Научная статья на тему 'МЕТОДИКА ОЦЕНКИ ЗАЩИЩЕННОСТИ ПРОТОКОЛОВ СЕТИ ПЕРЕДАЧИ ДАННЫХ В УСЛОВИЯХ ДЕСТРУКТИВНЫХ КИБЕРВОЗДЕЙСТВИЙ'

МЕТОДИКА ОЦЕНКИ ЗАЩИЩЕННОСТИ ПРОТОКОЛОВ СЕТИ ПЕРЕДАЧИ ДАННЫХ В УСЛОВИЯХ ДЕСТРУКТИВНЫХ КИБЕРВОЗДЕЙСТВИЙ Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
147
30
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
МЕТОДИКА / ИДЕНТИФИКАЦИЯ / ПРИЗНАК / ПРОТОКОЛ / УЯЗВИМОСТЬ / ОЦЕНКА / ЗАЩИЩЕННОСТЬ / СЕТЬ ПЕРЕДАЧИ ДАННЫХ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Дементьев Владислав Евгеньевич, Чулков Александр Анатольевич

Представлена методика оценки защищенности протоколов сети передачи данных в условиях деструктивных кибервоздействий. Методика предназначена для определения количественных и качественных значений характеристик нарушения безопасности данных в сети передачи данных в ходе эксплуатации и является инструментом, позволяющим предоставить необходимые данные для принятия решения по реагированию на нарушение безопасности данных.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Дементьев Владислав Евгеньевич, Чулков Александр Анатольевич

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

METHODOLOGY FOR ASSESSING THE SECURITY OF DA TA NETWORK PROTOCOLS IN THE CONTEXT OF DESTRUCTIVE CYBERATTACKS

A method for assessing the security of data network protocols in the context of destructive cyber-attacks is presented. The methodology is designed to determine the quantitative and qualitative values of the characteristics of a data security breach in the data transmission network during operation and is a tool that allows you to provide the necessary data to make a decision on how to respond to a data security breach.

Текст научной работы на тему «МЕТОДИКА ОЦЕНКИ ЗАЩИЩЕННОСТИ ПРОТОКОЛОВ СЕТИ ПЕРЕДАЧИ ДАННЫХ В УСЛОВИЯХ ДЕСТРУКТИВНЫХ КИБЕРВОЗДЕЙСТВИЙ»

work elements, the methodology includes calculation of the availability factor and probability of connectivity, taking into account the provision of a given QoS under the influence of destabilizing factors.

Key words: technological management system, infocommunication network, stability, probability of connectivity, availability.

Kovaykin Yriy Vladimirovich, candidate of technical sciences, deputy head of department, klyv. [email protected], Russia, Saint-Peterburg, Military academy of communication,

Lebedev Pavel Vladimirovich, postgraduate, spirit-angelayandex. ru, Russia, Saint-Peterburg, Military academy of communication,

Liseykin Roman Evgenievich, candidate of technical sciences, docent, lisey-kin. roman@,mail. ru, Russia, Saint-Peterburg, Military academy of communication,

Oranskiy Sergey Vladimirovich, candidate of military sciences, docent, [email protected], Russia, Saint-Peterburg, Military academy of communication

УДК 004

МЕТОДИКА ОЦЕНКИ ЗАЩИЩЕННОСТИ ПРОТОКОЛОВ СЕТИ ПЕРЕДАЧИ ДАННЫХ В УСЛОВИЯХ ДЕСТРУКТИВНЫХ КИБЕРВОЗДЕЙСТВИЙ

В.Е. Дементьев, А.А. Чулков

Представлена методика оценки защищенности протоколов сети передачи данных в условиях деструктивных кибервоздействий. Методика предназначена для определения количественных и качественных значений характеристик нарушения безопасности данных в сети передачи данных в ходе эксплуатации и является инструментом, позволяющим предоставить необходимые данные для принятия решения по реагированию на нарушение безопасности данных.

Ключевые слова: методика, идентификация, признак, протокол, уязвимость, оценка, защищенность, сеть передачи данных.

Предлагаемая методика оценки защищенности протоколов сети передачи данных базируется на модели оценки протоколов СПД [1] на основе машинного обучения и предполагает программную реализацию основных задач.

Для методики существенны следующие ограничения и допущения:

1. В сети передачи данных (СПД) на одном элементе в один момент времени фиксируется не более одного деструктивного кибервоздействия ДКВ.

2. Количество идентифицируемых признаков ДКВ в ходе реализации методики является постоянным.

3. Состав технических средств, технологии и протоколы СПД, используемые в качестве источников данных, не изменяется.

Общая схема методики оценки защищенности протоколов СПД от кибервоз-действий имеет вид, представленный на рис. 1.

265

Рис. 1. Блок-схема алгоритма методики оценки защищенности протоколов

СПД от ДКВ

Основные этапы методики оценки защищенности протоколов СПД от ДКВ [2]:

1. Подготовка и анализ исходных данных (формирование перечня идентификационных признаков).

2. Генерация структуры ГС ИНС и получение тестовой, обучающей и эталонных выборок.

3. Функционирование системы оценки защищенности.

3.1 Построение и агрегация матриц признаков протоколов СПД.

3.2 Идентификация признаков протоколов СПД и признаков ДКВ.

4. Анализ и вывод полученных результатов оценки защищенности протоколов СПД от ДКВ.

Все операции, осуществляемые в методике, разделены на две группы: действия администратора безопасности информации и автоматические процедуры, выполняемые программными средствами системы оценки.

Этап подготовки и анализа исходных данных реализуется разработчиком, путем задания и, в случае необходимости, внесения изменений в параметры системы оценки. Результатами данного этапа являются признаки и (или) их значения протоколов СПД, определяющие процесс функционирования системы оценки защищенности по предложенной методике. Этап определения основных параметров системы оценки защищенности состоит из следующих основных шагов:

1. Определение полного перечня признаков протоколов СПД и диапазона их значений.

2. Определение текущего состава технических средств, технологий и протоколов СПД, используемых в качестве источников данных.

3. Уточнение перечня признаков на основе данных, полученных на втором шаге.

4. Определение временного интервала идентификации признаков протоколов СПД и ДКВ.

На основе используемых технологий и протоколов формируется список признаков. База признаков протоколов формируется с помощью искусственной нейронной сети (ИНС). Признаки протоколов можно разделить по уровням модели 081, по типам источников данных, по стадиям реализации сценариев ДКВ и другим признакам, позволяющим учитывать особенности их реализации при предстоящей оценке [3].

Максимальный размер временного интервала идентификации признаков, составляет 30 минут. Интервал идентификации признаков выбирается с учетом необходимости повышения полноты обнаружения и продолжительности ДКВ [4, 5, 6]. В ходе проводимого исследования выбрано число временных отсчетов равное 300, соответственно, шаг идентификации признаков составляет от 5 мсек до 5 минут. Таким образом, осуществляется перекрытие возможных интервалов ДКВ в пределах до 5 минут.

Этап создания и обучения комбинированных искусственных нейронных сетей реализуется разработчиком системы оценки защищенности либо администратором безопасности информации с использованием программных средств системы оценки защищенности путем определения структуры и обучения (дообучения при идентификации новых признаков) генератора и дискриминатора генеративно-состязательной ИНС (ГС ИНС). Результатом данного этапа является ГС ИНС, для формирования которой выполнены следующие шаги:

1. Определение структуры и обучение генератора ГС ИНС.

2. Получение обучающей выборки.

3. Определение структуры и тренировка дискриминатора ГС ИНС.

4. Дообучение генератора и дискриминатора при появлении новых признаков. Указанные шаги реализуются совместно, поскольку обучение генератора и

дискриминатора осуществляется на различных структурах, а структуры ИНС, в свою очередь, зависят от эффекта обучения, заключающегося в получении правильных откликов.

Структуры генератора и дискриминатора формируются в зависимости от определяемых признаков протоколов СПД, установленных на первом шаге этапа подготовки и анализа исходных данных. Задание структуры генератора основано на применении компонента формирования структуры нейросетевой модели оценки защищенности протоколов в условиях ДКВ. Используя функции компонента формирования структуры искусственной нейронной сети, задача определения структуры генератора представляется в виде системы (1):

NIL = NAst ■NAsb

Nsl = FfL ( E*L )

k k *

NNE = FNE (ENE ) (1)

NOLn = \VK

E**L < eSL *

[ENE < eNE

где Njl - количество нейронов входного слоя; NAst - количество строк матрицы признаков протоколов A; N^sb - количество столбцов матрицы признаков протоколов A;

Nsl - количество скрытых слоев; FfL - функция, определяющая количество скрытых

*

слоев ИНС; Esl - значение ошибки ИНС при количестве скрытых слоев Nsl ; eSL -пороговое значение ошибки для количества скрытых слоев Nsl ; N^e - количество

нейронов в k-ом скрытом слое; Fj^e - функция, определяющая количество нейронов в

* k k-ом скрытом слое ИНС; Ene - значение ошибки ИНС при количестве нейронов Nne

в k-ом скрытом слое; eNE - пороговое значение ошибки для числа нейронов Nn~e в k-ом скрытом слое; NßLn - количество нейронов в выходном слое ИНС для n-го признака протокола СПД; Vh - множество значений n-го признака протокола СПД.

hn

Последовательность действий по построению требуемой структуры генератора представлена в виде алгоритма формирования структуры ИНС. Входными данными алгоритма формирования структуры являются: матрица A признаков протоколов СПД, определяющая число нейронов входного слоя; множество значений признаков протоколов СПД, определяющее число нейронов выходного слоя. В результате выполнения алгоритма формируется структура генератора.

Решение задачи определения количества слоев и нейронов рассмотрим путем применения одной из двух стратегий [7] на примере формирования и обучения структуры генератора:

1) Последовательное увеличение количества слоев генератора и нейронов в них (наращивание сети (рис. 2)). Изначально задается структура генератора, состоящая из входного, одного скрытого слоя и выходного слоёв. Число нейронов скрытого слоя устанавливается в соответствии с минимальным значением, определяемым выражениями (2) и (3) [8]. Вычисляется значение ошибки для генератора. Затем добавляется еще один нейрон скрытого слоя и снова определяется значение ошибки.

Nskr

N

Мх + Му

N N у у у ехт

1 +1°§2( Nexm )

£ NWsv £ ^ (

N

ехт

N

+1)( ^ + ^ +1) + ^,

у

(2)

(3)

где Ny - количество нейронов выходного слоя; Nexm - количество элементов множества обучающих примеров; Nwsv - определяемое количество синаптических связей; Nx - количество нейронов входного слоя.

1) Если значение ошибки не изменилось или увеличилось, процедуру добавления нейронов завершают и оставляют структуру сети без введенного нейрона. Если значение ошибки уменьшилось, то добавляется еще один нейрон скрытого слоя и определяется значение ошибки для сформированной структуры. Процедуру добавления нейронов и проверку величины значения ошибки итеративно продолжают до тех пор, пока значение ошибки не уменьшится ниже допустимого значения, либо значение ошибки начнет снова возрастать.

Рис. 2. Схема алгоритма формирования структур генератора (дискриминатора)

путем расширения сети

2) Последовательное исключение связей между изначально избыточным числом нейронов в структуре генератора (упрощение структуры сети). Первоначально задается избыточное число скрытых слоёв генератора, например, пять. Для этой структуры происходит обучение и расчет значения ошибки.

3) После этого исключаются связи нейронов для одного слоя, повторяется обучение и расчет значения ошибки. Если значение ошибки остается в допустимых пределах, то повторяем процедуру обнуления связей для следующего слоя. Если значение ошибки увеличилось, то возвращаемся к структуре генератора на предыдущем шаге.

4) Выбор стратегии формирования структуры генератора определяется разработчиком системы оценки защищенности и зависит от имеющегося ресурса времени на обучение генератора, вычислительных мощностей, отводимых на функционирование, опыта по созданию структур генератора для решения задач классификации.

Ключевым моментом алгоритма формирования структуры генератора является задание величины допустимой ошибки обучения, являющейся критерием остановки. Последовательность действий по обучению генератора и выбору величины ошибки обучения задается алгоритмом его обучения.

Входными данными для алгоритма обучения являются множество пар обучающих данных и пороговая величина ошибки обучения. Результатом работы алгоритма служат весовые коэффициенты нейронных связей генератора.

На вход сформированного генератора для п-го признака ДКВ Н„ подается

множество обучающих пар {(inj,outi)}, i = 1,Ыпрм , где Щ = (x\,,...,xlq) - входной

вектор для i-ого по счету образца, состоящий из q-элементов; outj = (y\, y\,..., Ут) -выходной вектор, состоящий из m-элементов; NnpM - количество обучающих примеров для n-го признака ДКВ hn. Требуется сформировать весовые коэффициенты нейронных связей W, при которых генератор формирует значения outj, которые отличаются от эталонных значений выхода out не более чем на пороговую величину

i

ошибки обучения е, т.е.

" " " < е. (4)

outj - outj

При этом зависимость ошибки E обучения генератора от конкретного набора W весовых коэффициентов называют функцией ошибки обучения:

1 N

1 -"вых * о

E(W) =- е (out*- outj(W))2, (5)

-вых j= 1

где -вых - количество выходов генератора.

Существуют два основных подхода к минимизации функции ошибки обучения в пространстве весов W: метод поиска и методы, основанные на градиентном спуске.

На практике для формирования весовых коэффициентов W применяется реализация градиентного метода - способ обратного распространения ошибки [7].

В процессе обучения тренировочные примеры подаются на входной слой генератора. Множество всех тренировочных примеров принято называть эпохой обучения. В каждом слое, начиная с первого, каждый нейрон получает от всех остальных нейронов значения (для первого слоя входные значения), которые умножаются на весовые коэффициенты нейронных связей, по которым пришли эти значения. Затем полученные произведения суммируются. Полученная сумма является аргументом нелинейной функции активации, которая формирует выходное значение нейрона, подаваемое в скрытом слое следующим нейронам, а в выходном слое являющееся частью ответа генератора на входные данные. Описанный процесс называется прямым ходом алгоритма обратного распространения.

Значения выходного слоя сравниваются с ожидаемыми значениями тренировочного примера. Разница между ожидаемым выходным значением и фактическим называется ошибкой генератора. Если полученное значение ошибки E больше установ-

ленного порогового значения 8, то значение ошибки Е используется для вычисления локального градиента ошибки для каждой нейронной связи выходного слоя генератора согласно выражению (6), а для скрытого слоя - выражению (7):

ЭЕ _ ЭЕ Эуу Э^- _

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

дЕ

ц

ЭЩу Эуу ЭЩу

(т дУШ.э^] ЭУу ЭУ т в

п_1 ЭуП+1 э4+1 Эу1у ,

-(У*' - у у )■ уу-(1 - уу )• у! _8у-уг, (6)

{■-у _ (т )■ у у-(1 - уу )■ у/-1, (7)

Эь1у Эw\у п _1

где Е - суммарная ошибка обучения генератора; Wj-¡ - весовой коэффициент связи !-

и

ого нейрона скрытого слоя с у-м нейроном выходного слоя; у у - у-ое выходное значе-

*

ние ИНС; sу - суммарное взвешенное значение входов у-ого нейрона; уу - требуемое значение у-ого выхода ИНС; уг- - выходное значение !-ого нейрона предыдущего слоя;

wíi - весовой коэффициент связи !- ого нейрона /-1 скрытого слоя с у-м нейроном /-ого

у

слоя; уП+1 - выходное значение п-ого нейрона /+1 слоя ИНС; ^П+1- суммарное взвешенное значение входов п-ого нейрона /+1 слоя ИНС; с1у - значение ошибки, вносимое

у-м нейроном того слоя, для которого вычисляется частная производная ошибки; т -количество нейронов /+1 слоя ИНС.

Вычисление происходит от последнего слоя к первому и называется обратным ходом алгоритма обратного распространения ошибки. Полученные значения локального градиента ошибки для каждого нейрона сети используется для обновления весовых коэффициентов нейронных связей согласно формуле:

-к к ЭЕ ^ _^<8)

где W- обновленное значение весового коэффициента; Н - коэффициент скорости обучения, 0 < Н < 1.

На этом процесс обучения для рассматриваемого примера завершается и на вход ИНС подается следующий пример данной эпохи.

В [7] указано, что «алгоритм обратного распространения ошибки сошелся, если Евклидова норма вектора градиента достигает достаточно малых значений». Так же критерием сходимости является «достаточно малая абсолютная интенсивность изменений среднеквадратической ошибки в течение эпохи».

В исследовании для реализации алгоритма формирования структуры генератора (дискриминатора) из двух основных стратегий выбрана стратегия наращивания сети. Поскольку при создании и оптимизации структуры генератора и дискриминатора имеется ограничение на время обучения, то с практической точки зрения меньшее количество настраиваемых весов нейронных связей позволит повысить оперативность обучения.

Во время обучения сформированной ГС ИНС осуществляется решение задачи оптимизации весовых коэффициентов связей нейронов таким образом, чтобы для заданных входных наборов признаков значение функции ошибки Е на выходных значениях сети не превосходило требуемого значения е .

Обучение генератора необходимо проводить на репрезентативном наборе данных, содержащих признаки протоколов СПД (признаки ДКВ).

Алгоритм обучения генератора основан на алгоритме обучения ИНС методом обратного распространения ошибки. Применение данного алгоритма обучения для генератора (автоэнкодера) составляет суть глубокого машинного обучения, позволяюще-

270

го искусственной нейронной сети самостоятельно определять значимые признаки во входных наборах данных, что избавляет от необходимости проведения предварительного маркирования обучающих примеров.

Реализация этапа обучения предполагает подачу на вход дискриминатора наборов признаков протоколов СПД, для которых известно значение признака ДКВ, т.е. пар (A, B), где A - набор признаков протоколов, поступающих на вход ИНС, B -выходное значение генератора. Формирование и ведение базы данных, содержащей пары (A, B), на этапе проектирования осуществляется экспертом или разработчиком системы оценки, на этапе эксплуатации - ГС ИНС. Целесообразно, в ходе функционирования СПД при обнаружении кибервоздействия сохранять результаты оценки в базу данных для накопления информации и последующей адаптации генератора путем переобучения. Таким образом, сохраненные наборы признаков и соответствующие им значения признаков протоколов СПД после каждой фиксации ДКВ используются для повышения достоверности оценки.

Для проверки корректности обучения генератора применяется следующий приём [7]. Имеющееся наборы признаков протоколов (KDD 99 и собственный набор) разделяют на два подмножества в следующей пропорции - 70 % и 30 %. Первое подмножество признаков используется в качестве обучающей выборки, а второе - тестовой. Обучение генератора осуществляется на обучающей выборке. На тестовой выборке осуществляется проверка корректности работы обученного генератора. В случае расхождения значений для признаков протоколов из тестового подмножества она используется для дообучения. Количество правильно и ошибочно классифицированных протоколов используется для расчета показателей качества генератора [1].

После выполнения заданных требований к показателям accuracy, либо recall и precision для классификатора на тестовом множестве для генератора и дискриминатора система переводится в режим функционирования.

Рассмотренные ранее этапы подготовки данных и создания генератора являлись подготовительными для этапа функционирования. Этап функционирования является основным и реализуется автоматически программными средствами системы оценки защищенности протоколов СПД и включает в себя две основные процедуры:

1. Сбор исходных данных, построение матриц признаков для каждого протокола и обобщенной матрицы протоколов СПД. Созданная и преобразованная в векторный вид матрица признаков поступает на вход генератора, который порождает эталонную последовательность, используемую в ходе анализа трафика для идентификации ДКВ.

2. Определение значений признаков ДКВ на выходе дискриминатора. Процесс определения значений признаков ДКВ реализуется на основе взаимодействия генератора и дискриминатора согласно модели оценки защищенности СПД [1].

Обобщенный алгоритм оценки защищенности протоколов СПД от ДКВ представлен на рис. 3.

После получения промежуточного (первичного на выходе генератора) значения защищенности протоколов СПД от ДКВ и информации о первичных признаках протоколов выполняется итоговая оценка защищенности протоколов СПД в заданном временном интервале At. Первичные признаки протоколов СПД сохраняются для формирования обновленной обучающей последовательности и включения их в отчет по итогам оценки защищенности протоколов СПД.

Признаки протоколов идентифицируются сенсорами и подвергаются предварительной обработке, в ходе которой обновляются матрицы признаков, переводится к единому формату представления и группируется с учетом однотипных данных в виде модального распределения по протоколам СПД. Из всех признаков, идентифицируемых в ходе функционирования СПД, осуществляется отбор наиболее информативных, которые относятся к анализируемым протоколам СПД и ДКВ. Остальные признаки в целях повышения оперативности и достоверности отбрасываются. Результатом сбора и предварительной обработки признаков является матрица признаков для протокола СПД, который идентифицирует сенсор [9].

данных в условиях кибервоздействий

Для учета динамики появления признаков в масштабе всей СПД формируется обобщенная матрица признаков. Для этого частные матрицы признаков подлежат агрегации. В ходе агрегации осуществляется формирование одной матрицы признаков из нескольких, формируемых каждым сенсором, путем суммирования соответствующих значений элементов каждой матрицы признаков. Полученная матрица признаков перед подачей на вход генератора или дискриминатора (в зависимости от этапа функционирования) должна пройти процедуру нормализации и представления в векторном виде (векторизации).

Полученный вектор признаков протоколов подается на вход генератора, после чего сохраняется в базе данных для последующего использования при его переобучении.

Задача определения значения признака (классификации) решается следующим образом. С входного слоя генератора набор идентификационных признаков поступает на нейроны скрытого слоя, в которых происходит вычисление значения функции активации, аргументом которой является сумма произведений входного набора идентификационных признаков на веса нейронных связей, вычисленных на этапе обучения. Далее вычисленные значения поступают на выходной слой. В нейронах выходного слоя также вычисляются значения функции активации. Её аргументом выступает сумма произведений, вычисленных на предыдущем шаге выходных значений скрытого слоя и весов нейронных связей скрытого и выходного слоя. В итоге для искусственной нейронной сети с двумя выходными нейронами (в случае бинарной классификации признака) формируется пара значений, в качестве отклика на входной набор признаков.

По результатам работы генератора формируется набор значений признаков ДКВ. Результаты оценки защищенности протоколов СПД отображаются администратору безопасности информации. На основании полученных значений признаков протоколов СПД администратор выбирает вариант реагирования на идентифицируемое ДКВ. Если результат реагирования, либо проведенной оценки не удовлетворяет требованиям, то может быть выполнен повторный анализ.

Разработанная методика оценки защищенности протоколов СПД апробировалась на сети передачи данных, построенной с использованием аппаратуры передачи, между двумя объектами, удаленными друг от друга на расстояние в несколько десятков километров.

Обучение ГС ИНС осуществлялось на основе сформированной генератором ИНС последовательности признаков протоколов.

Для проведения эксперимента использовалась комплексированная база признаков протоколов, состоящая из 512 записей.

Для проверки корректности обучения ГС ИНС база признаков протоколов была разделена на обучающую и тестовые части в процентном соотношении 70 к 30 соответственно. Для обучения было взято 358 записей. Оставшиеся 154 записи использовались для тестирования. Оценка качества ГС ИНС проводилась по общепринятым показателям recall (9) и precision (10) на основе данных о количестве правильных и ошибочных тестовых последовательностей признаков протоколов СПД.

N

R = —Nri-, (9)

Ntrp + Ntrn

M =-Ntrp-, (10)

Ntrp + Nfsp

где Ntrp - количество записей классифицируемых как истинное значение характеристики класса 1, в то время как оно истинное значение класса 1; Nfsp - количество записей классифицируемых как истинное значение характеристики, в то время как оно фактически ложное; N - количество записей классифицируемых как истинное зна-

trn

чение характеристики класса 2, в то время как оно истинное значение класса 2; N fsn -

количество записей классифицируемых как ложное значение, в то время как оно истинное.

Совокупность исходных данных и результатов работы генератора могут при необходимости использоваться в качестве новых обучающих примеров. С пополнением базы обучающих примеров требуется корректировка структуры нейронной сети. Выбор количества нейронов скрытого слоя ГС ИНС влияет на значения показателей качества генеративно-состязательной искусственной нейронной сети и продолжительность обучения. С целью минимизации времени обучения и поддержания на требуемом уровне значений показателей качества ИНС необходимо решить оптимизационную задачу:

T0 (Nskr) ® mm

N,tr

P (N Л > P

пр.озЛ skr s пр.оз. тр

где To - продолжительность обучения ГС ИНС; N - количество нейронов скрытого слоя; Рпр оз - вероятность правильной оценки защищенности; Рпр оз тр - требуемое

значение вероятности правильной оценки защищенности.

С целью оценки качества генератора и дискриминатора был проведен вычислительный эксперимент. Оценка проводилась по общепринятому показателю F-мера (F) значение которого рассчитывается как среднее гармоническое precision и recall:

^ 2■M ■ R

F =-.

M + R

Зависимости полученных в ходе вычислительного эксперимента значений показателя F-меры (F) от количества нейронов скрытых слоев ГС ИНС для признаков ДКВ «protocol_type» и «flag» приведены на рис. 4. Генеративно-состязательная нейронная сеть первоначально обучалась на 154-х примерах.

Как видно из графиков, представленных на рис. 4 генератор и дискриминатор достигают максимума значения показателя F-меры при числе нейронов скрытого слоя автоэнкодера порядка 20. При увеличении числа нейронов скрытых слоев повышение показателя F-меры не наблюдается.

При увеличении количества примеров до 194 и тестировании на 82 примерах задача оптимизации времени обучения нейронной сети решается путем выбора минимально достаточного числа нейронов скрытого слоя без потери качества первоначально созданной сети.

8 0.6

У

/ S

J г Ш

0,4

у' L. - -Н

У

3

Г / V"

5 10 15 20

Число нейронов скрытого слоя ИНС

5 10 15 20

Число нейронов скрытого елся HI 1С

б

Рис. 4. Значения показателя F-мера для ГС ИНС: а — для признака протокола «protocol_type»; б — для признака протокола «flag»

Генеративно-состязательная искусственная нейронная сеть имеет высокие значения показателя точности определения значения бинарной характеристики нарушения безопасности данных при количестве нейронов 25 для скрытого слоя ГС ИНС. При увеличении числа нейронов время обучения возрастает, а значения показателей точности и полноты сначала остаются прежними, но затем снижаются. При уменьшении числа нейронов скрытых слоев вместе с незначительным снижением времени обучения снижаются значения показателей точности и полноты, что недопустимо по условиям задачи.

Данные результаты указывают на необходимость адаптации структуры генератора и дискриминатора при пополнении базы обучающих примеров. При этом для количества обучающих примеров до 200 количество нейронов скрытого слоя ГС ИНС - 16.

а

Для действующего фрагмента СПД время обучения ГС ИНС составляло от 790 до 1128 секунд.

Результаты оценки показателей precision, recall и F-меры для сформированных комбинированных ИНС приведены в таблице.

Результаты обучения ГС ИНС

Признаки деструктивного воздействия Значение признака деструктивного воздействия Количество примеров Precis. M Rec. R F- мера, F

Всего Для обучения Для проверки

по характеру воздействия преднамеренное нарушение 113 79 34 0,91 0,88 0,9

непреднамеренное нарушение 163 115 48

по последствиям критическийущерб 164 115 49 0,89 0,94 0,91

не критический ущерб 112 79 33

Из таблицы следует, что значения показателей precision и recall находятся на достаточно высоких уровнях и позволяют сделать вывод о готовности сформированных генератора и дискриминатора к переводу в режим функционирования.

Таким образом можно сделать следующие выводы. Для решения задачи определения значений признаков ДКВ на базе модели оценки защищенности протоколов СПД на основе машинного обучения разработана методика оценки защищенности протоколов СПД. Значения признаков ДКВ определяются с помощью генеративно-состязательной искусственной нейронной сети, включающей генератор и дискриминатор, формирование которой осуществляется в рамках нейросетевой модели оценки защищенности протоколов СПД. Предлагаемая методика оценки защищенности протоколов СПД в конечном итоге позволяет определить перечень значений признаков ДКВ в СПД и тем самым обеспечить информационную поддержку в принятии решения по реагированию.

Список литературы

1. Чулков А.А., Дементьев В. Е. Модель протокола сети передачи данных в условиях деструктивных кибернетических воздействий // Защита информации. Инсайд. 2021. Часть 1. № 1 (97). С. 62-68.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

2. Авраменко В. С., Маликов А.В. Интеллектуальное диагностирование компьютерных инцидентов безопасности в инфокоммуникационных системах // «Перспективные направления развития отечественных информационных технологий»: материалы V межрегиональной научно-практической конф. Севастополь 24-28 сентября 2019. Севастополь: СевГУ, 2019. С. 330-332.

3. Moustafa N. UNSW-NB15. [Электронный ресурс] URL: https://www. unsw. ad-fa.edu.au/australian-centre-for-cyber-security/ cybersecurity/ADFA-NB 15-Datasets (дата обращения: 10.01.2021).

4. Лукацкий А.В. Системы обнаружения атак. 2-е изд. СПб.: БХВ-Петербург, 2003. 608 с.

5. Лаптев В.Н., Сидельников О.В. Методика обнаружения и идентификации компьютерных атак в информационно-телекоммуникационных системах на основе метода индуктивного прогнозирования состояний // Научный журнал КубГАУ. 2012. № 77(3). С. 161-190.

6. Скрыпников А.В. Нормирование требований к характеристикам программных систем защиты информации / А.В. Скрыпников, В. А. Хвостов, Е.В. Чернышова, В.В. Самцов и др. // Вестник Воронежского государственного университета инженерных технологий. Т. 80. 2018. № 4 (78). С. 96-110.

7. Хайкин С. Нейронные сети: полный курс, 2-е издание. М.: Издательский дом «Вильямс», 2006. 1104 с.

8. Hecht-Nielsen, R. Kolmogorov's Mapping Neural Network Existence Theorem / R. Hecht-Nielsen // IEEE First Annual Int. Conf. On Neural Networks. - San Diego, 1987. -V.3.

9. Маликов А.В., Бочкарев Д.А. Методика обработки диагностических признаков нарушений безопасности информации в вычислительных сетях // Новые информационные технологии и системы. Пенза.: Изд-во Пенз. гос. ун-та, 2019. С. 218221.

Дементьев Владислав Евгеньевич, д-р техн. наук, доцент, заместитель начальника кафедры, dem-vlada ramhler.ru, Россия, Санкт-Петербург, Военная академия связи имени Маршала Советского Союза С.М. Буденного,

Чулков Александр Анатольевич, адъюнкт, sir.alexanderchulkovayandex.ru, Россия, Санкт-Петербург, Военная академия связи имени Маршала Советского Союза С. М. Буденного

METHODOLOGY FOR ASSESSING THE SECURITY OF DA TA NETWORK PROTOCOLS IN THE CONTEXT OF DESTRUCTIVE CYBERA TTACKS

V.E. Dement 'ev, A.A. Chulkov

A method for assessing the security of data network protocols in the context of destructive cyher-attacks is presented. The methodology is designed to determine the quantitative and qualitative values of the characteristics of a data security breach in the data transmission network during operation and is a tool that allows you to provide the necessary data to make a decision on how to respond to a data security breach.

Key words: methodology, identification, feature, protocol, vulnerability, assessment, security, data transmission network.

Dement 'ev Vladislav Evgenevich, doctor of technical sciences, docent, dem-vladaramhler. ru, Russia, Saint Petersburg, Military Academy of Communications Marshal of the Soviet Union S.M. Budyonny,

Chulkov Alexander Anatolevich, adjunct, sir.alexanderchulkovayandex.ru, Russia, Saint Petersburg, Military Academy of Communications Marshal of the Soviet Union S.M. Budyonny

i Надоели баннеры? Вы всегда можете отключить рекламу.