CC BY
155
Интеллектуальная система анализа кибербезопасности в пространстве на web-технологиях
Ключевые слова:
интеллектуальная система, кибербезопасность, нейросеть, нечёткое множество, функция принадлежности, база знаний, продукционное правило, классификатор, бутстреп-метод бот- атака, логиковероятностный подход.
Исходя из общих принципов построения интеллектуальных систем по анализу устойчивости по отношению к дестабилизирующим воздействиям из №еЬ-пространства на автоматизированные системы общего вида рассматриваются подходы и схемотехнические принципы создания интеллектуальной автоматизированной системы кибербезопасности. Предлагается использовать логико-вероятностные модели бот-атак, информационный подход и бутстреп-метод для формирования логики принятия решений по оценке риска, идентификации дестабилизирующих негативных воздействий из киберсреды на ^еЬ-твхнологиях. Интеллектуальная система, решающая такую задачу должна опираться на предлагаемую структуру, состоящую из следующих уровней: система нечётких продукционных правил, описывающих работу идентификатора с учётом экспертных оценок; нейро-нечёткуо сеть, в структуре которой отражена система нечётких продукционных правил; чёткая самообучаемая нейросеть для решения задачи кластеризации (классификации) входных данных из ^еЬ-киберпространства. Рассматривается вариант механизма принятия решений на основе формализации априорного опыта экспертов в нечёткой базе нечётких продукционных правил. В рамках решения задач по классификации и расширению классификации входных данных о признаках дестабилизирующих воздействий из ^еЬ-киберсреды исследуется нейро-нечёткий классификатор в виде трёхслойной нечёткой НС.
Назаров А.Н.,
Начальник отдела ОАО "Интеллект-Телеком"
Комаров А.А.,
Директор департамента аудита и консалтинга Group-IB
Введение
Комплексная проблема обеспечения устойчивости автоматизированных систем, использующих web-
технологии крайне актуальна. Настоящим бедствием для всего интернет-киберсообщества является отсутствие научно-обоснованных средств противодействия бот-сетям. Web-сообществу известно, что в 2012 голу создана организация Industry Bolnet Group (TOG, industry botnet-group.org) для противодействия бот-сетям. Деятельность IBG поддерживается департаментом США по национальной безопасности. Федеральной торговой комиссией США и другими влиятельными организациями. Это обусловлено тем, что проблема бот-сетей фактически вышла на транснациональных масштаб, когда число заражённых компьютеров достигает десятков и сотен тысяч, а государственные граница никак не влияют на раепроегранение вредных воздействий.
Описание проблемы. Имеющийся парк оборудования для мониторинга и противодействия угрозам и атакам из бот-сетей (бот-атака) не совершенен прежде всего из-за постоянно расширяющегося списка уязвимостей и отсутствия возможности реализации научнообоснованных процедур адаптации к постоянно меняющимся действиям злоумышленников.
Для проведения интеллектуального анализа устойчивости АС к ДВ из web-пространства необходимо разработать систему обнаружения ДВ, позволяющую осуществлять интеллектуальный анализ сценариев ДВ на элементы и узлы АС, а также оценку уровня устойчивости АС к ДВ из wcb-пространства. Логика работы такой интеллектуальной автоматизированная система кибербезо-
пасности (ИАСК) должна учитывать сетевую специфику бот-сетей, модели атак, технологические особенности \уеЬ-среды и достижения искусственного интеллекта.
О логико-вероятностном подходе формализации атаки. Для произвольного объекта бот-атаки У из АС [1] существует полная система функций защиты, каждую из которых обозначим бинарной логической переменной X с соответствующим нижним индексом:
X1 - предупреждение возникновения условий, благоприятствующих порождению (возникновению) ДФ;
X■, — предупреждение непосредственного проявления ДФ;
X, —обнаружение проявившихся ДФ;
X4 - предупреждение воздействия на объект бот-
атаки проявившихся и обнаруженных ДФ;
- предупреждение воздействия на объект бот-атакн проявившихся, но необнаруженных ДФ;
Х6 - обнаружение воздействия ДФ на объект бот-атаки;
Х-] - локализация (ограничение) обнаруженного воздействия ДФ на объект бот-атаки;
Х% - локализация необнаруженного воздействия ДФ
на объект бот-атаки;
Хц — ликвидация последствий локализованного обнаруженного воздействия ДФ на объект бот-атаки;
А' | ц - ликвидация последствий локализованного необнаруженного воздействия ДФ на объект бот-атаки.
Следуя логике [1,2], положим, что бинарная логическая переменная X (, ] = 1 -5- И, п = 10 равна I с вероятностью р, если выполнениеу-й функции защиты привело к успеху бот-атаки, и равна 0 с вероятностью Q.=\- р. в противном случае. В общем виде логическая функция (Л-функция) и вероятностная функция
(В-функция, В-полином) успеха бот-атаки соответственно записывается как [ 1,2 J
(!)
К = v X3XS)XSX7X, v
Vх,х2(х^Х4 V хгх,)х6хгхю V х]х2(х}хА V Х3Х5р^Х7 V
VX,X2(X;X4VX3X5)X6XS,
PY = PY{P, ,Р2......Ры)= Р,Л [(1 ■)Р„ + />3/>5 Jx
x[(l-nXl Г- И + ^0 - Рі Йо + (I - Гб)Pj + РьРг,]
(2)
Применение метода бутетрепа для оценивания функции квантили стохастических характеристик бот-атак решает важную -задачу сокращения объёма рассматриваемой выборки значений случайных величин. Сущность данного метода состоит в том [7], что по имеющимся наблюдениям за случайной величиной моделируется процесс их получения следующим образом. Предполагается, что имеющиеся N значениіі образуют генеральную совокупность, из которой извлекаются выборки с возвращением объема N с равными вероятностями (\/N) извлечения каждого значения. Всего извлекается
В выборок, по каждой из них строится оценка интересующего параметра исходной случайной величины, а затем полученные оценки усредняются.
Если данные, по которым производится статистическая оценка, получены с точностью то результат стандартной оценки, например, математического ожидания будет иметь точность іОценка бутстреп-МЄГОДОМ ПОЗВОЛИТ получить ТОЧНОСТЬ (І/ В\’ . Бутстреп-
процедура позволяет при неизменном объёме выборки повысить точность оценки [7].
В качестве показателя точности (надёжности) оценки стохастической характеристики по ограниченной выборке значений случайной величины используют квантиль
этой характеристики. Как показано в [8] (4 д' /2
точность выборочной оценки квантили на объёме выборки .V. А согласно [9] порядковые статистики имеют три области притяжения при увеличении объёма выборки в зависимости от вила распределения (финитные распределения, распределения с «лёгкими» хвостами, распределения с «тяжёлыми» хвостами).
Иерархия уровнен интеллектуальной системы анализа и опенки уровня кибсрбсзопасности к деструктивному воздействию из иеЬ-пространства. Иерархические уровни ИЛСК содержат следующие модули [3,4]: системы нечётких продукционных правил, описывающих работу идентификатора с учётом экспертных оценок; ненронечёткущ сеть, в структуре которой отражена система нечёгких продукционных правил; чёткую самоокупаемую нейросеть (НС) для решения задач классификации и кластеризации входных векторов.
Уровень идентификации деструктивных воздействий, предназначенный для классификации по вектору признаков ДВ на элементы и узлы АС. формируемых датчиками этих ДВ, иллюстрирует рис. !.
Основные механизмы реализации модели ИАСК к ДВ из \veb-пространства:
- представление априорного опыта экспертов по \veb-кибербезопасности в виде базы знаний, описанной системой продукционных правил;
- использование значении л парциального влияния функций защиты х / = 1 + я « = 10 на Л-фуккцию (1),
J * * 5
на значение В-полинома (2) объекта бот-атаки в системе принятия решений ИАСК;
нечёткий логический вывод, позволяющий использовать опыт экспертов по \\еЬ-кибербезопасности в виде системы нечётких продукционных правил для начальной настройки информационного поля (системы межнейрон-ных связей) нечёткой ПС;
- подключаемые аггрегациошные сервисы и службы Обработки неструктурированной информации о произошедших инцидентах кибербезопасности для последующего анализа;
- способность ПС к классификации и кластеризации;
- способность НС к извлечению знаний о профиле и механизме реализации угрозы кибербезопасности;
- способность информационного поля НС к накоплению опыта в процессе обучения и самообучения.
Описанная модель ИАСК должна опираться на сервисно-ориентированные интеграционные методы в части масштабируемости своих функциональных особенностей.
Ы
00 " а
Уровни ИАСК
Признаки ДВ Xj
Четкая НС
Нечеткая НС
Система неметких пр 4 . а вил
_ Т _ '
S
Датчики ДЕ
Экспертные оценки признаков ДВ
Уровни
ИАСК
Датчики
ДВ
Рис. 1. Схема адаптивного классификатора уровня идентификации ДВ ИАСК
Механизм нечёткого логического вывода основан па представлении опыта специалистов (экспертов) по web-кибербезопасности системой нечётких продукционных правил вида 1F-THEN, например [3]:
П,: если ?! есть Аи и ... х„ есть А,„, то у есть £,; П2 : если х, есть А21 и ... jfB есть А2л,™ у есть Вг 5
П*.: если х| есть А/.
Х„ есть Ahr то у есть Вк
где х) и у, - нечеткие входная и выходная переменные соответственно; А- и Вг у = 1,./ = 1__________,1с, соот-
ветствующие функции принадлежности.
Объединение возможностей НС и нечёткого логического вывода является одним из перспективных подходов
к организации систем искусственного интеллекта. Как было показано в 13,4], системы нечеткой логики компенсируют основные «непрозрачности» НС: в представлении знаний и способности объяснять результаты работы интеллектуальной системы, т.е. дополняют НС. Нечёткий формализм вывода работает при отсутствии знаний о законах распределения вероятностей Р. в (2) для любых
ДФ, что актуально при появлении новых ДФ с неизвестными уязвимостями.
Важной для модели ИАСК особенностью нсйро-нечётких сетей является способность автоматически генерировать систему нечётких продукционных правил в процессе обучения и самообучения, извлекая скрытые закономерности изданных входной обучающей выборки.
Организации иерархии уровней ИАСК и технологические особенности функционирования HACK. Способность НС к классификации и кластеризации используется в модели ИАСК к деструктивным web-воздействиям для решения двух основных задач:
1) классификация входного вектора, например, вектора признаков бот-атаки на элементы и узлы АС;
2) расширение классификации при появлении на входе классификатора ранее не встречавшегося сочетания признаков воздействий бот-атак.
Пусть полное на данный момент пространство посылок х — {х]} 11 полное пространство заключений
У = v„} • Нечёткие причинные отношения
Xj —» yj, i = j = n между элементами этих
пространств можно представить в виде матрицы R с элементами i — / = 1,...,я, а посылки и за-
ключения между ними можно представить в виде: В = А • R, где • - операция композиции, например, тах-min-ком позиция,
Согласно 131 в нечётком логическом выводе знания эксперта А —> В отражает нечёткое отношение R = А —> В, где операция соответствует нечёткой импликации. Нечёткое отношение R можно рассматривать как нечёткое подмножество прямого произведения X х Уполного множества X и заключений У, а процесс получения нечёткого результата вывода В по посылке А и знаниям Л —> В - как композиционное правило: В = А • R - А • (А -> В).
Из практики следует, что на уровне накопления опыта ИАСК иейро-нечёткнй классификатор векторов характеристик, параметров бот-атак из web-пространства целесообразно проектировать в виде трёхслойной нечёткой НС (рис. 2) с возможностью уменьшения (сжатия) числа признаков.
Каждому входному вектору из пространства X можно поставить в соответствие нечёткий формальный нейрон (ФН). Средний слой содержит 2я нечётких ФН, выполняющих операцию логического вывода (например, min) над сочетаниями нечетких высказываний (ИВ) первого слоя НС для формирования системы нечётких классификационных заключений.
Третий слой нечёткой НС образован из нечётких Ф!1 «ИЛИ» (по числу нечётких заключений у., j =1,,,.,r)
и формирует вектор выходных нечётких заключений в соответствии с заданной экспертами системой нечётких правил.
Рис. 2. Схема нейро-нечёткого классификатора ИЛСК: S, L - комплементарная пара функций принадлежности
Информационный подход к разработке алгоритмов обучения ПС обусловлен о стохастическими свойствами бот-атак.
При проектировании нейросетевого модуля ИАСК важной предметно-ориентированной задачей является определение синаптических весов №' нейронов. Стандартным методом решения такой задачи является минимизация ошибки обобщения [5], на основе минимизации квадратичного функционала невязки на обучающей выборке {X, У}- Более общий подход, позволяющий учитывать природу риска (1)-(2) базируется [5]. на поиске экстремума градиента целевой функции согласно уравнению
ёгас/11,\пРЕ{У/Х,И') = 0, (3)
где плотность распределения ошибки
Р(Е)= Р/,(У/Х,И/) - функция правдоподобия;
Р^Ау/Х,№') ~ решение (3), отвечающее «наихудшему (наименее благоприятному) для данного X распределению из заданного класса определяется [5] из условия [6]
рНу!Х,1У) = агк тш п-(1У
рЕ* п
где I - информационная матрица Фишера; П - класс распределений РЕ\У) X Таким образом, оценка
параметра IV сводится к реализации алгоритма
Ш* = ат% шах Р% (У/Х, Ш) ■
IV
Далее можно воспользоваться процедурой Роббинса-Мопро для стохастической идентификации
= Г* + г к «™*[- ь .
IV
где ук - подходящим образом выбираемая последовательность неотрицательных чисел [5,6].
Заключение
Изложены схемы и принципы, подходы, которые могу! быть положены в основу при проектировании интеллектуальных систем кибербезопасности, противодействующих дестабилизирующим воздействиям из \veb-пространства.
Адаптивный характер уровней системы оценки и анализа устойчивости (степени противодействия) ИАСК обусловлен использованием интеллектуальных средств нечёткой логики и нейронных сетей для решения задач идентификации, классификации и кластеризации деструктивных воздействий на АС по признакам таких воздействий из шеЬ-пространства, формируемых датчиками таких воздействий. Причём нижний уровень решает проблемы оперативной идентификации деструктивных воздействий, а верхний - накопления опыта по обнаружению последствий таких воздействий на элементы и узлы АС путём использования датчиков, распределённых как в леЬ-пространстве, так и в среде и структуре АС.
Предложенные логико-вероятностные модели формализма бот-атаки позволяют разработать правила логического вывода экспертной системы ИАСК, а информационный подход к обучению НС и бутстреп-метод позволяют учитывать стохастическую природу характеристик и трафика бот-атаки.
Intelligent systems analysis cybersecurity space for web-technologies A. Nazarov, A. Komarov
Abstract
The article, based on the general principles of intelligent systems for analysis of resistance to the destabilizing effect of the web-space to the automated systems of general form the approaches and scheme-technical principles of intellectual automated cybersecurity. Encouraged to use logic and probabilistic models bot attacks, information approach and the bootstrap method to form the logic of decision-making on risk assessment, identification of destabilizing the negative impacts of cyber on web-technologies. Intelligent system that solves this problem should be based on the proposed structure, which consists of the following levels: a system of fuzzy production rules describing the operation identifier with the peer review; neuro-fuzzy network, which is reflected in the structure of the system of fuzzy production rules; a clear self-learning neural network to solve the problem of clustering (classification) of input data from web-Cyberspace. Considered the option of decision-making based on the formalization of a priori expert experience in the fuzzy-based fuzzy production rules. In the framework of solving the problems of classification and increase the classification of input data on the signs of destabilizing effects of web-cyber studied neuro-fuzzy classifier in the form of a three-layer fuzzy Affairs.
Keywords: intelligent system, cybersecuriiy, neural network, fuzzy set, membership function, the knowledge base of production rules classifier, the bootstrap method, the bot attack, logical-probabilistic approach.
Литература
1. Назаров A.H. Оценка уровня информационной безопасности современных ннфокоммуникационных сетей на основе логико-вероятностного подхода // Автоматика и телемеханика, № 7, 2007. - С. 52-63.
2. Назаров А., Сычев К. Теоретические основы проектирования сетей связи следующего поколения. Третье издание, дополненное и переработанное. - Saarbriicken. Germany: LAP LAMBERT Academic Publishing, 2012. - 577 c.
3. Гaee Л.В, Рандомизированная оценка результатов имитационных экспериментов/ СПб., Сборник докладов Конференции
«ИММОД-2003», 2003. - 5 с.
4. Вишняков Б.В.. Кибзун А,И. Применение метода бутстре-па для оценивания функции квантили Автоматика и телемеханика, Л» 11, 2007. -С. 46-60.
5. Галамвош Я. Асимптотическая теория экстремальных порядковых статистик. — М.: Наука, 1984.
6. Михайлов В.А.. Мырова Л.О., Царегародцев А.В. Интеллектуальная система анализа и оценки устойчивости БЦВК к деструктивному воздействию ЭМИ // Электросвязь, №8, 2012. - С. 36-39.
7. Михайлов В.А., Мщровй .//. О Ца^уегородцев А.В, Системный подход к созданию методологии анализа и оценки устойчивости к деструктивному воздействию мощных ЭМИ // Технологии ЭМС., 012, № 1(40).
S. Овсянников А. В.. Байда Ю.А., Лаврентьев B.C. Информационные алгоритмы обучения нейронных сетей И Труды БГТУ.Сер. физ.-мат. Наук и инфор. Вып. XI!. 2004. -C.110-113.
9. Фомин В.Н. Рекуррентное оценивание и адаптивная фильтрация. - М.: Наука. Гл. ред. физ.-мат. лит., 1484. - 288 с.
