CC BY
33
В работе рассмотрены вопросы представления знаний, программной поддержки методологии мониторинга безопасности ИС и компьютерного моделирования интеллектуальных средств в составе адаптивных классификаторов для средств МБ ИС.
Создание перспективных систем защиты информации (СЗИ) в последнее время отождествляют с активным использованием интеллектуальных средств, таких как экспертные системы (ЭС), системы нечеткой логики (НЛ), нейронные сети (НС), реализующих в СЗИ эволюционные свойства адаптации, самоорганизации, обучения, возможности наследования и представления опыта экспертов информационной безопасности (ИБ) в виде доступной для анализа системы нечетких правил If-Then [1, 2].
Актуально исследование адаптивных средств классификации угроз безопасности информационных систем (ИС), построенных с учетом биоподобных механизмов ЭС, НЛ и НС. Рассмотрим формы представления знаний экспертов ИБ, используя системы правил ЭС, нечеткое представление информации в НЛ и способность к адаптации информационных полей НС.
«Нечеткое» представление знаний базируется на [1, 3]:
• преобразовании исходных значений данных (в заданном диапазоне значений) в значения истинности высказываний о принадлежности этих значений некоторой функции (например, «большая величина» Ь или «малая величина» 5);
• принципе обощения, согласно которому основные положения и математический аппарат «четкой» логики переносятся на случай «нечеткого» представления информации.
Например, текущее значение нечеткой переменной х0 (признак атаки) сопоставляется с двумя функциями принадлежности, которые каждому значению нечеткой переменной ставят в соответствие значение истинности двух взаимно противоположных (комплементарных) высказываний (рис. 1):
• значение признака атаки «большое» - кривая Ь (истинность 0,2),
• значение признака атаки «малое» - кривая 5 (истинность 0,8).
Введение
«Нечеткое» представление знаний
8
_
3 л0 1
Рис. 1. Комплементарная пара функций принадлежности
Если совокупность признаков атаки представить вектором, то конкретному значению каждой нечеткой координаты вектора (на отрезке области определения) будут соответствовать значения ординат (истинности) функций принадлежности S (small) и L (large), которые в сумме дают 1. Согласно принципу распространения, значения истинности комплементарных высказываний могут обрабатываться в соответствии с этапами логического вывода [4].
Например, пусть знания экспертов ИБ о классификации угрозы Y по вектору признаков атаки Х, образованному из трех нечетких координат х2, х1, х0, представлены в таблице. _
X2 X1 X0 Y
S S S S
S S L S
S L S L
S L L L
L S S L
L S L S
L L S L
L L L S
Таблица. Представление знаний Представления знаний в экспертных системах
Функция Y задана на всех наборах значений вектора атаки и может быть описана конъюнктивной (по «единицам») или дизъюнктивной (по «нулям») системой правил логического вывода [2, 4].
Рассмотрим, например, представление знаний экспертов ИБ (табл. 1) в виде конъюнктивных правил (аналог представления знаний в совершенной дизъюнктивной нормальной форме - ДНФ):
• формируют правила (rules) по числу конъюнктивных термов в ДНФ (числу значений L в столбце Y);
• значениям координат вектора атаки Xj (i = 0, 1, 2) присваивают значения из строк таблицы, соответствующих значению L в столбце Y (или значениям переменных xi из соответствующих конъюнктивных термов ДНФ).
Rule1 Rule2 Rule3 Rule4
If ( X2 is S AND If ( X2 is S AND If ( X2 is L AND If ( X2 is L AND
x1 is L AND x0 is S ) Then Y is L
x1 is L AND x0 is L ) Then Y is L
X1 is S AND X0 is S ) Then Y is L
x1 is L AND x0 is S ) Then Y is L
Представление знаний в виде структуры нечеткой НС
Логическая структура знаний ЭС преобразуется в информационное поле нечеткой НС [5] в соответствии с этапами логического вывода [1, 2].
Первый этап - формирование взаимно противоположных высказываний (соответствует операции «приведение к нечеткости» нечеткого логического вывода). Например:
• х2 ¡б Ь - высказывание «значение признака атаки х2 «большое»,
• х2 ¡б £ - высказывание «значение признака атаки х2 «малое»,
реализуется входным узлом нечеткой НС (рис. 2), формирующим комплементарную пару функций принадлежности £ и Ь (рис. 1).
L(x.)
f
Рис. 2. Входной узел нечеткой НС
Второй этап - логический вывод - соответствует реализации отдельных правил If - Then экспертной системы формальным нейроном (ФН) MIN. ФН MIN (рис. 3) от нечетких аргументов реализует логическую операцию нечеткой конъюнкции Y = д(х„) •.. .• ц(х0) = min(n(x„), ..., ц( х0)).
Рис. 3. Формальный нейрон MIN
Третий этап - композиция - соответствует объединению правил с одинаковыми заключениями (частью Then) и реализуется ФН МАХ (рис. 4).
Рис. 4. Формальный нейрон MAX
ФН MAX от нечетких аргументов реализует логическую операцию нечеткой дизъюнкции Y = д(х„) +...+ д(х0) = max(^(xn), ..., д(х0)).
Нечеткая НС реализует конъюнктивную систему правил нечеткого логического вывода в соответствии с вышеперечисленными этапами (рис. 5).
Формирование взаимно противоположных
высказываний Этап логического вывода
Этап композиции
Рис. 5. Нечеткая нейронная сеть
Сети теории адаптивного резонанса
Сети теории адаптивного резонанса или классификаторы Карпентера-Гроссберга (Adaptive Resonance Theory Network, ART) также применяются для кластеризации многомерных векторов, но обладают рядом особенностей. Главным их свойством является адаптация - процесс обучения сети и ее эксплуатации не разделяются. Сети ART реализуют потоковые алгоритмы кластеризации (без предварительного накопления обучающей выборки) с изменяемым количеством кластеров.
Алгоритм обучения нейронной сети ART1 можно описать следующим образом.
Первый входной вектор считается эталоном первого кластера. Следующий входной вектор сравнивается с эталоном первого кластера. Считается, что он принадлежит этому кластеру, если расстояние до эталона в некоторой метрике меньше заданного порога. При этом координаты эталона корректируются по определенному правилу. В противном случае второй вектор становится эталоном второго кластера. Данный процесс повторяется для всех последующих входных векторов. Число кластеров, таким образом, постепенно растет в зависимости от заданной величины порога и используемой метрики.
Если в качестве координат входных векторов использовать признаки атаки, то координаты выходного вектора, определяемые активным в данный момент кластером, соответствуют классифицируемым угрозам.
Представление знаний экспертной системы в ART-сети
Можно провести аналогию между структурой нечеткой НС и сетей адаптивного резонанса. Так, структура ART-сети соответствует этапам нечеткого логического вывода, а отдельные правила базы знаний экспертной системы - формируемым кластерам. Этапу формирования взаимно противоположных высказываний соответствует первый, входной слой нейронов. На вход НС подаются нормированные (в диапазоне [0;1]) значения в прямом и инверсном виде, т.е. используется комплементарное представление информации.
Этапу логического вывода соответствует скрытый слой ART-сети, в котором формируются кластеры, а этапу композиции - выходной слой, объединяющий выходы нейронов ряда кластеров, ассоциированных с одной угрозой.
Заключение
База знаний экспертной системы с учетом специфики нечеткого представления данных однозначно отражается в структуре нечеткой НС или ART-сети, но, в отличие от ЭС, знания экспертов ИБ могут быть автоматически скорректированы в процессе обучения межнейронных связей НС на достоверном множестве пар векторов {X,Y}. Анализ весов связей между ФН (после обучения НС) позволяет устранить противоречивость знаний экспертов ИБ, которая может присутствовать в исходной базе знаний ЭС.
В ART-сетях за счет использования нечетких операций min и max в процессе идентификации входных векторов достигается высокая скорость решения задачи классификации угроз, а инкрементное обучение (адаптация весов только активного кластера) позволяет в режиме, близком к реальному, корректировать базу знаний, представленную динамичной структурой ART-сети. Отсюда следует, что сети адаптивного резонанса могут применяться в более широком классе задач, чем нечеткие НС.
Литература
1. Negnevitsky M. Artificial intelligence: a guide to intelligent systems. Addison-Wesley, 2002.
2. Нестерук Г.Ф., Осовецкий Л.Г., Харченко А.Ф. Информационная безопасность и интеллектуальные средства защиты информационных ресурсов. (Иммунология систем информационных технологий). - СПб.: Изд-во СПбГУЭФ, 2003.
3. Zadeh L.A., Kacprzyk J. Fuzzy Logic for the Management of Uncertainty. - NY: John Wiley. 1992.
4. Круглов В.В., Борисов В.В. Искусственные нейронные сети. Теория и практика. -2-е изд., стереотип. - М.: Горячая линия - Телеком, 2002.
5. Нестерук Ф.Г., Молдовян А.А., Нестерук Л.Г., Нестерук Г.Ф. Квазилогические ней-ронечеткие сети для решения задач классификации в системах защиты информации // Вопросы защиты информации». - 2007. - № 1. - С. 23-31.
6. Горбань А.Н. Обучение нейронных сетей. - М.: СП ПараГраф, 1991.
