Многоагентные системы как технологическая база реализации концепции нулевого доверия

Как известно, мультиагентные системы (далее – МАС) представляют собой совокупность интеллектуальных программных агентов, которые кооперируются на основе протоколов обмена знаниями для достижения своих целей в рамках общей цели системы. Эти системы могут использоваться в различных областях, таких как робототехника, умный город, в том числе при решении задач кибербезопасности [1–3]. В контексте кибербезопасности МАС может использоваться для решения таких задач, как обнаружение вторжений, мониторинг сети и анализ системы на наличие вредоносных программ [4; 5].

Обнаружение вторжений является одной из актуальных задач в области кибербезопасности и включает в себя обнаружение необоснованной активности или несанкционированного доступа к компьютерной системе или сети [6–11]. Мультиагентная система решает эту задачу на основе кооперации нескольких агентов для одновременного мониторинга различных сегментов сети. Это позволяет ускорить обнаружение и реагирование на потенциальные угрозы за счет формирования обобщенного снимка состояния защищаемой системы [12].

Мониторинг текущего состояния сети является еще одним важным аспектом кибербезопасности. Это предполагает отслеживание всех действий, происходящих в сети, включая объем и структуру трафика, поведение пользователей и реализацию потенциальных угроз.

Многоагентные системы как технологическая база реализации концепции нулевого ...

Валеев Сагит Сабитович доктор технических наук, профессор, профессор кафедры управления информационной безопасностью, Уфимский университет науки и технологий, город Уфа. Сфера научных интересов: системы управления организационно-техническими объектами, информационные технологии, защита информации. Автор более 150 опубликованных научных работ. SPIN-код: 7137-0688, AuthorID: 111063.

МАС в данном контексте может быть полезной при кооперации нескольких агентов для одновременного (синхронизированного) анализа различных частей сети, выявления вредоносного программного обеспечения (далее – ПО). В ряде случаев это позволяет ускорить процесс анализа, что, в свою очередь, позволяет лучше понять возможности вредоносного ПО [13].

Многоагентные системы и концепция нулевого доверия

Концепция нулевого доверия (англ. Zero Trust) – это подход к безопасности, когда предполагается, что ни один пользователь, устройство или приложение не имеют доверия автоматически даже в демилитаризованной зоне, пока не будет доказана его легитимность при обращении к активам в сети [14; 15].

МАС и концепция нулевого доверия (далее – КНД) могут эффективно использоваться вместе для повышения уровня кибербезопасности.

В контексте МАС концепция Zero Trust может быть применена для решения следующих основных задач защиты информации.

Аутентификация и авторизация . Каждый агент в МАС должен быть аутентифицирован и авторизован перед доступом к ресурсам или выполнением задач. Это может включать проверку учетных данных, сертификатов или других механизмов аутентификации.

Контроль доступа . Доступ к ресурсам и данным должен быть ограничен и контролироваться. Агенты должны иметь только те права доступа, которые необходимы для выполнения их задач.

Мониторинг и аудит . Все действия агентов должны быть отслеживаемы и записаны в журнал аудита. Это позволяет быстро обнаруживать и реагировать на любые подозрительные активности.

Обнаружение угроз . В МАС могут использоваться различные методы обнаружения угроз, такие как сигнатурный анализ, поведенческий анализ и машинное обучение.

Защита коммуникаций . Коммуникации между агентами должны быть защищены с помощью шифрования и других методов защиты информации.

Автоматизация процессов . Некоторые аспекты безопасности, такие как мониторинг, обнаружение угроз и реагирование, могут быть автоматизированы с помощью агентов, что повышает эффективность и скорость реакции на угрозы.

Применение КНД в MAС помогает повысить уровень безопасности системы, уменьшить риски и обеспечить более надежную защиту от злоумышленников и различных кибератак на активы предприятия.

На Рисунке 1 представлена обобщенная архитектура МАС для решения задач в рамках КНД. Система является надстройкой над системным слоем, реализующим методы M _i ( i = 1: n ) защиты функции.

Рисунок 1. Многоагентная система для реализации концепции нулевого доверия Источник: здесь и далее рисунки выполнены авторами.

Информация о состоянии системы собирается с помощью набора сенсоров S _i ( i = 1: n ) и передается агенту A _i ( i = 1: n ), связанному с уровнем координации. Поступающая информация на уровне координации обрабатывается агентом, который рекомендует агенту использование i -го метода защиты.

Многоагентные системы как технологическая база реализации концепции нулевого ...

Основные задачи, решаемые МАС в контексте концепции нулевого доверия

Рассмотрим набор основных методов для адаптации точек применения политик безопасности:

• •    при обнаружении любых подозрительных действий или несанкционированного доступа к компьютерной системе или сети применяется многофакторная аутентификация;

• •    при мониторинге активности в сети отслеживаются все процессы, происходящие в сети, включая изменение трафика, поведение пользователей и потенциальные угрозы;

• •    анализ возможного использования вредоносного программного обеспечения включает оценку цели внедряемого программного обеспечения, его функциональных возможностей и потенциального воздействия на систему или сеть.

С учетом распределенного характера применения КНД использование MAС имеет неоспоримые преимущества:

• •    быстрое обнаружение и реагирование. Благодаря использованию нескольких агентов для мониторинга различных частей сети одновременно MAС позволяет быстрее обнаруживать и реагировать на угрозы;

• •    лучшее покрытие защищаемой сети. MAС обеспечивает лучшее покрытие всей сети, так как каждый агент может обеспечивать защиту на своей части сети;

• •    более полное наблюдение. MAС позволяет проводить более полное наблюдение за сетью, так как каждый агент может собирать данные о своей части сети;

• •    улучшенные возможности анализа. MAС позволяет проводить более глубокий анализ вредоносного ПО, так как каждый агент может анализировать свою часть анализируемого кода распределенной системы для i -го метода защиты.

Особенности реализации МАС в решении задачи защиты информации в рамках концепции нулевого доверия

Реализация МАС может быть выполнена различными способами в зависимости от требований и целей проекта. Рассмотрим основные этапы проектирования МАС.

Этап 1. Определение целей и задач системы. Необходимо четко определить, какие задачи должна решать система и какие функции она должна выполнять.

Этап 2. Разработка архитектуры системы. На данном этапе определяется структура системы, количество и типы агентов, их взаимодействие друг с другом и окружающей средой.

Этап 3. Разработка агентов. Каждый агент должен быть спроектирован таким образом, чтобы он мог выполнять свои задачи и взаимодействовать с другими агентами. Это включает разработку алгоритмов принятия решений, планирования действий и коммуникации.

Этап 4. Разработка среды взаимодействия. Необходимо создать среду, в которой будут работать агенты.

Этап 5. Тестирование и отладка. После разработки системы необходимо провести тестирование каждого агента и всей системы в целом. Это поможет выявить ошибки и улучшить работу системы.

Этап 6. Оптимизация и улучшение. После запуска системы необходимо продолжать ее оптимизацию и улучшение, основываясь на данных, полученных в процессе работы.

Этап 7. Поддержка и обновление. Система должна поддерживаться и обновляться в соответствии с новыми требованиями и изменениями в окружающей информационной среде.

Создание агента, например, на языке Python, может быть довольно сложным процессом, поскольку это требует использования множества различных библиотек и фреймворков, таких как Tensor Flow, Keras, Py Torch и др.

В качестве системы поддержки принятия решений предлагается использовать нейронную сеть LSTM (см. Рисунок 2). Данный тип сетей позволяет решать задачи прогнозирования поведения временных рядов с достаточно высокой точностью. Для реализации нейросетевой поддержки принятия решений МАС формирует тестовые наборы (datasets) за определенный период времени. Далее эти данные используются для обучения нейронной сети LSTM на уровне координации. Агентам нижнего уровня передается обученная сеть. В случае обнаружения аномалий трафика на верхний уровень от агентов передаются сигналы, которые анализируются координатором. На основе анализа результатов сигналов принимается решение об адаптации политики безопасности в точках их применения.

Рисунок 2. Нейронная LSTM-сеть, используемая в системе анализа сетевого трафика на уровне координации МАС

Следует отметить, что множество агентов, реализованных в системе, не должны в значительной мере влиять на эффективность защищаемой системы, что, к сожалению, не всегда возможно обеспечить, так как дополнительный слой анализа и принятия решений требует дополнительных ресурсов защищаемой вычислительной системы.

Заключение

Рассмотрены особенности многоагентных технологий применительно к решению задач защиты информации в рамках концепции нулевого доверия. Обсуждаются достоинства и недостатки применения многоагентных технологий для решения задач защиты информации предприятия при адаптации точек применения политик безопасности. Пред-

Многоагентные системы как технологическая база реализации концепции нулевого ...

ложена обобщенная архитектура многоагентной системы защиты информации, включающая средства анализа состояния системы, набор агентов и правила их взаимодействия. В качестве системы поддержки принятия решений рекомендована к использованию нейронная сеть LSTM. В качестве ограничения применения многоагентных технологий отмечается необходимость привлечения дополнительных ресурсов защищаемой системы.