АДАПТИВНАЯ МОДЕЛЬ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ОСНОВЕ НЕЙРО-НЕЧЕТКИХ СЕТЕЙ
A.B. Калач, к.х.н., доцент, E.H. Грошев,
Воронежский институт ГПС МЧС России
Е.С. Немтина, УВО при УВД по г. Воронежу
Эволюция средств обработки информации осуществляется в направлении создания систем информационных технологий с элементами самоорганизации, в которых присутствуют процессы зарождения, приспособления и развития. На названных процессах основаны биологические системы, для которых характерен опыт эволюции, селективный отбор. Заимствование архитектурных принципов биосистем привело к разработке теории нейронных сетей, нечетких множеств, эволюционных методов, лежащих в основе искусственных интеллектуальных систем. Нейронные сети получили распространение в многочисленных прикладных сферах, распределенных вычислениях, при решении нечетких и трудно формализуемых задач.
Искусственный нейрон имитирует свойства биологического нейрона. На вход искусственного нейрона поступает некоторое множество сигналов, каждый из которых является выходом другого нейрона. Каждый вход умножается на соответствующий вес, аналогичный синоптической силе, и все произведения суммируются, определяя тем самым уровень активации нейрона. На рис. 1 представлена модель, реализующая эту идею. Множество входных сигналов, обозначенных xh х2,..., хн, поступает на искусственный нейрон. Эти входные сигналы, в совокупности обозначаемые вектором X, соответствуют сигналам, приходящим в синапсы биологического нейрона. Каждый сигнал умножается на соответствующий вес wh w2,..., w„, и поступает на суммирующий блок, обозначенный X. Каждый вес соответствует «силе» одной биологической синоптической связи. (Множество весов в совокупности обозначается вектором W.) Суммирующий блок, соответствующий телу биологического элемента, складывает взвешенные входы алгебраически, создавая выход - NET.
W
■Гп 1____1
Рис. 1. Искусственный нейрон
NET-XW
Существует необходимость придания системам защиты информации в информационных технологиях качеств, присущих биосистемам, и возможность развития, адаптивность. Наряду с традиционными средствами защиты корпоративных сетей, такими как: антивирусы, детекторы уязви-мостей, межсетевые экраны и детекторы вторжений используются средства автоматизации защиты, включающие корреляторы событий, программы обновлений и системы управления рисками.
Биосистемная аналогия в структуре защиты систем информационных технологий основана на иерархии систем защиты информации, встроенных механизмах иммунной защиты и накопления опыта.
В работе предложена иерархическая модель (рис. 2) и метод проектирования адаптивной системы защиты информации, основанные на принципах биологического подобия. Метод проектирования адаптивной системы защиты информации включает следующие этапы:
- формирование матриц адаптируемых экспертных оценок и на их основе создание исходных систем нечетких правил и классификаторов (на нижних уровнях защиты - классификаторов «признаки атаки - угрозы», на верхних уровнях защиты - классификаторов «угрозы - механизмы защиты»);
- идентификация выявленной угрозы и при расширении поля известных угроз - кластеризация угроз с последующей адаптацией информационных полей путем обучения нейронной сети уровней защиты;
- кластеризация вследствие изменения поля угроз сопровождается коррекцией или расширением системы нечетких правил;
- изменение поля угроз вызывает модификацию систем нечетких правил и матриц экспертных оценок в результате обучения классификаторов уровней защиты;
- при расширении системы нечетких правил формируется описание нового (отсутствующего) механизма защиты;
- «прозрачность» системы нечетких правил позволяет сформулировать спецификацию на создание отсутствующего механизма защиты.
Реитмчг ЗАимиемчоои ИТ-
Рис. 2. Модель адаптивной системы информационной безопасности
При проектировании адаптивной системы защиты информации следует учитывать комплексный характер модели, связующим звеном которой является методика оценки защищенности системы информационных технологий, которая координирует взаимосвязь классификаторов угроз и механизмов защиты, структурной модели системы информационной безопасности, инструментальных средств расчета показателей защищенности и рейтинга системы информационных технологий.
Для построения модели выбирается структурная модель системы информационной безопасности в виде иерархии уровней механизмов защиты, а априорный опыт экспертов представляется массивами экспертных оценок, на базе которых формируются системы нечетких предикатных правил для классификации угроз по признакам атак и механизмов защиты на поле угроз. Системы нечетких предикатных правил для последующей адаптации и анализа представляются в виде нечетких нейронных сетей, которые обучают на некотором подмножестве входных векторов признаков атаки. Одновременно обучают классификаторы в виде обычных нейронных сетей таким образом, чтобы число образуемых кластеров равнялось числу правил в системе нечетких предикатных правил. Аналогично обучают нейросетевые классификаторы механизмов защиты по векторам известных угроз.
Для исходных массивов экспертных оценок производят расчет показателей защищенности и рейтинга системы информационной технологии, которые используются методикой оценки защищенности системы для ана-
лиза и коррекции как массивов экспертных оценок, так и функциональных классификаторов и систем нечетких предикатных правил.
Модель адаптивной защиты использует принцип биосистемной аналогии, в частности, иерархию системы защиты информационных процессов и ресурсов в биологической системе, согласно которой на нижних уровнях иерархии задействованы механизмы иммунной системы, а на верхних - механизмы адаптивной памяти и накопления жизненного опыта нервной системы. В качестве основных элементов адаптивной модели системы защиты информации разработана методика и комплекс показателей для оценки уровня защищенности системы информационных технологий, учитывающие достоверность нейтрализации угроз, а также потенциальный ущерб и частоту активации угроз.
Для обнаружения атак применяют системы защиты информации, в качестве интеллектуального инструмента в которых, как правило, используются нейронные сети, системы нечеткой логики и основанные на правилах экспертные системы. Необходимо решать не отдельные задачи защиты информации, а разрабатывать единый подход применения интеллектуальных средств для создания комплексной адаптивной защиты систем информационных технологий на основе биоаналогии.
Биологические системы образуют иерархию информационных систем с единым подходом к способам и методам преобразования, хранения и переноса информации, которые обладают высокой защищенностью. Защищенность биосистемы обеспечивается механизмами наследственности и изменчивости, которые носят информационный характер.
Биосистемная аналогия в структуре защиты систем информационных технологий основана на иерархии систем защиты информации, встроенных механизмах иммунной защиты и накопления опыта. Известные системы ограничиваются антивирусной направленностью средств иммунной защиты и реализацией функций нижнего уровня в иерархии систем защиты информации.
Список использованной литературы
1. Осовецкий Л.Г., Нестерук Г.Ф., Бормотов В.М. К вопросу иммунологии сложных информационных систем / Л.Г. Осовецкий и др. // Изв. вузов. Приборостроение. - 2003. - Т.46. - № 7. - С. 34-40.
2. Галушкин А.И. Нейрокомпьютеры и их применение / А.И. Галушкин. - М.: ИПРЖР, 2000. - Кн. 3.
3. Слива К. Защита будет активной / К. Слива // Computerworld Россия. - 2004 - № 11. - С. 49.
4. Роберте П. Защита на клиенте / П. Роберте // Computerworld Россия. -2004 - № 16. - С. 44.
5. Коржов В. Автоматизация безопасности / В. Коржов // Computerworld Россия. - 2004 - №17 - 18. - С. 53.
6. Кеммерер Р., Виджна Дж. Обнаружение вторжений: краткая история и обзор / Р. Креммерр, Дж. Виджна // Открытые системы. - 2002 - № 7 - 8.
7. Лукацкий А.В. Системы обнаружения атак / А.В. Лукацкий // Банковские технологии. - 1999,- №2 - С. 54 - 58.
8. Коэн Ф. 50 способов обойти систему обнаружения атак: [пер. с англ. А. В. Лукацкого] / Ф. Коэн.
9. Медведовский И.Д., Платонов В.В., Семьянинов П.В. Атака через Интернет / ИД. Медведовский и др. — СПб.: НПО Мир и семья, 1997.
10. Алексеев А.С, Котенко И.В. Командная работа агентов по защите от распределенных атак "отказ в обслуживании": сб. докл. VI Международной конф. по мягким вычислениям и измерениям SCM'2003.- СПб.: СПГЭТУ, 2003. - Т. 1. - С. 294-297.
11. Котенко И. В. Модели противоборства команд агентов по реализации и защите от распределенных атак «Отказ в обслуживании»: тр. меж-дунар. научно-технич. конф. IEEE AIS'03 и CAD-2003. - M.: Физматлит, 2003. - Т. 1. - С. 422-428.
12. Осипов В.Ю. Концептуальные положения программного подавления вычислительных систем / В.Ю. Осипов // Защита информации. Конфидент. 2002. - №4-5. - С. 89-93.
13. Бочков М.В., Крупский С.А., Саенко И.Б. Применение генетических алгоритмов оптимизации в задачах информационного противодействия сетевым атакам. // Управление и информационные технологии. Всероссийская научная конференция. Сборник докладов. Том 2. СПб.: ЛЭТИ, 2003. -С 13-16.
14. Бочков М.В. Реализация методов обнаружения программных атак и противодействия программному подавлению в компьютерных сетях на основе нейронных сетей и генетических алгоритмов оптимизации: сб. докл. VI Международной конф. по мягким вычислениям и измерениям SCM'2003. - СПб.: СПГЭТУ, 2003. - Т. 1. - С. 376-378.
15. Круглов В.В., Борисов В.В. Искусственные нейронные сети. Теория и практика. - 2-е изд., стереотип. - Горячая линия - Телеком, 2002.