ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УДК 004.056
Метод обеспечения безопасности информации при её обработке в информационной системе на основе машинного обучения
Козин И.С., Рощин А. А.
Аннотация. Постановка задачи: с развитием информационных технологий появляются новые классы средств защиты информации при её обработке в информационных системах. Одним из классов средств защиты информации являются системы анализа поведения пользователей. При разработке средств анализа поведения все большее распространение получают методы машинного обучения, в том числе с применением математического аппарата теории искусственных нейронных сетей. Однако подходы к разработке средств защиты информации, основанные на машинном обучении, на сегодняшний день недостаточно изучены. Целью работы является разработка метода создания искусственной нейронной сети, обеспечивающей проведение анализа санкционированного поведения пользователей информационной системы и выявление аномалий в поведении, сигнализирующих о совершении противоправных действий. Результат: обзор подходов к обеспечению безопасности информации с применением искусственных нейронных сетей показал активное их развитие по разным направлениям, в т. ч. в направлении выявления аномалий. Разработан метод создания искусственной нейронной сети, включающий предложения по определению типа нейронной сети, области числовых значений входных и выходного сигналов, количества слоев и нейронов в слоях, метода обучения, а также типа активационных функций. В качестве входных значений предложено использовать характеристики поведения пользователя: набор данных, с которыми работает пользователь; место доступа к информационной системе; набор действий, которые совершает пользователь; время, в которое осуществляются доступ или определенные действия; общая продолжительность проводимых в течение определенного времени работ. На примере времени выполнения доступа пользователя предложен подход к присвоению характеристике пользователя числовых значений, основанный на применении математического аппарата теории нечетких множеств. Практическая значимость: обученная нейронная сеть обеспечивает более оперативное выявление аномалий в поведении пользователя чем анализ, выполняемый администратором обеспечения безопасности информации без использования специальных средств автоматизации.
Ключевые слова: информационная безопасность, анализ поведения, искусственная нейронная сеть, машинное обучение, теория нечетких множеств.
Актуальность
Неблагоприятная геополитическая обстановка и активизация действий террористов обусловливают актуальность проблем обеспечения безопасности, одним из важнейших аспектов которой является информационная безопасность.
На сегодняшний день существует множество технических решений по обеспечению безопасности информации при ее обработке в информационной системе. Одним из таких решений являются системы управления информационной безопасностью (СУИБ). СУИБ начали получать активное распространение примерно с 2012 г., во время динамичного развития технологий аналитической работы с большими объемами данных и машинного обучения.
Одним из направления развития СУИБ стала разработка систем анализа поведения пользователей (САПП). В задачи САПП входит анализ действий пользователей (состав обрабатываемых данных, контроль используемых устройств и приложений, учет взаимодействий с другими пользователями и т. п.) и выявление аномалий в их поведении. В общем случае, в ходе работы САПП каждому пользователю присваивается определенный уровень надежности, отражающий общую адекватность поведения пользователя в удобном для восприятия администратором безопасности виде. Примерами практического применения САПП являются выявление аномальных действий, совершаемых:
от имени служебных учетных записей (например, использование учетных записей, предназначенных для обеспечения определенных сервисов, для иных целей);
от имени привилегированных учетных записей (администратор домена осуществляет массовый сбор рабочих материалов пользователей и т. п.);
от имени учетных записей обычных пользователей (активный анализ доступных сетевых ресурсов, доступ в несвойственное для пользователя время или из несвойственного места, параллельный доступ из нескольких мест, резко возросшие объемы исходящего в Интернет трафика и т. п.).
Аномалии, распределенные во времени или среди нескольких пользователей, как правило, затруднительны в выявлении, основанном на применении экспертных систем, и требуют значительных временных и вычислительных ресурсов. Из-за большого разнообразия действий пользователей даже регулярные обновления базы данных правил экспертной системы не способны гарантировать точной идентификации всего диапазона аномалий. Одним из подходов к устранению указанных затруднений может быть использование в составе САПП интеллектуальных подсистем, разработанных с использованием методик машинного обучения.
Машинное обучение является одним из направлений развития искусственного интеллекта и за счет применения различных математических аппаратов (таких как математическая статистика, теория вероятностей, численные методы оптимизации и т. п.) позволяет решать задачи классификации, кластеризации, систематизации, предсказания и регрессии. В направлении машинного обучения выделим искусственные нейронные сети (ИНС).
Развитие ИНС вдохновляется биологией. При работе с ИНС, рассматривая различные сетевые конфигурации и алгоритмы, исследователи применяют термины, заимствованные из принципов организации мозговой деятельности. В силу ограниченности знаний о работе мозга, разработчикам ИНС приходится выходить за пределы современных биологических знаний в поисках структур, способных выполнять полезные функции [1]. Элементарной структурной единицей ИНС является искусственный нейрон [2-4], схематично представленный на рис. 1.
Рис. 1. Обобщенная схема нейрона
В общем случае основными элементами искусственного нейрона являются: входные сигналы х (соответствующие сигналам, приходящим в синапсы биологического нейрона), веса <n (на которые умножаются входные сигналы, соответствуют «силе» биологических синаптических связей), суммирующий блок ^ (принимающий и суммирующий входные сигналы - соответствует телу биологического нейрона), выходной сигнал NET (создается суммирующим блоком, является алгебраической суммой взвешенных входов), активационная функция F (преобразующая выходной сигнал NET) и, непосредственно, выходной нейронный сигнал OUT. Математически нейрон может быть представлен формулой:
OUT = f (зд, )j.
Один нейрон способен выполнять простейшие процедуры распознавания, однако для серьезных нейронных вычислений необходимо соединять нейроны в сети. Обобщенная схема однослойной ИНС представлена на рис. 2. Способность ИНС обучаться, адаптироваться под новые типы поведений и распознавать их, даже если ранее она с ними не сталкивалась, придает системе защиты информации, разработанной с их применением, определенную гибкость. Обучают ИНС на определенной выборке примеров, после чего ее реакция анализируется и ИНС настраивается таким образом, чтобы достичь удовлетворительных результатов.
Обзор подходов к обеспечению безопасности с применением искусственных нейронных сетей
Универсальность, которая изначально была заложена в ИНС, обусловливает активное развитие этого направления как в целом [2, 3, 5-7], так и в области обеспечения информационной безопасности - при защите от сетевых атак и вторжений [8-12], антивирусной защите [13], фильтрации спама [14, 15], анализе безопасности [16-18], анализе угроз [19, 20], разработке адаптивных средства защиты [21-23], выявлении аномалий [24] и пр. [25, 26]. В настоящее время существует большое количество разных конфигураций нейронных сетей с различными принципами функционирования [8]. Однако практически все они связаны с выбором и анализом некоторых частных видов структур с известными свойствами (сети Хопфилда, Гроссберга, Кохонена) [2, 27]. Как отмечается в работе [9], наиболее популярными и изученными являются следующие: многослойный персептрон, сети Кохонена, нейронные сети встречного распространения, сети Хопфилда и Хэмминга, сеть с радиальными базисными элементами (КБВ), вероятностная нейронная сеть (РИИ), обобщенно-регрессионная нейронная сеть (ОКИИ) и линейные нейронные сети. Использование существующих ИНС открывает широкие возможности в области обеспечения информационной безопасности, но вместе с тем оно связано и с рядом проблемных вопросов [2, 5, 28, 29].
Постановка задачи
В настоящей статье предлагается метод обеспечения безопасности данных при их обработке в информационной системе, основанный на проведении анализа санкционированного поведения пользователей с применением ИНС.
Предполагается, что каждый пользователь информационной системы обладает набором характеристик, совокупность которых выражает его уникальное типовое поведение. К таким характеристикам предлагается отнести:
набор данных, с которыми работает пользователь (файлы, папки, сетевые объекты, интернет-сайты и т. п.);
место осуществления доступа к информационной системе (конкретный компьютер, помещение, здание, город, страна и т. п.);
набор действий, которые выполняет пользователь (чтение, запись, копирование, модификация и т. п.);
время, в которое осуществляется доступ или выполняются определенные действия (время суток, день недели, определенные числа и т. п.);
общая продолжительность выполняемых в течение определенного времени действий. Предложенный набор характеристик не является исчерпывающим, но позволяет построить уникальную модель поведения пользователя. Отступление от модели поведения (выявление аномалий в поведении) может свидетельствовать о совершении противоправных действий. Примерами таких действий являются:
массовое удаление материалов, к которым имеет доступ пользователь (практикуется многими недовольными работниками при увольнении);
использование чужой учетной записи (практикуется пользователями, несерьезно относящимися к правилам разграничения доступа);
беспорядочное ознакомление или копирование корпоративной информации (практикуется любопытными пользователями и инсайдерами).
Каждая из перечисленных характеристик пользователя может быть рассмотрена применительно к группе пользователей. Таким образом, представляется возможным выявлять аномалии не только в поведении пользователя, но и в поведении групп. Такой подход может найти применение при осуществлении сговора среди пользователей и совершении санкционированных неправомерных действий, распределенных среди нескольких человек и от того особо затруднительных в выявлении.
Каждую характеристику пользователя (или группы пользователей) можно описать в виде коэффициентов х„, n е {1; 5}, где n выражает порядковый номер характеристики: х1 - набор данных, с которыми работает пользователь;
х2 - точка доступа пользователя к информационной системе персональных данных; х3 - набор совершаемых пользователем действий; х4 - время осуществления доступа; х5 - общая продолжительность проводимых работ.
Близкий по своему составу набор характеристик поведения использовался ранее [30]. Совокупность характеристик поведения x обозначим вектором поведения х .
В качестве математического аппарата выявления аномалий в поведении пользователя предлагается использовать теорию ИНС. Таким образом, на входе нейросети должны быть пять входных сигналов х1 - х5, и построение ИНС сводится к решению следующих задач: определение типа необходимой ИНС;
определение подхода к присвоению числовых значений входным сигналам ИНС, отражающим поведение пользователя или группы пользователей (х1 - х5);
определение необходимого количества слоев ИНС и количества нейронов в слоях ИНС; выбор метода обучения ИНС; выбор активационных функций;
выбор области значений выходного сигнала NET, сигнализирующего о наличии аномалий в поведении пользователя или группы пользователей.
Построение искусственной нейронной сети
I. Тип искусственной нейронной сети
Поскольку на сегодняшний день не существует строгой теории по выбору ИНС [25], за основу разрабатываемой ИНС предлагается взять хорошо изученный многослойный полносвязный персептрон без обратных связей.
II. Вход
Для присвоения числовых значений входным сигналам ИНС предлагается использовать математический аппарат теории нечетких множеств, позволяющий присваивать вербальным характеристикам (более свойственно, менее свойственно и т. п.) числовые значения. Основной трудностью, мешающей применению теории нечетких множеств при решении практических задач, является то, что функция принадлежности должна быть задана вне самой теории и, следовательно, ее адекватность не может быть проверена непосредственно средствами теории. В каждом известном методе построения функции принадлежности формулируются свои требования и обоснования к выбору именно такого построения [31]. В рамках решаемой задачи предлагается рассматривать характеристики поведения пользователя хп как характеристические функции принадлежности |!a(w) множеству значений аномального поведения A, заданные на универсальном множестве U и принимающие значения, равные единице, на тех элементах множества U, которые принадлежат множеству A, и значения, равные нулю, на тех элементах, которые не принадлежат множеству A:
Ц А (и) = ■
[ 1, если и е Л [0, если и £ Л
При этом для каждой функции принадлежности должны рассматриваться свои множества. В качестве примера на рис. 3 представлена диаграмма Заде, демонстрирующая возможную зависимость значения характеристической функции принадлежности рл(и) множеству значений аномального поведения А в зависимости от времени доступа пользователя к ресурсам сети, на которой:
и - множество значений времени суток, в которое может быть осуществлен доступ к ресурсам сети, и = {и, и е Я: 0 < и < 24};
А - множество значений времени суток, доступ в которое аномален для конкретного пользователя;
Ца(Ц) - характеристическая функция принадлежности множеству значений времени суток, доступ в которое аномален для конкретного пользователя.
X(и)
1,0 0,9 0,8 0,7 0,6 0,5 0,4 0,3 0,2 0,1
0
цл (и)
4 8 12 16 20 24 Рис. 3. Диаграмма Заде
В предложенном примере предполагается следующее:
продолжительность рабочего дня пользователя составляет девять часов (с девяти утра до шести вечера), включая перерыв на обед (в районе часа дня);
задерживаться по окончании рабочего дня и работать в около обеденное время. Несущее множество аномального поведения можно записать следующим образом: А = 0.9/0 + 1.0/1 + 1.0/5 + 0.9/6 + 0.5/8 + 0/9 + 0/12 + 0.1/13 + 0/14 + 0/18 + 0.5/19 + 0.7/23 + 0.9/24, где запись вида 0.9/0 выражает не деление на ноль, а значение функции принадлежности (в данном примере 0.9) при осуществлении доступа в полночь.
Общая форма записи нечетких подмножеств будет иметь следующий вид:
24 0 1 5 6 8 9
Л = £ ^ (и)/и = £ 0.9/и + £1.0/и + £1.0/и + £ 0.9/и + £ 0.5/и + £ 0/и +
и=0 и=0 и=1 и=5 и=6 и=8 и=9
12 13 14 18 19 23 24
+ £ 0/и + £ 0.1/и + £ 0/и + £ 0/и + £ 0.5/и + £ 0.7/и + £ 0.9/и,
и =12 и =13 и=14 и=18 и =19 и=23 и=24
24
где запись вида £(и)/и не предполагает сумму, но предполагает объединение по всем
и=0
элементам конечного несущего множества значений и. Точками перехода (х(и) = 0.5) для функции принадлежности являются и = 8 и и = 19. III. Количество слоев и нейронов в слоях
Как показал А. Н. Колмогоров [32], любую непрерывную функцию п переменных на единичном отрезке [0; 1] можно представить в виде суммы конечного числа одномерных функций:
и
2n+l i n \
f^, xn ) = £ g|£ I, (x,) ,
p=1 Vi=i У
где функции g и фр являются одномерными и непрерывными, Xi = const для всех i. Из этого следует, что любую непрерывную функцию f: [0; 1]n ^ [0; 1] можно аппроксимировать при помощи трехслойной нейронной сети, имеющей n входных, 2n + 1 скрытых и один выходной нейрон. Данный результат обобщен на многослойную сеть с алгоритмом обратного распространения ошибки [33-35]. Таким образом, при построении ИНС предлагается использовать три слоя: первый слой будет включать в себя три нейрона, второй слой - семь нейронов, последний слой (выходной) - один нейрон.
IV. Метод обучения
В качестве метода обучения предлагается использовать алгоритм обратного распространения ошибки [36]. Данный алгоритм позволяет минимизировать среднеквадратичную ошибку ИНС. На рис. 4 продемонстрирована зависимость среднеквадратичной ошибки Em от номера итерации t на примере прогнозирования функции y = 0.1 sin(3x) + 0.5 с 20 точками обучающей выборки и 8 предсказанными точками [37].
Em 0.8
0.6
0.4
0.2
500
1000
1500
2000
Рис. 4. График убывания ошибки на обучающей выборке
Согласно методу градиентного спуска изменение весовых коэффициентов и порогов нейронной сети происходит по следующему правилу:
(t +1) = Q,(t) -а
ÔE
T, (t +1) = T, (t )-а
ÔQ, (t)
ÔE
dm '
(1) (2)
где E = -
E = — ^(y - tj J - среднеквадратичная ошибка ИНС для одного образа.
2 ,
Показано [38], что
ÔE
ÔQu
= J,F '(S, )Jk,
ÔE = -vf '(S),
ÔT
(3)
(4)
где у - выходное значение /-го нейрона.
В результате подстановки (3) и (4) в (1) и (2) получаются выражения, устанавливающие порядок изменения весовых коэффициентов и порогов нейронов, которого необходимо придерживаться для минимизации среднеквадратичной ошибки ИНС:
1) = Щ) - аур '(<Ш , (5)
Щ+1) = Щ) - аЩ'($) . (6)
Выражения (5) и (6), называемые обобщенным дельта-правилом, определяют правило обучения многослойных ИНС в общем виде.
0
0
t
V. Активационные функции
Для обеспечения сходимости алгоритма обратного распространения ошибки в качестве активационной функции предполагается использовать гиперболический тангенс. Таким образом, ИНС будет являться гомогенной, а выходное значение у-го нейрона определяться следующим образом:
_ -
у = tg(S/) =e e
Я/
e 1 + e 1
где - взвешенная сумма у-го нейрона. Поскольку производная этой функции имеет вид ¥ '(5)) =1-у/, правило обучения можно представить в виде
Юу^1) = - аУ)(1 - У)2)Уг ,
у+1) = Т() - ау(1 - у)2), где I - номер итерации, а - значение шага обучения, у- - значение ошибки для /-го нейрона, Ту - значение порога у-го нейрона.
Ошибка для у-го нейрона выходного и скрытого слоев определяется следующим образом:
Ъ = Уу - Ь ,
у/=£у(1 - у2К.
I
Для выполнения алгоритма обратного распространения ошибки необходимо выполнить следующие действия:
1) задать значения шага обучения а (0<а<1) и желаемой среднеквадратичной ошибки Ет;
2) придать случайные числовые значения весовым коэффициентам и пороговым значениям ИНС. В соответствии с рекомендацией, представленной в работе [39], весовым
коэффициентам Юу предлагается придавать значения, примерно равные , где п(/) -
л/40
число элементов в слое /;
3) последовательно подать образы из обучающей выборки на вход ИНС. При этом для каждого входного образа необходимо выполнить следующие действия:
а) произвести фазу прямого распространения образа по ИНС, при этом вычисляется
( Л
выходная активность всех нейронов ИНС: у . = ЕI £шг> у -Т]
1
У
б) осуществить фазу обратного распространения сигнала, в результате которой определится ошибка нейронов у- для всех слоев ИНС. При этом, соответственно, для выходного и скрытого слоев: у =уу - Ьу ,
у 1 =£уЕ(Я) ш 1. (7)
I
В (7) / характеризует нейронные элементы следующего слоя по отношению к слою у.
в) Изменить весовые коэффициенты и пороги нейронных элементов для каждого слоя ИНС в соответствии с (5) и (6):
Юу(Ь+1) = Юу(Ь) - ау¥' (87)у- , Т(Ь+1) = Щ - оу¥'(Ъу),
4) Вычислить суммарную среднеквадратичную ошибку Е: Е = — £ £(ук - ¿к)2,
2 к=1 1 1 1
где £ - размерность обучающей выборки.
4) Если Е > Ет, то происходит переход к шагу 3, в противном случае алгоритм заканчивается.
Таким образом, алгоритм функционирует до тех пор, пока суммарная среднеквадратичная ошибка ИНС не станет меньше заданной.
Для нейтрализации застраивания метода градиентного спуска в нежелательных минимумах предлагается применять метод тяжелого шарика [39]. В этом случае модификация синаптических связей ИНС будет осуществляться в соответствии с выражением
Afflj(t+1) = -ajjF'(Sj)yi +
где - моментный параметр, выбираемый из диапазона [0; 1]. В соответствии с рекомендациями, представленными в работе [39], предлагается использовать значение = 0.9.
VI. Выход
Для удобства интерпретации результата работы ИНС уместным является использование диапазона выходных значений от нуля (для обозначения отсутствия аномалии) до единицы (для обозначения наличия аномалии).
Однако с учетом выбора, сделанного в пользу использования в качестве метода обучения алгоритма обратного распространения ошибки (для гарантированной минимизации среднеквадратичной ошибки) и гиперболических тангенсов в качестве активационных функций (для обеспечения сходимости алгоритма обратного распространения ошибки), выходной сигнал NET будет принимать значения из диапазона от минус единицы до единицы. Таким образом, наличие аномалии в поведении пользователя предлагается интерпретировать выходом NET, равным единице, а отсутствие аномалии выходом NET, равным минус единице.
Результаты исследования
В качестве итоговой конфигурации был выбран трехслойный полносвязный гомогенный персептрон без обратных связей с пятью входными сигналами, одиннадцатью нейронами и гиперболическими тангенсами в качестве функций активации. В первом слое содержится три нейрона, в скрытом слое - семь и в выходном - один. Итоговая конфигурация подготовленной ИНС представлена на рис. 5.
Слой 1 Слой 2 Слой 3
Рис. 5. Итоговая конфигурация ИНС
При возрастании числа нейронов в скрытых слоях, с одной стороны, растет точность, ИНС, но с другой - при слишком большой размерности скрытых слоев возникает явление перетренировки сети, ухудшающее обобщающие способности ИНС. Таким образом, число тренировочных образов должно быть больше числа нейронов в скрытом слое. В качестве обучающей выборки были взяты 30 комбинаций вектора х, выражающих наборы поведенческих характеристик пользователя и формирующих образы, подаваемые на вход ИНС. В связи с ограниченной областью значений гиперболического тангенса обучающая
выборка была предварительно масштабирована к соответствующему диапазону значений. ИНС обучалась на обучающей выборке до достижения заданной среднеквадратичной ошибки. По окончании обучения для определения точности работы обученной сети использовалась тестовая выборка, состоящая из 10 комбинаций входных и выходных значений. При использовании тестовой выборки на входы сети подавались значения входов из тестовой выборки, затем значения полученных выходов сравнивались со значениями выходов тестовой выборки. В случае отличия значений полученных выходов от значений выходов тестовой выборки сеть проходила дообучение. Для итогового тестирования использовалась тестовая выборка, состоящая из пяти комбинаций.
Выводы
Рассмотрен актуальный подход к защите информации, основанный на применении технологии машинного обучения (теории искусственных нейронных сетей) и отличающейся от известных уникальным составом характеристик поведения пользователя (составом входных характеристик ИНС) и подходом к выбору ИНС. Подготовлена выборка характеристик санкционированных действий пользователей. Данная выборка использовалась для обучения трехслойного персептрона. Обучение проводилось в программном обеспечении SPSS Statistics (разработка компании IBM), предназначенном для статистической обработки данных.
После обучения нейронной сети была проведена проверка эффективности ее работы с помощью контрольной выборки. Относительная погрешность классификации данных составила примерно 10 %, что является достаточно хорошим результатом. При обучении ИНС использовались небольшие выборки, предназначенные для демонстрации общих принципов работы ИНС. Для применения представленного подхода в решении реальных прикладных задач защиты информации, выборки должны быть как можно больше.
Литература
1. Основы теории нейронных сетей. http://www.intuit.ru/studies/courses/88/88/info (дата обращения: 06.12.2017).
2. Круглов В.В., Дли М.И., Голунов Р.Ю. Нечеткая логика и искусственные нейронные сети. — М.: Физматлит, 2001. — 224 с.
3. Воронцов К.В. Лекции по искусственным нейронным сетям. http://www.machinelearning.ru/wiki/images/c/cc/Voron-ML-NeuralNets.pdf (дата обращения: 02.04.2018).
4. Лю Б. Теория и практика неопределенного программирования. — М.: БИНОМ, 2005. — 416 c.
5. Барский А.Б. Нейронные сети: распознавание, управление, принятие решений. — М.: Финансы и статистика, 2004. — 176 c.
6. Беркинблит М Б. Нейронные сети. — М.: МИРОС, 1993. — 96 c.
7. Callan R. The Essence of Neural Networks. — London: Prentice Hall Europe, 1999. — 248 p.
8. Лукащик Е.П., Кочетов Д.А. Применение нейронных сетей для обнаружения сетевых атак / Традиционная и инновационная наука: история, современное состояние, перспективы: сб. статей по итогам Международной научно-практической конференции / Под ред. А. А. Сукиасяна — Стерлитамак: Агентство международных исследований, 2017. С. 24—27.
9. Зубков Е.В., Белов В.М. Методы интеллектуального анализа данных и обнаружения вторжений // Вестник СибГУТИ. 2016. № 1. С. 118—133.
10. Частикова В.А., Картамышев Д.А. К вопросу защиты информации от сетевых атак на основе нейронных сетей // Научные труды Кубанского государственного технологического университета. 2014. № 6. С. 101—104.
11. Кондратьев А.А., Талалаев А.А., Тищенко И.П., Фраленко В.П., Хачумов В.М. Методологическое обеспечение интеллектуальных систем защиты от сетевых атак // Современные проблемы науки и образования. 2014. № 2. С. 119.
12. Васильев В.И., Шарабыров И.В. Обнаружение атак в локальных беспроводных сетях на основе интеллектуального анализа данных // Изв. ЮФУ. Технические науки. 2014. № 2 (151). С. 57—67.
13. Zhi-Peng Pan, Chao Feng, Chao-Jing Tang. Malware Classification Based on the Behavior Analysis and Back Propagation Neural Network. ITM Web of Conferences 7, 02001. 2016. P. 1-5. https://www.itm-conferences .org/articles/itmconf/pdf/2016/02/itmconf_ita2016_02001.pdf (дата обращения 02.03.2018).
14. Ларионова А.В., Хорев П.Б. Метод фильтрации спама на основе искусственной нейронной сети // Интернет-журнал «Науковедение». 2016. Т. 8. № 3(34). https://naukovedenie.ru/PDF/04TVN316.pdf (дата обращения: 03.04.2018).
15. Ларионова А.В., Хорев П.Б. Оценка эффективности фильтрации спама на основе искусственной нейронной сети // Интернет-журнал «Науковедение». 2016. Т. 8. № 2 (33). https://naukovedenie.ru/PDF/134TVN216.pdf (дата обращения: 03.04.2018).
16. Трапезников Е.В., Данилова О.Т. Модель анализа защиты информации на основе нейронной сети // Динамика систем, механизмов и машин. 2016. Т. 2. № 1. С. 302-308.
17. Данилова О.Т., Трапезников Е.В. Разработка модели, анализирующей функцию безопасности в системе информационной защиты, на основе нейронной сети // Информационное противодействие угрозам терроризма. 2015. № 24. С. 24-29.
18. Гильмуллин Т.М., Гильмуллин М.Ф. Подходы к автоматизации процесса валидации уязвимостей, найденных автоматическими сканерами безопасности, при помощи нечетких множеств и нейронных сетей // Фундаментальные исследования. 2014. № 11-2. С. 266-279.
19. Цырульник В.Ф., Кадочникова Н.А. Оценка актуальности угроз информационной безопасности с помощью программной реализации обученной нейронной сети // Научный альманах. 2016. № 4-3 (18). С. 211-215.
20. Соловьев С.В., Мамута В.В. Применение аппарата нейросетевых технологий для определения актуальных угроз безопасности информации информационных систем // Наукоемкие технологии в космических исследованиях Земли. 2016. Т. 8. № 5. С. 78-82.
21. Мухин В.Е., Корнага Я.И., Стешин В.В. Адаптивные средства защиты компьютерных систем на основе модифицированных нейронных сетей Кохонена // Научно-технические ведомости Санкт-Петербургского государственного политехнического университета. Информатика. Телекоммуникации. Управление. 2014. № 2 (193). С. 31-38.
22. Штеренберг С.И., Виткова Л.А., Просихин В.П. Методика применения концепции адаптивной саморазвивающейся системы // Информационные технологии и телекоммуникации. 2014. № 4. С. 126-133.
23. Котенко И.В., Нестерук Ф.Г., Шоров А.В. Гибридная адаптивная система защиты информации на основе биометафор «нервных» и нейронных сетей // Инновации в науке. 2013. № 16-1. С. 79-83.
24. Вишняков В.А., Коваль О.И., Моздурани Шираз М.Г. Использование нейронных сетей для обнаружения и распознавания аномалий в корпоративной информационной системе предприятия // Доклады Белорусского государственного университета информатики и радиоэлектроники. 2016. №4. С. 86-92.
25. Улезло Д.С., Кадан А.М. Методы машинного обучения в решении задач информационной безопасности // Intelligent Technologies for Information Processing and Management (ITIPM'2015) Proceedings of the 3rd International Conference. 2015. С. 41-44.
26. Цветкова О.Л., Крепер А.И. О применении теории искусственных нейронных сетей в решении задач обеспечения информационной безопасности // Символ науки. 2017. № 04-2. С. 105-107.
27. Галушкин А.И. Нейрокомпьютеры и их применение. - М.: ИПРЖР, 2000. - 416 с.
28. Щавелев Л.В. Способы аналитической обработки данных для поддержки принятия решений. http://infovisor.ivanovo.ru/press/paper04.html (дата обращения: 03.04.2018).
29. Хайкин С. Нейронные сети: полный курс. - М.: Вильямс, 2006. - 1104 с.
30. Shelestov A., Skakun S., Kissul O. Complex Neural Network Model of User Behavior in Distributed System// Knowlegge-Dialogue-Solutions: International Conference. 2007. P. 1-8. http://inform.ikd.kiev.ua/ content/ua/publications/articles/content/KDS07-Shelestov_Skakun_Kussul.pdf (дата обращения: 02.03.2018).
31. Нечеткие множества и теория возможностей. Последние достижения // Под ред. Р. Ягера. - М.: Радио и связь, 1986. - 408 с.
32. Колмогоров А.Н. О представлении непрерывных функций нескольких переменных в виде суперпозиций непрерывных функций одного переменного и сложения // Докл. АН СССР. 1957. Т. 114. С. 953-956.
33. Hornik K., Stinchcombe M., White H. Multilayer Feedforward Networks are Universal Approximators // Neural Network. 1989. № 2(5). P. 359-366.
34. Rojas R. Theorie der Neuronalen Netze: Eine Systematische Einfuehrung. Korrigierter Nachdruck. 1996. № 4.
35. Maxwell T., Giles C.L., Lee Y.C., Chen H.H. Nonlinear Dynamics of Artificial Neural Systems. 1986.
36. Rumelhart D., Hinton G., Williams R. Learning Representations by Back-Propagating Errors// Nature. 1986. Vol. 323. P. 533-536. doi:10.1038/323533a0.
37. Рудой Г.И. Выбор функции активации при прогнозировании нейронными сетями // Машинное обучение и анализ данных. 2001. Т. 1. № 1. С. 16-39.
38. Головко В.А. Нейронные сети. Обучение, организация и применение. - М.: ИПРЖР, 2001. -256 с.
39. Hertz J., Krogh A., Palmer R. Introduction to the Theory of Neural Computation. - Addison Wesley, Redwood City, 1991. - 327 p.
References
1. Osnovy teorii neironnykh setei [The Fundamentals of the Theory of Artificial Neural Networks]. Available at: http://www.intuit.ru/studies/courses/88/88/info (accessed 6 December 2017). (In Russian).
2. Kruglov V. V., Dli M. I., Golunov R. Iu. Nechetkaia logika i iskusstvennye neironnye seti. Moscow, Fizmatlit Publ., 2001. 224 p. (In Russian).
3. Vorontsov K.V. Lektsii po iskusstvennym neironnym setiam. Available at: http://www. machinelearning.ru/wiki/images/c/cc/Voron-ML-NeuralNets.pdf (accessed 2 April 2018). (In Russian).
4. Liu B. Teoriia i praktika neopredelennogo programmirovaniia. Moscow, BINOM Publ., 2005. 416 p. (In Russian).
5. Barskii A.B. Neironnye seti: raspoznavanie, upravlenie, priniatie reshenii. Moscow, Finansy i statistika Publ., 2004. 176 p. (In Russian).
6. Berkinblit M.B. Neironnye seti: Uchebnoe posobie. Moscow, MIROS Publ., 1993. 96 p. (In Russian).
7. Callan R. The Essence of Neural Networks. London, Prentice Hall Europe, 1999. 248 p.
8. Lukashchik E.P., Kochetov D.A. Primenenie neironnykh setei dlia obnaruzheniia setevykh atak [The Use of Neural Networks to Detect Network Attacks. In: Scientific Collection "Traditsionnaia i innovatsionnaia nauka: istoriia, sovremennoe sostoianie, perspektivy"]. Eds. A. A. Sukiasian. Sterlitamak, Agentstvo mezhdunarodnykh issledovanii Publ., 2017. Pp. 24-27 (In Russian).
9. Zubkov E.V., Belov V.M. Metody intellektual'nogo analiza dannykh i obnaruzheniia vtorzhenii. Vestnik SibGUTI, 2016, no. 1, pp 118-133 (In Russian).
10. Chastikova V.A., Kartamyshev D.A. K voprosu zashchity informatsii ot setevykh atak na osnove neironnykh setei [To the Issue of Protection of Information from Network Attacks Based on Neural Networks. In: Scientific Collection of Kuban State Technical University]. 2014. no. 6. Pp. 101-104 (In Russian).
11. Kondrat'ev A.A., Talalaev A.A., Tishchenko I.P., Fralenko V.P., Khachumov V.M. Metodologicheskoe obespechenie intellektual'nykh sistem zashchity ot setevykh atak. Sovremennye problemy nauki i obrazovaniia, 2014, no. 2, p. 119 (In Russian).
12. Vasil'ev V.I., Sharabyrov I.V. Obnaruzhenie atak v lokal'nykh besprovodnykh setiakh na osnove intellektual'nogo analiza dannykh. Izvestiia IuFU. Tekhnicheskie nauki, 2014, no. 2(151), pp 57-67 (In Russian).
13. Zhi-Peng PAN, Chao FENG, Chao-Jing TANG. Malware Classification Based on the Behavior Analysis and Back Propagation Neural Network. ITM Web of Conferences 7, 02001, 2016. P. 1-5. Availableat:https://www.itm-conferences.org/articles/itmconf/pdf/2016/02/itmconf_ita2016_02001.pdf (accessed: 2 March 2018).
14. Larionova A.V., Khorev P.B. Metod fil'tratsii spama na osnove iskusstvennoi neironnoi seti. Internet-zhurnal «Naukovedenie», 2016, vol. 8, no 3(34). Available at: https://naukovedenie.ru/PDF/04TVN316.pdf (accessed 3 April 2018). (In Russian).
15. Larionova A.V., Khorev P.B. Otsenka effektivnosti fil'tratsii spama na osnove iskusstvennoi neironnoi seti. Internet-zhurnal «Naukovedenie», 2016, vol. 8, no 2(33). Available at: https://naukovedenie.ru/PDF/134TVN216.pdf (accessed 3 April 2018). (In Russian).
16. Trapeznikov E.V., Danilova O.T. Model' analiza zashchity informatsii na osnove neironnoi seti. Dinamika sistem, mekhanizmov i mashin, 2016, vol. 2, no. 1, pp 302-308 (In Russian).
17. Danilova O.T., Trapeznikov E.V. Razrabotka modeli, analiziruiushchei funktsiiu bezopasnosti v sisteme informatsionnoi zashchity, na osnove neironnoi seti. Informatsionnoe protivodeistvie ugrozam terrorizma, 2015, no. 24, pp 24-29 (In Russian).
18. Gil'mullin T.M., Gil'mullin M.F. Podkhody k avtomatizatsii protsessa validatsii uiazvimostei, naidennykh avtomaticheskimi skanerami bezopasnosti, pri pomoshchi nechetkikh mnozhestv i neironnykh setei. Fundamental'nye issledovaniia, 2014, no. 11-2, pp 266-279 (In Russian).
19. Tsyrul'nik V.F., Kadochnikova N.A. Otsenka aktual'nosti ugroz informatsionnoi bezopasnosti s pomoshch'iu programmnoi realizatsii obuchennoi neironnoi seti. Nauchnyi al'manakh, 2016, no. 4-3(18), pp 211-215 (In Russian).
20. Solov'ev S.V., Mamuta V.V. Primenenie apparata neirosetevykh tekhnologii dlia opredeleniia aktual'nykh ugroz bezopasnosti informatsii informatsionnykh sistem. Naukoemkie tekhnologii v kosmicheskikh issledovaniiakh Zemli, 2016, vol. 8, no. 5, pp 78-82 (In Russian).
21. Mukhin V.E., Kornaga Ia.I., Steshin V.V. Adaptivnye sredstva zashchity komp'iuternykh sistem na osnove modifitsirovannykh neironnykh setei Kokhonena. Nauchno-tekhnicheskie vedomosti Sankt-Peterburgskogo gosudarstvennogo politekhnicheskogo universiteta. Informatika. Telekommunikatsii. Upravlenie, 2014, no. 2(193), pp 31-38 (In Russian).
22. Shterenberg S.I., Vitkova L.A., Prosikhin V.P. Metodika primeneniia kontseptsii adaptivnoi samorazvivaiushcheisia sistemy. Informatsionnye tekhnologii i telekommunikatsii, 2014, no. 4(8), pp 126133 (In Russian).
23. Kotenko I.V., Nesteruk F.G., Shorov A.V. Gibridnaia adaptivnaia sistema zashchity informatsii na osnove biometafor «nervnykh» i neironnykh setei. Innovatsii v nauke, 2013, no. 16-1, pp 79-83 (In Russian).
24. Vishniakov V.A., Koval' O.I., Mozdurani Shiraz M.G. Ispol'zovanie neironnykh setei dlia obnaruzheniia i raspoznavaniia anomalii v korporativnoi informatsionnoi sisteme predpriiatiia. Doklady Belorusskogo gosudarstvennogo universiteta informatiki i radioelektroniki, 2016, no. 4(98), pp 86-92 (In Russian).
25. Ulezlo D.S., Kadan A.M. Metody mashinnogo obucheniia v reshenii zadach informatsionnoi bezopasnosti. Intelligent Technologies for Information Processing and Management (ITIPM'2015) Proceedings of the 3rd International Conference, 2015, pp 41-44 (in Russian).
26. Tsvetkova O.L., Kreper A.I. O primenenii teorii iskusstvennykh neironnykh setei v reshenii zadach obespecheniia informatsionnoi bezopasnosti. Simvol nauki, 2017, no. 04-2, pp 105-107 (In Russian).
27. Galushkin A.I. Neirokomp'iutery i ikh primenenie. Moscow, IPRZhR Publ., 2000. 416 p. (In Russian).
28. Shchavelev L.V. Sposoby analiticheskoi obrabotki dannykh dlia podderzhki priniatiia reshenii. Available at: http://infovisor.ivanovo.ru/press/paper04.html (accessed: 3 April 2018). (In Russian).
29. Khaikin S. Neironnye seti: polnyi kurs. - Moscow, Izdatel'skii dom «Vil'iams» Publ., 2006. 1104 p. (In Russian).
30. Shelestov Andrii, Skakun Serhiy, Kissul Olga. Complex Neural Network Model of User Behavior in Distributed System. International Conference «Knowlegge-Dialogue-Solutions», 2007. P. 1 - 8. Available at: http://inform.ikd.kiev.ua/content/ua/publications/articles/content/KDS07-Shelestov_Skakun_Kussul.pdf (accessed 2 March 2018).
31. Nechetkie mnozhestva i teoriia vozmozhnostei. Poslednie dostizheniia // Pod red. Ronal'da R. Iagera. Moscow, Radio i sviaz' Publ., 1986. 408 p. (In Russian).
32. Kolmogorov A.N. O predstavlenii nepreryvnykh funktsii neskol'kikh peremennykh v vide superpozitsii nepreryvnykh funktsii odnogo peremennogo i slozheniia. Proc. of Academy of Sciences. 1957. Pp. 953-956 (In Russian).
33. Hornik K., Stinchcombe M., White H. Multilayer feedforward networks are universal approximators. Neural Networks, 1989, no. 2(5). P. 359 - 366.
34. Rojas R. Theorie der neuronalen netze: Eine systematische einfuehrung. Korrigierter Nachdruck. 1996, no. 4.
35. Maxwell T., Giles C.L., Lee Y.C., Chen H.H. Nonlinear dynamics of artificial neural systems. 1986.
36. Rumelhart D., Hinton G., Williams R. Learning representations by back-propagating errors. Nature, 1986. P. 533 - 536. doi: 10.1038/323533a0
37. Rudoi G.I. Vybor funktsii aktivatsii pri prognozirovanii neironnymi setiami. Mashinnoe obuchenie i analiz dannykh, 2001, vol. 1, no. 1, pp 16-39 (In Russian).
38. Golovko V.A. Neironnye seti obuchenie, organizatsiia i primenenie. Moscow, IPRZhR Publ., 2001. 256 p. (In Russian).
39. Hertz J., Krogh A., Palmer R. Introduction to the theory of neural computation. Addison Wesley, Redwood City, 1991. 327 p.
Статья поступила 12 августа 2019 г.
Информация об авторах
Козин Иван Сергеевич - Начальник отдела АО «Кронштадт Технологии». Область научных интересов: информационная безопасность; машинное обучение. Тел.: +7(921)8904713. E-mail: van@trioptimum.com. Адрес: 199178, Россия, Санкт-Петербург, Малый пр. В.О., д. 54, к. 5.
Рощин Александр Александрович - Начальник отдела ПАО «Интелтех». Кандидат технических наук, доцент. Область научных интересов: защита информации. Тел.: +7(911)7521352. E-Mail: intelteh@inteltech.ru. Адрес: 197342, Россия, г. Санкт-Петербург, ул. Кантемировская, д. 8.
Method of Protection of Data in its Processing in Information System Based
on the Machine Learning
I.S. Kozin, A.A. Roshchin
Annotation. Introduction: to the information technologies development are creating new classes of data protection software in its processing in information systems. One of the classes of the protection software is a User Behavior Analytics systems. To develop behavior analytics systems one of the most widespread are gets methods of machine learning, including application of mathematics of artificial neural networks theory. However, the approaches to development of protection software, based on machine learning, had not studied enough. Purpose: developing the method of creation of the artificial neural network, ensuring analytics of authorizing behavior of an information systems user and detecting abnormalities in a behavior, that signals about criminal activity. Results: A review of protection the information based on the artificial neural networks had been made of their intensive development on different ways, including the behavior analytics. A method had been of creation of the artificial neural network, including proposal to determinate of neural networks type, numeric values range of the input and output signals, numbers of the layers and neurons in the layers, learning method, and types of activation functions. Users behavior characteristics had been offered to use sample input values: set of users data; source of access to information system; set of users actions; time of access or actions; general duration of runtime operations. Based on user's access method an approach had been proposed to give numeric values to the characteristics of user's behavior, based on application of a mathematics offuzzy set theory. Practical relevance: learned neural network provides more effective detecting abnormalities in user behavior than analyze by information security specialist without using the special automation tools.
Keywords: Information Security, Behavior Analytics, Artificial Neural Networks, Machine Learning, Fuzzy Set Theory
Information about Authors
Kozin Ivan Sergeevich - Department Lead, JSC «Kronstadt Technologies». Field of research: information security; machine learning. Tel.: +7 921 8904713. E-mail: van@trioptimum.com. Address: Russia, 199178, Saint-Petersburg, Maliy pr. V.O., 54/5.
Roshchin Aleksandr Aleksandrovich - Department Lead of PJSC «Inteltech». PhD, assistant professor. Field of research: information security. Tel.: +7 921 8904713. E-mail: intelteh@inteltech.ru. Address: Russia, 197342, Saint-Petersburg, ul. Kantemirovskaya, 8.
Для цитирования: Козин И.С., Рощин А.А. Метод обеспечения безопасности информации при её обработке в информационной системе на основе машинного обучения // Техника средств связи. 2019. № 4 (148). С. 70-82.
For citation: Kozin I.S., Roshchin A.A. Method of Protection of Data in its Processing in Information System Based on the Machine Learning // Means of communication equipment. 2019. No4 (148). P. 70-82. (In Russian).