CC BY
48
УДК 004.056
МОДЕЛЬ АНАЛИЗА ЗАЩИ1Ы ИНФОРМАЦИИ НА ОСНОВЬ НкЙРОННОЙ СЬ I И
Е. В. Трапезников. О. Т. Данилова
Омский государственны и технический уяивсрситот, з. Омск, Россия
Аннотация - В работ* проведён аналог проблем, вогнпктюшнх: при построении системы зашиты информации. В ход* анализа выявлены достоинства п недостатки птщсгттющпт п разрабатываемых гп-пем. В рабше ирешаилена р<нрл'5о1ка милели. аналишрмошей >ривень мшиш информации. В основе модели .1Ш1 ¿ша.ии реакиип сиисмы :<1шшы информации на деоа0ц.ш шр.моши* факюры с применением вепровной сета, зыбранноп как универсальный мшшзм табличного задания объектной функции многих переменных с ассоциативной плп ассоциативно-усредненной выборкой. Б результате работы разработано программное обеспечение, реализующее работу модели, что позволило подтвердить обоснованность выбора пепроппоо сети.
Ключ ее не слова: непронвля сеть, порог лктпвацвп нейрона, функция безопасности.
Г ВТН-ДРКИК
Билышш часть ш сушссдеуюшкл систем обнаружении агак. лркмениемых для лини 1 орлы ¿-. безопасности информационных систем. основана на лено.и^оаалин ирлалл и сигнатур Данный подход алалшнрусг вскшр входных данных, кг основание чело делается зквод о наличии или отсутствии атахи. В работе [1] отдельно рассматривается применение данного подхода для обнаружения атак базы данных. При малейшем отклонении сигнатуры атака от сигнатуры шш правила, имеющегося в БД. эта атака обнаружена не будет. Ввиду описаниях проблем аотор делает выоод. что го за большого разнообразия атак обьглпле системы обнаружения атак пе всегда способны обеспечить идентификации атаки.
Существующие отдельные уровни защиты информации, которые успешно неэтрглшует известные угрозы безопасности системы, сказываются малоэффективными при расширении поля угроз или обнаружении новых уяппялюгтей гигт?мы Ангор [?] укачивает что ияферманионная ¡тезпттасногтч гиггем все к большей степени обеспечивается за счет включения интеллектуальных средств в состав систем обнаружения компьютерных
агах. Придание СОЛ таких качеств, кап адаптивность и самоорганизация. свидетельствует о потом этапе разэн тияг средств адтомаги^глч обеспечения ИВ ТКС: Особо выделяются дос-оинства иктеллек туалячмх средств зашиты, а нмелло наличие элементов самосргапнэации н эволюции, которые нспользуютсл для оператпшплх действии в СЗИ по классификации утро? и нейтрализации последствии вторжения.
По мнению авторов [31 интеллектуальные с ас темы не только могут использоваться для построения системы зашиты, но также могут использоваться злоумышленниками для о эхо да систем зашиты. Отмечается, что разра-багываемах ими милаш ороит системы заданы так, чтобы интеллектуальной системе злоумышленника было сложнее обойти системы зашиты.
Положительный зффект oí применения нгйринний сети для шиигы ин^ермални показан в забегах [4. 5. б]. Выделяется одна го наиболее существенных проблем защити информации, а нмеилэ DDoS атаки па ш:форма ционкые системы и предлагают нгпгитмпют. нейронные сети для предупреждения v пмстрг>го реагирования на данный вид атак [4, 6] Автор [5] предлагает использовать нейронные сети, для подтверждения достоверности передаваемых данных, lio результатам исследований автор [6] предложил интеллектуальную систему оэяару-жениж (DoSID).
Важным этапом при анализе защиты информации является классификация уязвимостей. Авторы ра£оты [/] рассм1луе.ш проблему автоматической классификации уязнимосгей иьфор.чащюиныл систем. В холе работы была выявлена сложность поставленной задачи н для ее решения особо выделен мзтемагнческий аппарат нейронных сс1ей В результате рабшь. поставленная задача решена, чему послужило разрабшка coaiBticray-ющего программного обеспечения
В работе приводится диаграмма Эйлеря-Венна для задачи классификации уятаимостей. гредстаилечная на рнс. 1.
Анализ системы зашнты является частью общей системы защигы. Авторы [8] в своей работе предложили структуру системы управления инцидентами информационной бсзииасн^ти. в основу которой положены методы имитации интеллектуальной деятельности человека, направленные на обработку сведении, полученных от сотрудчикгт или администраторов
В работах [9. 10] нейронная сеть рассматривается как главный инструмент в обнаружении атак на информационные системы
Проведённый анализ показывает, что использование нейронных сетей затрагивает большинство сфер интересов информационной безопасности. Нейронные сети стали новым средством противодействия компьютерным угрозам.
Основываясь на прозсдснном анализе существующих средств защиты информации, было выявлено, что создание модели, анализирующей функции безопасности и системе защиты ччформат:ии р. помощью интеллектуальных систем, является актуальным и составляет цель настоящего исследования
П. ПОСТАНОВКА ЗАДАЧИ
Учитывая, чш калача моделирования в сфере защиты нн^юрмации не хзрактсризукпся ороглми матемаш-ческнми ззвнснмостямн между компонентами, исходные данные зачастую несовместимы по типам, размерно-сш. а принимаемые решения зачастую основывается на леао.шой. противоречивой информации.
Указанные факторы приводят к иеэохэдимосги имитации ассоциативного мышления, к моделированию методов искусственного интеллекта, оенэзным средством которого являются нейронные сети.
Одним из основных преимуществ искусственных нейронных сетей (ИКС) является нелинейность нейронных сетей, что представляет собой метод моделирования, позволяющий устанавливать чрезвычайно -сложные зависимости. Нейронные сети позволяют решать «проблему» размерности, которая не позволяет моделировать линейные зависимости для большого числа переменных.
Ш. ТЕОРИЯ
Построение моделей системы безопасности информации, предполагает первоначальное проведение анализа потенциальных дестабилизирующих фзкторов (ДФ): воздействующих на систему обработки информации.
ж::.}
1дфЩ] № 1
Рис. 2 Зоздейетвие дестабилизирующих факторов
Анализ воздействия дестабилизирующих факторов, в свою очередь, включает составление полного (насколько это возможно) перечня потенциальных угроз и исследования возможности их воздействия на систему обработки информации.
Определим, что в качестве входных данных будет являться совокупность ДФ
Запишем уравнения реакции моделируемой системы защиты
.....
.....
где XI = 1 = I, ... N. логическая переменная - высказывание о наступлении со-бытня: . / = 1. логическая функция указанных перемешзых высказываний, зпачехлее ИСТИНА которой определяет пршшмаемое решение 10.
Затем следует построение граф-схемы выполнения системы логических функций (рис 1) Вершины I - к зтою 1ра4»а сотиехшуяя логическим элементам - конькжкгорам. а вершины 7; - Ух - днзыинктирам. Построенная схема отображает функционально законченное устройство. На основе граф-схемы строится нейронная сеть. Зершины соответствуют нейронгм-репепторам входного слоя.
Рис. 3. Граф-схема выполнения системы логических выражений (И-ИЛИ сеть)
В нейронной сети вершины {1. . . kj обозначают нейроны промежуточного или скрытого слоя. Нейроны Y¡ - Í5 образуют выходной слой; их возбуждение узсазываст на принимаемое решение. Иг вход искусственного нейрона поступает некоторое мночеегтво сигналов каждый из которых являртгя кюгодом лруго-о нейрона
Каждый сигнал умножается на соответствующий вес и поступает на суммирующий блок. Суммирлтощпй блок, соответствутотии телу гислсгического члрмечта складывает взвегтенные входы алгебраически соялаиая выход, который обоз латается NET.
NET-TUw
Сигнал .МЫ преооразуется гктнвацнэнной фикцией t и дает выходной нейронный сигнал OUT.
Для выбора передаточной функции и порога активации нейрона h слсдуст руководствоваться следующими
требованиями:
- эти функции в области преодоления порога должны быть монотонно возрастающими по каждому сигналу на входе нейрона
- не должно быть «угасания» сигнала возбуждения при его прохождении по сети;
- сигналы возбуждения на выходном слое должны быть четко различимы по зелнтане для различных эталонных ситуаций;
- до.ькен бы 1а примерно равным диапазон изменения величин возбуждения нейронов зыходнои слоя, закрепленных за разными решениями.
Для эешения задачи используем следующую, определяющую величию* V возбуждения некрона в зависимости от величии Vt возбуждеппя связанных с ним neñpouoD. весов ot оид связей, а также порога /?:
i
V ~if V > h then V else 0.
Чтобы нейрон приходил d возбужденное состояние после прихода сигнала, ему необходимо задать высокий порог активации При атом неспхслимо так подобрать пороги для всех нейронов Trpooípaaar.m которых являются кошлопЕторы. чтобы «пужпые» пейропы возбуждались, а «побочные эффекты» исключались. Это требо ьание приводит к зажной исходной предпосылке создания нейросеги. основанной на ионятии существенности события.
На лай с проем ирозання нейросетн выбираете» некоторое значение лредноч.и.ельнок достоверности Н. И тогда событие является существенным, если его достоверность не ниже значения Н. При проектировании нейросетл учтено, что собыше является с>щес гвенным. если сю достоверность не ниже некоторою значения достоверности порога активации нейрона h.
На последнем этапе для решения поставленной задачи необходимо применить один из алгоритмов обучения. Чтобы полученная сеть решала задачу нахождения «связей» между элементами из X и V, необходимо изменить начальные веса. 3 этом и заключается процссс обучения сети - изменение зссов связей в контскстс конкретной задачи. В нашем случае известно несколько ситуаций (наборов из X). при которых необходимо выполнить определенное действие (конкретный элемент из У). Таким образом, нам подходит один из алгоритмов обучения с учителем, а именно самый распространенный - «алгоритм обратного распространения ошибки».
Процесс обучения начинается после задания начальных значений весов сети. В общем случае они могут быть произвольными, например, нулевыми. Прн наличии априорной информации об особенностях процесса обучения, начальные значения весов могут выбираться из каких-либо дополнительных соображений. Процеду-
pa повторяется для все~о обучающего множества до тех пор, пота ошибка по всему обучающему мчпжесгчу не достигнет приемлемо низкого уровня.
IV РЕЗУЛЬТАТЫ 3KCTTEPHNŒHTCB Для прозеркк работы модели, анализирующей информационную защиту систем, было разработано программное обеснетегше.
Общий ш!д работы программного обеспечения приведён œ рисунке Л в виде блок схемы.
Рнс. 4 Выборка результатов испытании
Разработанное программно? обеспечение работает по следующему алгоритму :
1) предлагается ввести набор дестабилизирующих факторов либо осуществить выбор из представленного списка факторов;
2) для каждого дестабилизирующего фактора необходимо задать вероятность совершения события; слг^|)1К)1цич 41Ч1ЮМ идгг шмпригниг лшичгских функций и списки ириннмягмых ргшгний Лошчп.киг
функции строятся на основе дестабилизирующих факторов. Для каждой функции задастся порог активации нейрона входного слоя;
4) НИ .1ГД11Г МИДЯНИН рг.шгний ГЖЖР НыбнрИГПИ И< Г.ПЖ.КИ |[:ИК'ир, шиг <Ч,ЦаГ1Г.И |||)}Х)1 ИЧГИКИ11ИИ НСЙрпНИ
выходного слоя;
!>) последним этапом служит запуск нейронной сети н ее обучение;
6) обученную нейронную сеть предполагается использовать для следующих запусков при новом анализе безопасности информационней системы.
Краткая выборка результатов тестовых испытании предстзвленз из рнс. Для проведения тестовых испытаний были выбраны гипотетическая информация с существующей системой защиты и набор дестабилизирующих факторов для оценки степени защищённости системы.
Анализа работы модели, анализирующей функции безопасности позволяет оценил, построенную нейросеть. После запуска модели и анализа еллика событий выстроилась шхледовагельность нейронов, моделирующих конъюнкции н дизъюнкции. Нейроны, отвечающие за элементы, вхедхшне в конкретную конъюнкцию, соединяются прямыми с нейроном этой конъюнкции. Аналогично соединяются конъюнкции с нейроном дизъюнкции. Нейрон, чей уровень возбуждения больше порога/;,, выделяехся закрашенным бордовым цветим. Нейроны выходного слоя, которые окрашены в бордовый цзет и являются теми решениями, которые необходимо принять
R результате эксперимента установлено, что последующие запуски сформированной нейрочной сети позволяют накапливать статистику, продолжать обучение нейронной сети, а также повышать качество принимаемых решений обученной нейронной сети.
Следует отметить что при увеличении числя дестабилизирующих факторои необходимо дополнительно проводить обучение нейронной сети на основе весовых кизффиииеиюв новых факторов Увеличение числа дестабилизирующих факторов позволяет расширить возможности нейронной сети по анализу бесопасиоста различных информационных систем.
Отличительной особенностью разработанной модели, анализирующей функции безопасности в системе информационной зашиты. на основе нейронной ссти яз.ыклея возможность повышения уровня оненлд защищенности информационной системы и поннятне необходимых мер реагирования. Использование данной модели до.тжно позволить оперативно изменять составляющие системы информационной безопасности.
В результате игглрловяиий продемонстрирована обоснованность выбора нейронной сети Рячрябатьтаемый программный комплекс позволит:
а) сосктлять перечень дестабшшзнрующих факторов;
б) гтрои-ь логические функции и списки принимаемых решений;
г) строить структуру для обучения нсйроссгн;
д) выводить результат (получеппое решение)
СПИСОК ЛИТЕРАТУРЫ
1. КочетковаА. С. 1.римепе1ше нейронных сетей для мопнтэрш:га безопасности информационных систем О Вестник ВолГУ. Сер. 9. Исследования молодых ученых 2007. № б С. 163-167.
2. Сумкин К. С.. Тверской А II. Морозова Т. 10. Метод интеллектуальной поддержки принятия решений в задачах идентификации компьютерных атак Ч Доклады ТУ СУР. 2012. № 1-2 [25)/ С. 69-73.
Рис 5. Выборка результатов испытании
v Обсуждение результатов
VI. вывода И ЗАКЛЮЧЕНИЕ
J. Булдакова Т. И. Нейросетевая защита ресурсов автоыатнзнрованных систем от несанкционированного доступа И Наука и образование: научное издание Mi 1 У им. Н.Э. Баумана. 2013. № 5. С. 269-278.
4 S a led A., Overill НЕ. Radzik Т. Detection of known and unknown DDoS attacks using Artificial Neural Networks // Neurocomputing. 2016 172. C. 385-393
5. Igor H. [et all.]. Application of Neural Networks in C omputer Security H Procedia Engmeeriug. 2014. 69. C. 1209-1215.
6 AlEintookh A. A. DoS Attacks Intelligent Detection using Neural Networks И Journal of King Saud University -Computer and Information Sciences. 2006. Vol. IS. P. 31-51.
7 Гильмуплин Т. M , Гнлы.гуллнн М Ф. Подходы к автоматизации процесса валидацин уязвнмостеи. найденных автоматическими сканерами безопасности, при помощи нечётких множеств и нейронных сетей // Фундаментальные исследования. 2014. № 11-2.
S. Заводцев И. В.. Гайнов А. Е.. Ржевский Д. А. Интеллектуальные системы управления инцидентами информационной безопасности Н Перспективы развития информационных технологий. 2015. № 24.
9. Alrniad I.. Abdullah A., Alghamdi A. S. Application of artificial neural network in detection of probing attacks // Industrial Electronics & Applications, 2009. ISIEA IEEE Symposium on, Kuala Lumpur. 2009 P. 557-562 dor 10.1109/1SIE A 2 009.5 356382.
10. Mukliin V.. Kornaga У.. Steshyn V^ Mostovoy У. Adaptive security system based on intelligent agents for distributed computer systems // International Conference on Development and Application Systems (DAS), Suceava, 2016. P. 320-325. doL 1Q.1109. DAAS 2016.7492595.
