ПРЕДЛОЖЕНИЯ  ПО  ОНТОЛОГИЧЕСКОМУ  ПРЕДСТАВЛЕНИЮ  И  ГИБРИДНОМУ  ХРАНЕНИЮ  ДАННЫХ  О  СОБЫТИЯХ  БЕЗОПАСНОСТИ  В  АСУ  ЖЕЛЕЗНОДОРОЖНОГО  ТРАНСПОРТА

Котенко  Игорь  Витальевич

д-р  техн.  наук,  профессор,  зав.  лабораторией  проблем  компьютерной  безопасности  Санкт-Петербургского  института  информатики  и  автоматизации  РАН  (СПИИРАН),  РФ,  г.  Санкт-Петербург

E-mail:  ivkote@comsec.spb.ru

Саенко  Игорь  Борисович

д-р  техн.  наук,  профессор,  вед.  научн.  сотрудник  лаборатории  проблем  компьютерной  безопасности  Санкт-Петербургского  института  информатики  и  автоматизации  РАН  (СПИИРАН),  РФ,  г.  Санкт-Петербург

E-mail:  ibsaen@comsec.spb.ru

THE  PROPOSALS  ABOUT  ONTOLOGICAL  REPRESANTATION  AND  HYBRID  DATA  STORAGE  FOR  SECURITY  EVENTS  IN  THE  AUTOMATED  CONTROL  SYSTEM  OF  RAILWAY  TRANSPORT

Kotenko  Igor  Vitalievich

ph.D.,  Professor,  Head  of  Laboratory  of  Computer  Security  Problems,  St.  Petersburg  Institute  for  Informatics  and  Automation  of  RAS  (SPIIRAS),  Russia  St.  Petersburg

Saenko  Igor  Borisovich

ph.D.,  Professor,  Leading  research  scientist  of  Laboratory  of  Computer  Security  Problems,  St.  Petersburg  Institute  for  Informatics  and  Automation  of  RAS  (SPIIRAS),  Russia  St.  Petersburg

Работа  выполнена  при  поддержке  РФФИ  (проекты  13-01-00843,  13-07-13159,  14-07-00697)  и  программы  фундаментальных  исследований  ОНИТ  РАН

АННОТАЦИЯ

В  статье  приводится  описание  гибридного  онтологического  подхода  к  построению  информационного  хранилища  для  системы  управления  и  мониторинга  комплексной  безопасностью  в  АСУ  железнодорожного  транспорта.  Рассматривается  задача  онтологического  моделирования  предметной  области  комплексной  безопасности  на  транспорте.  Предлагаются  принципы  построения  архитектуры  гибридного  онтологического  информационного  хранилища.  Обсуждаются  результаты  его  реализации  и  использования  при  моделировании  атак.

ABSTRACT

The  paper  describes  the  hybrid  ontology  approach  to  building  a  data  warehouse  for  integrated  management  and  monitoring  system  in  the  automated  control  system  of  railway  transport.  The  problem  of  ontological  modeling  of  complex  transport  security  domain  is  considered.  The  principles  for  architecture  design  are  proposed  for  hybrid  ontological  information  storage.  The  results  of  its  implementation  and  use  in  attack  modeling  are  discussed.

Ключевые  слова:  онтология;  хранилище  данных;  событие  безопасности;  железнодорожный  транспорт;  управление  безопасностью.

Keywords:  ontology;  data  storage;  security  event;  rail  transport;  security  management. 

В  настоящее  время  обеспечение  комплексной  безопасности  на  железнодорожном  транспорте  (ЖТ)  тесно  связывается  с  информационной  безопасностью  АСУ  ЖТ,  в  состав  которой  входит  множество  автоматизированных  информационных  и  аналитических  системах,  а  к  числу  наиболее  значимых  угроз  все  в  большей  степени  относятся  угрозы  со  стороны  внутренних  пользователей  —  «инсайдеров».  Большое  число  пользователей  и  прикладных  программ,  имеющих  доступ  к  защищаемым  ресурсам  АСУ  ЖТ,  высокая  динамика  изменения  состава  ресурсов  в  процессе  ее  функционирования,  необходимость  эффективного  комплексного  использования  разнородных  средств  и  механизмов  управления  безопасностью  информации  —  все  это  приводит  к  тому,  что  задача  обнаружения  уязвимостей  и  попыток  нарушения  безопасности,  а  также  противодействия  компьютерным  атакам  существенно  усложняется  по  сравнению  с  традиционными  системами. 

Одним  из  направлений  решения  данной  проблемы  является  создание  развитой  системы  управления  и  мониторинга  комплексной  безопасностью  ЖТ,  в  частности,  основанной  на  концепции  «управления  информацией  и  событиями  безопасности»  (Security  Information  and  Event  Management,  SIEM)  [3,  с.  69].  Одной  из  важнейших  задач,  решаемых  для  построения  такого  рода  систем,  является  сбор  данных  о  событиях  безопасности  и  их  централизованное  хранение  в  удобной  форме  в  информационном  хранилище  [4,  с.  31]. 

Данная  задача  позволяет  реализовать  в  рамках  АСУ  ЖТ  интеллектуальное  многоуровневое  информационное  пространство.  Для  его  создания  предлагается  использовать  современные  языки  управления  и  представления  онтологий  (RDF,  OWL,  SWRL  и  другие),  позволяющие  моделировать  предметную  область  АСУ  ЖТ  в  онтологическом  виде  [5,  с.  104]. 

Онтологический  подход  в  настоящее  время  рассматривается  как  альтернативный  реляционному,  но  достаточно  эффективный  способ  представлению  данных  в  системах  обработки  информации  сложной  структуры.  Онтология,  используя  средства  дескрипционной  логики,  позволяет  значительно  проще  выражать  сложные  отношения  между  сущностями  предметной  области.  Онтологическая  модель  данных  и  знаний  представляется  наиболее  приемлемой  для  АСУ  ЖТ  в  силу  ее  высокой  гибкости  и  ввиду  наличия  достаточно  большого  числа  программно-инструментальных  средств  ее  реализации.  Совместное  онтологическое  представление  информации  о  состоянии  транспортной  инфраструктуры,  метрик  безопасности  и  возможных  контрмер  позволяет  в  реальном  времени  осуществлять  выработку  эффективных  решений  по  предупреждению  аварий  на  транспорте  и  ликвидации  их  последствий.  Кроме  того,  математический  аппарат,  лежащий  в  основе  онтологии,  позволяет  строить  более  точные  запросы  на  выборку,  и  тем  самым  значительно  ускорить  время,  затрачиваемое  аналитическими  модулями  АСУ  ЖТ  на  обработку  данных. 

Предлагается  создавать  онтологическое  информационное  хранилище  для  интеллектуального  многоуровневого  информационного  пространства  АСУ  ЖТ  на  основе  гибридного  подхода,  в  основе  которого  лежат  следующие  два  базовых  принципа  [6,  с.  309;  7,  с.  763]: 

·     архитектура  онтологического  информационного  хранилища  должна  быть  ориентирована  на  концепцию  сервисно-орентированной  архитектуры  (Service-Oriented  Architecture,  SOA),  которая  обеспечивает  как  требуемую  независимость  функциональных  сервисов  от  сервисов  передачи  и  представления  информации,  так  и  их  высокую  производительность;

·     для  реализации  онтологического  представления  и  его  совместимости  с  традиционными  базами  данных  целесообразно  совместно  применять  различные  средства  моделирования  данных  и  знаний  —  реляционные,  XML  и  триплетные,  где  триплет  представляет  собой  тройку  вида  «субъект-предикат-объект». 

В  соответствии  с  указанными  принципами,  архитектура  гибридного  онтологического  информационного  хранилища  АСУ  ЖТ  может  быть  разделена  на  три  основных  слоя:  слоя  хранения,  слоя  представления  и  слоя  сервисов. 

Слой  хранения  включает  различные  виды  хранилищ,  такие  как  реляционное,  триплетов  и  XML-ориентированное. 

Слой  представления  охватывает  все  элементы,  которые  обеспечивают  взаимодействие  с  пользователем.  Основной  особенностью  слоя  представления  является  отображение  информации  и  интерпретация  входных  пользовательских  команд  с  их  конвертацией  на  соответствующие  операции  в  контексте  бизнес-логики  и  источника  данных.  Здесь  обеспечивается:  отображение  данных,  обработка  событий,  пользовательский  интерфейс,  сервисные  HTTP-запросы,  пакетное  выполнение  интерфейса  типа  «командная  строка»  и  другие  функции. 

Слой  сервисов  является  дополнительным  слоем  между  слоем  представления  и  слоем  хранения.  Он  позволяет  абстрагировать  взаимодействие  между  одним  или  многими  бизнес-объектами,  потоками  и  сервисами  посредством  промежуточного  API-интерфейса. 

Для  тестирования  предлагаемых  решений  по  построению  гибридного  онтологического  хранилища  в  АСУ  ЖТ  был  использован  компонент  разрабатываемой  системы  управления  и  мониторинга  комплексной  безопасностью,  осуществляющий  моделирование  атак  и  анализ  защищенности  транспортной  инфраструктуры  [1,  с.  179;  2,  с.  28].  Для  этой  цели  было  реализовано  хранилище  в  среде  Virtuozo,  которое  взаимодействует  с  набором  моделей  атак  [6,  с.  311]. 

Результаты  тестирования  показали,  что  в  гибридном  онтологическом  хранилище  загрузка  и  выборка  модельных  данных  происходили  более  точно  и  требовали  значительно  меньших  вычислительных  затрат.  Следовательно,  информационное  хранилище  АСУ  ЖТ,  реализованное  с  учетом  предлагаемых  в  настоящей  статье  решений,  обладает  более  высокой  производительностью  по  сравнению  с  существующими  в  ходе  решения  сложных  аналитических  задач.

Список  литературы:

1.Авраменко  В.С.,  Козленко  А.В.  Модель  для  количественной  оценки  защищенности  информации  от  несанкционированного  доступа  в  автоматизированных  системах  по  комплексному  показателю  //  Труды  СПИИРАН.  —  2010.  —  №  13.  —  С.  172—181.

2.Котенко  И.В.,  Полубелова  О.В.,  Чечулин  А.А.  Построение  модели  данных  для  систем  моделирования  сетевых  атак  на  основе  онтологического  подхода  //  Труды  СПИИРАН.  —  2013.  —  Вып.  3  (27).  —  С.  26—39. 

3.Котенко  И.В.,  Саенко  И.Б.  Предложения  по  созданию  многоуровневой  интеллектуальной  системы  обеспечения  информационной  безопасности  автоматизированных  систем  на  железнодорожном  транспорте  //  Вестник  Ростовского  государственного  университета  путей  сообщения.  Научно-технический  журнал.  —  2013.  —  №  3(51).  —  С.  68—78.

4.Котенко  И.В.,  Саенко  И.Б.,  Полубелова  О.В.,  Чечулин  А.А.  Применение  технологии  управления  информацией  и  событиями  безопасности  для  защиты  информации  в  критически  важных  инфраструктурах  //  Труды  СПИИРАН.  —  2012.  —  Вып.  1  (20).  —  C.  27—56.

5.Полубелова  О.В.,  Котенко  И.В.,  Саенко  И.Б.,  Чечулин  А.А.  Применение  онтологий  и  логического  вывода  для  управления  информацией  и  событиями  безопасности  //  Системы  высокой  доступности.  —  2012.  —  №  2,  —  т.  8.  —  С.  100—108.

6.Kotenko  I.,  Polubelova  O.,  Saenko  I.  Data  Repository  For  Security  Information  and  Event  Management  in  Service  Infrastructures  //  Proceedings  of  the  International  Conference  on  Security  and  Cryptography  2012  (SECRYPT  2012).  2012.  —  Pp.  308—313.

7.Kotenko  I.,  Polubelova  O.,  Saenko  I.  The  Ontological  Approach  for  SIEM  Data  Repository  Implementation  //  Proceedings  of  the  2012  IEEE  Int.  Conf.  on  Green  Computing  and  Communications,  GreenCom  2012,  Conf.  on  Internet  of  Things,  iThings  2012  and  Conf.  on  Cyber,  Physical  and  Social  Computing,  CPSCom  2012.  —  Pp.  761—766.