CC BY
40
Сумкин К.С.1, Иванова И.А.2, Никонов В.В.3, Терехин И.В.4 ©
1,2,3Кандидат технических наук; 2докторант; 4аспирант,
Московский государственный университет приборостроения и информатика
НЕЧЕТКИЕ ГИБРИДНЫЕ СИСТЕМЫ В ЗАДАЧАХ ЗАЩИТЫ, АНАЛИЗА И УПРАВЛЕНИЯ РАЗГРАНИЧЕНИЕМ ПРАВ ДОСТУПА В КОМПЬЮТЕРНЫХ СЕТЯХ
Аннотация
Работа посвящена организации гибкого разграничения прав доступа пользователей к хранимой информации в автоматизированной системе промышленного предприятия. Отмечается, что результаты, достигнутые в задачах разграничения прав доступа с использованием интеллектуального анализа данных, не дают полной картины защищенности сети в целом и на текущий момент остается ряд нерешенных задач. А именно, использование нечетких множеств субъектов и объектов не поддержано разработанными методами анализа. Для решения задачи анализа множества субъектов и объектов использован нечеткий кластерный анализ. Вводится понятие функции оценки сепарабельности и компактности. Используется оптимизированный максиминный метод в сочетании со стратегией слияния для формирования оптимальных вариантов переменного количества кластеров.
Ключевые слова: нечеткие гибридные системы, разграничение прав доступа, нечеткий кластер.
Keywords: fuzzy hybrid systems, access rights, fuzzy cluster.
В настоящее время затруднение применения методов анализа данных характеризуется тем, что конкретная задача из выбранной предметной области, а именно выборка данных, в рамках данной задачи, характеризуется не только числовым характером атрибутов, но и мерой неопределенности. Если рассмотреть области макроэкономических, социологических, маркетинговых, медицинских, то при анализе в большинстве случаев без лингвистической формы представления данных задача построения математической модели становиться крайне трудоемкой задачей [7]. Оперирование подобными данными предоставляет необходимость организации [8] хранения нечетких переменных и их функций принадлежности. А применяя данный подход при решении задач разграничения прав доступа необходимость хранить
множества субъектов S (y)/ У} и объектов O ~{о(xVx} [1]. На текущий момент
представлен небольшой ряд разработок, позволяющих управлять хранилищами данных с нечеткими переменными и их функциями принадлежности. Взаимодействие субъектов и объектов представлено на рисунке 1.
© Сумкин К.С., Иванова И.А., Никонов В.В., Терехин И.В., 2014 г.
Рис. 1. Взаимодействие субъектов и объектов
Результаты, достигнутые в задачах разграничения прав доступа (РПД) с использованием интеллектуального анализа данных не дают полной картины защищенности сети в целом, и на текущий момент остается ряд нерешенных задач. А именно, использование нечетких множеств субъектов и объектов не поддержано разработанными методами анализа.
В задаче РПД исследуемая совокупность множеств субъектов и объектов (МСО)
представляет собой в любой сети некоторое конечное множество элементов М ={ml,m2,...,тп}, которое в целях решения задачи представим некоторым множеством объектов кластеризации.
P = { P P p }
Определим конечное множество признаков или атрибутов t'q), каждый элемент
которого количественно представляет свойство или характеристику элементов МСО. Стоит учесть, что п - это общее количество элементов МСО, а q - это общее количество измеримых признаков [3].
Измерение признаков множества P в общем случае не является трудоемкой задачей и носит характер привязанности к определенной компьютерной сети (КС), таким образом, все признаки множества P можно представить в некоторой количественной шкале.
Представление признаков множества P в некоторой количественной шкале позволяет
v. = (v;, v2 v.^ vq)
т.е M
каждому элементу множества . сопоставить в соответствие вектор
P jе P
m, е M
где 1 - некоторое количественное значение признака 1 для множества г [9].
v.
В целях определенности положим, что любой j принимает действительное значение.
Vг = (VI, V2,..., К )
Каждый вектор значений признаков
представим в виде матрицы MD,
размерность которой n*q, а каждая строка которой равна значениям вектора г , данная матрица имеет прямоугольный вид, в некотрых случаях при определении каждому элементу одного признака матрица будет квадратной.
Используем для решения задачи анализа МСО нечеткий кластерный анализ [10].
Формулирование задачи нечеткого кластерного (НК) анализа определяется следующим образом: на основе исходных данных матрицы MD устанавливается некоторое нечеткое
J(M) = {Mk\Mk сM}
разбиение R(M) = M I Mk = M}
МСО на число c нечетких кластеров Mk , где k е {2,3,..., с} , а нечеткое разбиение (покрытие)
или некоторое нечеткое покрытие
M,
определяет экстремум целевой функции funciR(M)) в нечетких разбиениях или экстремум целевой функции func(J (M)) в нечетких покрытиях [5].
Уточнение вида целевой функции и типов искомых нечетких кластеров требуется для решения задачи МСО в каждой КС (определение нечеткого разбиения или покрытия).
Определим нечеткую реляционную модель данных, а также требование и ограничение модели [6].
Схема отношения R является конечным множеством имен атрибутов {Ml, M^... Mn}.
М,
D
Для каждого имени атрибута * сопоставляется множество *, данное множество будет
является доменом атрибута , *е {1, n}. Пусть каждый домен будет представлен
произвольным непустым конечным или счетным множеством, а также =< Dl’ ^^-..,Dn > .
При определении задачи МСО необходимо ввести нечеткие домены реляционных
отношений, для этого дополнительно вводятся имена атрибутов , универсальное множество X, а также терминальное множество значений T (в общем случае - нечеткие метки).
Нечеткое отношение представляет конечное множество отображений ^ ^ tp } из R
в D, для этого необходимо, чтобы хотя бы одноt* е , где - нечеткий домен.
В данном случае такая модель представления ориентирована на представление нечетких чисел, а в нашем случае это и есть нечеткие МСО. Следовательно, домен атрибута нечеткого числа является множество действительных чисел. Определение нечетких чисел основано на таких показателях, как функция принадлежности и лингвистическая оценка.
Лингвистической оценкой называется одно из возможных значений лингвистической переменной, при определении соответствующих термов [2].
В целях эффективной кластеризации используются функции оценки сепарабельности и компактности. Функция сепарабельности - функция, при использовании
нескольких переменных которой имеется возможность разделения влияния аргументов на общий результат (в случае использования МСО некоторые объекты или субъекты должны быть выделены); функции компактности - функция реализации одного и того же образа, отражающаяся в признаковом пространстве в геометрически близкие точки, образуя скомпонованные сгустки (в случае использования МСО некоторые объекты и субъекты могут быть соединены в единые группы).
1. Произведем инициализацию разбиений с использованием метода, тогда разделение объектов будет настолько максимально, насколько это возможно;
2. С использованием методов оптимизации находим локальный оптимум;
3. Переход на следующую итерацию.
Данный алгоритм выполняем до сходимости алгоритма, обеспечивая максимальную кластеризацию МСО.
Данный подход позволяет найти оптимальное решение для количества кластеров c, при использовании алгоритма объединения находим разбиение c -1.
Использование оптимизированного Максиминного метода в сочетании со стратегией слияния всегда возможно сформировать оптимальные варианты для переменного количества кластеров [11].
С помощью функций оценки, которые основаны на мерах сепарабельности и компактности, выбирается оптимальный вариант кластеризации.
Шаги алгоритма нечеткой кластеризации:
Вход: множество данных X = {х1, x2,..., xN }.
Шаг 1. copt = max шт, c = max mm, * = 1, где maxnum - максимальное количество кластеров. Выбираем случайным образом объект x е X в качестве точки старта т. Выполняем многошаговый максиминный алгоритм с параметрами X,c,*,m , выполняя поиск оптимального множества кластеров С = {C1, C2,..., Cc} для c. Вычисляется функция оценки SC для С, состоящая из двух этапов, первый этап обеспечивает слияние между значениями одного класса кластеров, а второй обеспечивает разделение разных классов (использование слияния объектов и субъектов одной группы и разбиение групп обеспечивает возможность применения данного алгоритма для МСО).
Шаг 2. Выполняем алгоритм слияния, получая множество кластеров С'={С'1! С'2,..., С}, выбираем центр С'1 в качестве точки старта т , c = c — 1, i = 2. Выполняем многошаговый максиминный алгоритм с параметрами X, c, i, т для поиска оптимального множества кластеров С* = {С *1, С *2,..., С *c} для c. Вычисляем функцию оценки
БС для С * и обозначим ее как БС * . Если SO* > БС, тогда БС = БС *, С = С *, copt = c .
Повтор шага 2, пока c < 2 .
Шаг 3. Вывод: С = {Cl,C2,...,СоР1} - оптимальное множество кластеров. Выход: Оптимальное множество кластеров С = {С1, С 2,..., С}.
Стоит отметить, что используемый алгоритм имеет ряд некоторых преимуществ перед другими алгоритмами кластеризации.
В целях проверки данного алгоритма на КС проведен опрос администраторов о множествах субъектов и объектов. Для анализа используются такие разделы, как защищенность объектов, общие данные по объектам и субъектам, уровень активности субъектов, возможность перемещения объектов, возможность доступа к объектам из глобальной сети, уровень ответственности субъекта за присвоенные ему объект и т. д.
Основной целью данного опроса является изучение уровень работающих субъектов и уровень секретности объектов. Данные необходимы для управления администраторами сетью, разработки рекомендаций по мерам, направленным на повышение защиты информации в целях компьютерной безопасности.
На большинство вопросов нельзя дать ответов, которые могут быть выражены в точной количественной мере, например, «Как часто на объекте появляется финансовая информация по организации?». Варианты ответов для которого: часто, редко, никогда. Кластеризация в таком случае является трудоемкой задачей, так как на классы делятся на различные лингвистические переменные. Стоит помнить, что для анализа необходимо соответствие меткам функций принадлежности, для пригодности обработки информации.
В качестве проверки были использованы данные Московского государственного университета приборостроения и информатики.
Таблица 1
Функции принадлежности объектов
Имя переменной Класс объекта Функция принадлежности
УРОВЕНЬ ДОСТУПНОСТИ ВЫСШИЙ 0.3
УРОВЕНЬ ДОСТУПНОСТИ СРЕДНИЙ 0.8
УРОВЕНЬ ДОСТУПНОСТИ МИНИМАЛЬНЫЙ 0.5
КЛАСС ОБЪЕКТА НАИВЫСШЫЙ 0.2
КЛАСС ОБЪЕКТА СРЕДНИЙ 0.4
КЛАСС ОБЪЕКТА НИЗШИЙ 0.8
Результат кластеризации объектов представлен на рисунке 2.
Рис. 2. Кластеризация объектов
Анализ кластеризации объектов показал, что в рамках университета наиболее выделяется класс объектов, среднего уровня доступности с низшим классом, чаще всего данные объекты - это общедоступные лабораторные работы для студентов и т.д.
Таблица 2
Функции принадлежности субъектов
Имя переменной Класс объекта Функция принадлежности
УРОВЕНЬ АКТИВНОСТИ ВЫСШИЙ 0.8
УРОВЕНЬ АКТИВНОСТИ СРЕДНИЙ 0.4
УРОВЕНЬ АКТИВНОСТИ МИНИМАЛЬНЫЙ 0.2
КЛАСС СУБЪЕКТА НАИВЫСШЫЙ 0.8
КЛАСС СУБЪЕКТА СРЕДНИЙ 0.4
КЛАСС СУБЪЕКТА НИЗШИЙ 0.2
Результат кластеризации объектов представлен на рисунке 3.
Рис. 3. Кластеризация субъектов
Результаты анализа показаны на основе выделения кластера, представители которого являются преподавателями университета. Стоит отметить, что преподаватели часто работают дома, причем общая активность из-за этого не падает.
Подавляющее большинство активных субъектов - являются студентами, а объекты -диски общего доступа с выложенными (и выкладываемыми) на них лабораторными (домашними) работами.
Использование математического аппарата, позволяющего провести анализ МСО позволяет выполнить программную реализацию программного продукта, позволяющего проводить анализ любой КС [4]. Стоит отметить, что опрос экспертов возможен на любом количестве и составе вопросов. Алгоритм кластеризации позволил провести группировку распределенных данных.
Литература
1. Сумкин К. С. Модель разграничения прав доступа и программная реализация модели для компьютерных сетей // Диссертация на соискания ученой степени кандидата технических наук. М.:МГУПИ. 2009 г.
2. IFSA'97. Prague. Seventh International Fuzzy System Association World Congress. University of Economics Prague. Fuzzy Neural Networks. Tutorium, IFSA’97, Prague, 1997. 37 pp
3. Tatra Mountaints. Mathematical Publications. Bratislava. Mathematical Institute Slovak Academy of Sciences, Vol. 13, 1997
4. Eufit'98 6th European Congress on Intelligent Techniques and Soft Computing ELITE - European Laboratory for Intelligent Techniques Engineering. Hrsg. Von Prof. Dr. Dr. h. c. Hans-Jurgen Zimmermann. - Aachen: Mainz, 1998 ISBN3-89653-500-5. Munich 2013. p.23-26.
5. Горбоконенко Е.А., Ярушкина Н.Г. Представление нечеткой информации в СУБД. Труды 7-ой национальной конференции по искусственному интеллекту. М.: Физматлит. 2000. С. 479-484.
6. Горбоконенко Е.А., Ярушкина Н.Г. Применение нечеткой СУБД в САПР. Труды конгресса «Искусственный интеллект в XXI веке». Научное издание. М.: Физматлит. 2001. С. 142-149.
7. Городецкий В.И. Современное состояние технологии извлечения знаний из баз и хранилищ данных. Часть 1. // Новости ИИ. 2002. №3. С. 36-39.
8. Городецкий В.И. Современное состояние технологии извлечения знаний из баз и хранилищ данных Часть 2. // Новости ИИ. 2002. №4. С.89-95.
9. Дюбуа Д., Прад А. Теория возможностей. Приложения к представлению знаний в информатике. М.: Радио и связь. 1990: 288 с.
10. Ярушкина Н.Г. Основы теории нечетких и гибридных систем. М.: Финансы и статистика. 2004 320 с.
11. Н.Г. Ярушкина, А.П. Вельмисов, А.А. Стецько. Нечеткие гибридные системы в задачах интеллектуального анализа данных. Десятая национальная конференция по искусственному интеллекту с международным участием КИИ-2006 (25-28 сентября 2006 г., Обнинск): Труды конференции. В 3-т., М: Физматлит, 2006. С.408-415.
12. Маценко К.В., Никонов В.В. Подготовка данных для автоматизированного анализа // Сборник научных трудов Sworld. 2007. Т. 2. № 1. С. 19-22.
13. Морозова Т.Ю., Никонов В.В., Королев А.А. Нейросетевая концепция безопасной передачи данных в беспроводных компьютерных сетях // Сборник научных трудов Sworld. 2008. Т. 2. № 1. С. 29-34.
14. Сумкин К.С., Морозова Т.Ю. Об использовании нечетких множеств для разграничения прав доступа информационной сети // Наукоемкие технологии. 2008. Т. 9. № 7. С. 12.
15. Сумкин К.С., Грачев А.С., Черноплеков А.В., Рязанов Д.А. Анализ проблем моделей разграничения прав доступа в компьютерных сетях, поиски пути решения проблем // Промышленные АСУ и контроллеры. 2010. № 7. С. 47-49.
