какой), либо отказать в нем.

Агент разграничения доступа

Рис. 8.1

В идеале агент разграничения доступа должен отвечать следующим фундаментальным требованиям:

  •  формальная модель защиты – алгоритм принятия решения о доступе, закладываемый в основу СРД, должен базироваться на формальной модели защиты, обеспечивающей возможность математически строгого анализа характеристик безопасности защищаемой вычислительной системы;
  •  верифицируемость – программно-аппаратные механизмы СРД должны быть достаточно доступными, небольшими по объему и хорошо структурированными для того, чтобы была обеспечена возможность их верификации, то есть подтверждения корректности и соответствия логики их функционирования заданной модели защиты;
  •  защищенность механизмов - программно-аппаратные механизмы и информационные структуры СРД должны быть надежно защищены от случайной или преднамеренной модификации;
  •  полнота контроля - СРД должна контролировать все обращения к защищаемому объекту по всем возможным каналам доступа.

Агент аутентификации и идентификации (АИА)

Одним из важных элементов СРД является агент аутентификации и идентификации, ответственный за достоверное опознание (или, как иногда говорят, за подтверждение подлинности) пользователя. В большинстве практических случаев вполне приемлемым может считаться способ аутентификации, основанный на проверке предъявляемого пользователем секретного пароля (признаком является знание человеком некоторого индивидуального секрета). Достоверность процедуры автоматического опознания личности может быть усилена за счет применения дополнительных устройств - электронных и механических ключей различного вида (дополнительный признак - "владение" определенным предметом).

Для этого предлагается положить в основу построения АИА следующую модель аутентификации. Для аутентификации используются услуги, предоставляемые агентами криптографической защиты: вычисление хэш-функций и реализация асимметричного криптографического канала. Хэш-функция позволяет вычислить код аутентификации сообщения (КАС), который обладает свойством уникальности для каждого сообщения. Асимметричный криптографический канал предполагает наличие у источника сообщения пары ключей – секретного ключа, известного только источнику, и открытого ключа, известного всем получателям.

Агент фильтрации и преобразования потоков сообщений

Агент фильтрации и преобразования потоков сообщений выполняется на основе заданного набора правил. Здесь следует различать два вида агентов:

  •  экранирующий агент, ориентированный на анализ потока сообщений для определенных видов сервиса, например, FTP, HTTP, Telnet;
  •  универсальный экранирующий агент, обрабатывающий весь поток сообщений, например, агенты, ориентированные на поиск и обезвреживание компьютерных вирусов или прозрачное шифрование данных.

Агент фильтрации анализирует поступающие к нему пакеты данных и если какой-либо объект не соответствует заданным критерием, то агент либо блокирует его дальнейшее продвижение, либо выполняет соответствующие преобразования, например, обезвреживание обнаруженных компьютерных вирусов. При анализе содержимого пакетов важно, чтобы экранирующий агент мог автоматически распаковывать проходящие файловые архивы.

МЭ с экранирующим агентом позволяют также организовать защищенные виртуальные сети (Virtual Private Network - VPN), например, безопасно объединить несколько локальных сетей, подключенных к Internet, в одну виртуальную сеть. VPN обеспечивают прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемых данных путем их динамического шифрования.

Агент регистрации событий

Агент регистрации событий реагирует на задаваемые события, а также анализ зарегистрированной информации и генерацию отчетов. В качестве обязательной реакции на обнаружение попыток выполнения несанкционированных действий должно быть определено уведомление администратора, т.е. выдача предупредительных событий. Любой брандмауэр, который не способен посылать предупредительные сигналы при обнаружении нападения, не является эффективным средством межсетевой защиты.

Многие межсетевые экраны содержат мощную систему регистрации, сбора и анализа статистики. Учет может вестись по адресам клиента и сервера, идентификаторам пользователя, времени сеанса, времени соединения. Система учета позволяет произвести анализ статистики и предоставляет администраторам подробный отчет.

Мета-агенты

Мета-агент выполняет управление процессами безопасности, обеспечивают координацию поведения агентов и их кооперацию при решении задач безопасности сетей передачи данных, а также ответственны за поддержание требуемого уровня безопасности денных в соответствии с некоторым глобальным критерием.

Мета-агент обеспечивает гибкость распределения функций защиты, позволяя при постоянной допустимой вероятности несанкционированного доступа (НСД) снижать необходимое для защиты время на критичных к оперативности участках функционирования информационной системы, а также минимизировать затрачиваемые на обнаружение НСД ресурсы, например, увеличением глубины разграничения доступа для менее критичных ко времени функциональных процессов.

Структура взаимодействия агентов

Исходя из всего вышесказанного в данной работе разработана структура взаимодействия агентов, которая отображена на рисунке 9.2.

Пакет, поступая на вход системы безопасности в первую очередь передается агенту аутентификации и идентификации, который посылает сообщение мета-агенту, и, прервав свою работу дожидается ответа. Мета-агент в соответствии с записью в БДЗ, принимает решение об уничтожении или передаче пакета дальше, посылает ответ. После получения ответа пакет или уничтожается или передается далее. Но и в том и другом случае посылается сообщение агенту регистрации событий, для выполнения соответствующей записи в журнале отчета. После чего пакет передается на блок фильтрации. Здесь необходимо отметить, что т.к. функции агент разграничения доступа и агента фильтрации частично пересекаются, то их можно объединить в единый блок (что и было выполнено). Обработка пакета этим блоком выполняется аналогично проверке пакета агентом фильтрации и аутентификации, проверкой на данном этапе также управляет мета-агент, в соответствии с записью в БДЗ. После чего пакет или уничтожается или передается на выход системы безопасности, но и том и другом случае выполняется запись в журнале регистрации событий.

Структура взаимодействия агентов

Рис. 8.2.


Запрос на доступ

Ответ на запрос

Субъект {Si}

пользователь

Объект {Оi}

Записи, файлы, программы, система, устройства

Мета-агент

База данных защиты

агент разграничения доступа

агент аутентификации и идентификации

агент фильтрации

агент регистрации событий

Блок фильтрации

Входящий пакет данных

Выходящий пакет данных


 

А также другие работы, которые могут Вас заинтересовать

32018. Диаграммы и способы их применения 552.5 KB
  Такие диаграммы не основаны на числовых данных и используются для более наглядной подачи материала. Организационные диаграммы используют для графического описания иерархических отношений в организациях например между руководителями отделов и сотрудниками. СОЗДАНИЕ ОРГАНИЗАЦИОННОЙ ДИАГРАММЫ Для создания любой диаграммы можно нажать кнопку Добавить диаграмму или организационную диаграмму панели инструментов Рисование или выполнить команду Вставка Схематическая диаграмма.
32019. Методические рекомендации по подготовке, оформлению и защите дипломной работы 347.5 KB
  Цель написания дипломной работы – закрепление и углубление теоретических знаний по избранной специальности и применение их для решения конкретных задач формирование навыков ведения исследовательской работы овладение методикой научного исследования приобретение навыков обобщения и анализа результатов полученных другими исследователями. По уровню выполнения дипломной работы и результатам ее защиты Государственной экзаменационной комиссией ГЭК делается заключение о возможности присвоения выпускнику соответствующей квалификации. ПОРЯДОК...
32020. Управління товарним асортиментом на ПП Біо-Захід 865.5 KB
  Перед тим як товар переходить до кінцевого споживача проходить певний торговотехнологічний процес: постачання товарів організацію та формування асортименту та номенклатури товарів стимулювання збуту сервісне обслуговування позиціонування. Мета даної дипломної роботи полягає у поглибленні знань з питань управління товарною політикою асортиментом та номенклатурою товарів в процесі маркетингової діяльності розробці перспективних шляхів асортиментної та номенклатурної політики ПП БіоЗахід†направлених на корінні зміни в організації...
32021. Пути совершенствования управления геодезическими работами на примере ООО Меркурий 212 KB
  Теоретические основы организации геодезических работ. Понятие и сущность геодезических работ. Виды геодезических работ.
32022. Рассмотрение резервных снижений себестоимости строительно-монтажных работ на строительном предприятии (на примере ЗАО ДСК Блок) 635.5 KB
  Все эти особенности требуют своеобразных организационных форм и дополнительных затрат. Строительство зданий одного и того же типа в раз личных районах страны требует различных затрат материальных ресурсов. Себестоимость строительномонтажных работ представляет собой выраженное в денежной форме затраты на их производство. В себестоимость строительной продукции включаются затраты прошлого овеществленного в средствах производства труда и живого труда работников строительной организации.
32023. Расширение туристической сферы региона путем создания предприятия для развития зеленого туризма 1.29 MB
  ДИПЛОМНАЯ РАБОТА Расширение туристической сферы региона путем создания предприятия для развития зеленого туризма Специальность 7. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ РАСШИРЕНИЯ ТУРИСТИЧЕСКОЙ СФЕРЫ РЕГИОНА ПУТЕМ СОЗДАНИЯ ПРЕДПРИЯТИЯ ЗЕЛЕНОГО ТУРИЗМА 1. Роль и место зеленого туризма в развитии регионов 7 1. Особенности осуществления деятельности в области зеленого туризма...
32024. Построение внутренней сети предприятия на основе продуктов Microsoft и Linux 610.5 KB
  Первой сетевой карте ip-адрес автоматически раздает интернет-провайдер. Вторая сетевая карта (которая смотрит во внутреннею сеть) настроена статично, ip-адрес из зоны 192.168.1.0/255.255.255.0. В рамках такой внутренней сети мы сможем подключить до 253 компьютеров, которые будут свободно обмениваться данными между собой, а так же выходить в интернет.
32025. Формирования лидерских качеств у старшеклассников способом социально-психологических тренингов 345 KB
  Лидер как член группы который выдвигается в результате взаимодействия ее членов ведет группу стимулирует достижение группой ее целей организует планирует и управляет деятельностью группы проявляя при этом более высокий чем все остальные члены группы уровень участия и влияния то есть уровень активности Н. Жеребова; как член социальной группы чей авторитет власть или полномочия безоговорочно признаются остальными членами данной группы и которому они добровольно подчиняются находясь под прямым или косвенным его психологическим...