Научная статья на тему 'Нейросетевое прогнозирование инцидентов информационной безопасности предприятия'

Нейросетевое прогнозирование инцидентов информационной безопасности предприятия Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1096
275
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
НЕЙРОННАЯ СЕТЬ / NEURAL NETWORK / ПРОГНОЗИРОВАНИЕ / PREDICTION / ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ / INFORMATION SECURITY INCIDENTS

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Катасёв А. С., Катасёва Д. В., Кирпичников А. П.

В работе описывается технология применения нейронных сетей для решения задачи прогнозирования инцидентов информационной безопасности предприятия. Предлагается структура, производится обучение нейронной сети, оценивается ее адекватность и прогнозирующая способность. Показывается возможность эффективного использования нейросетевой модели в составе интеллектуальной системы прогнозирования.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Катасёв А. С., Катасёва Д. В., Кирпичников А. П.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Нейросетевое прогнозирование инцидентов информационной безопасности предприятия»

УДК 004.891.3

А. С. Катасёв, Д. В. Катасёва, А. П. Кирпичников

НЕЙРОСЕТЕВОЕ ПРОГНОЗИРОВАНИЕ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

Ключевые слова: нейронная сеть, прогнозирование, инциденты информационной безопасности.

В работе описывается технология применения нейронных сетей для решения задачи прогнозирования инцидентов информационной безопасности предприятия. Предлагается структура, производится обучение нейронной сети, оценивается ее адекватность и прогнозирующая способность. Показывается возможность эффективного использования нейросетевой модели в составе интеллектуальной системы прогнозирования.

Keywords: neural network, prediction, information security incidents.

This paper describes the technology of neural networks application to solve the problem of enterprise information security incidents prediction. Offered the structure of neural network, trained this neural network, estimated its value and prediction ability. Shows the possibility of the effective use of neural network model composed ofprediction intelligent system.

Известно, что нейронные сети являются хорошими функциональными аппроксиматорами, т.е. способны по таблично заданному временному ряду в результате обучения запомнить и восстановить вид функциональной зависимости этого ряда. Данное свойство нейронных сетей легло в основу широкого их применения в системах поддержки принятия решений [4,6-8]. Эффективность нейросетевой аппроксимации сравнима с эффективностью нечеткой [1,5] и нейронечеткой [2] аппроксимации экспериментальных данных. Способность нейронных сетей после обучения к обобщению и пролонгации результатов создает предпосылки построения на их основе прогнозирующих систем [9].

Пусть дан временной ряд x(t) на промежутке t = 1, m. Тогда задача прогнозирования состоит в том, чтобы найти продолжение временного ряда на неизвестном промежутке, то есть определить значения x(m+1), x(m+2) и т.д. (см. рис. 1).

1 т t

Рис. 1 - Задача прогнозирования временного ряда

Совокупность известных значений временного ряда образует обучающую выборку, размерность которой характеризуется значением т. Для подготовки исходных данных временного ряда к прогнозированию требуется их трансформация, которая выполняется с использованием метода «скользящего окна» [11]. Данный метод характеризуется шириной окна р, равной числу элементов ряда, одновременно подаваемых на вход нейронной сети.

Это определяет структуру сети, которая состоит из р распределительных и одного выходного нейрона.

Обучающую выборку для нейронной сети можно представить в виде матрицы, строки которой характеризуют векторы, подаваемые на вход сети:

X =

x(1) x(2)

x(2) x(3)

x(m — p) x(m — p +1)

x( p) x( p +1)

x(m — 1)

Это эквивалентно перемещению окна по ряду x(t) с единичным шагом. Таким образом, для обучения нейронной сети прогнозированию используется выборка известных членов ряда. После обучения сеть должна прогнозировать временной ряд на упреждающий промежуток времени.

Рассмотрим задачу прогнозирования числа инцидентов в системе информационной безопасности предприятия [3]. Исходные данные для анализа представляют собой временной ряд, содержащий значения количества инцидентов, произошедших в системе информационной безопасности предприятия за четыре месяца с интервалом в один день.

В таблице 1 представлен фрагмент (за 1 месяц) исходных данных временного ряда.

Необходимо построить прогноз значения количества инцидентов информационной безопасности предприятия на завтра, послезавтра и т. д. на основе числа инцидентов за последние несколько дней. Решение данной задачи необходимо получить на основе обучения нейронной сети. Прогнозирующая нейронная сеть должна иметь один выход и количество входов, равное ширине окна p. Данный параметр определяет число учитываемых предыдущих значений ряда для прогнозирования, например, четыре последних значения ^=4).

Для обучения нейронной сети необходимо подготовить обучающую выборку, в которой входными значениями будут количество инцидентов информационной безопасности предприятия за последние p дней, а желаемым выходом - известное число инцидентов на следующий за ними день.

Таблица 1 - Данные временного ряда инцидентов информационной безопасности предприятия

Дата Число инцидентов

01.01.2014 1280

02.01.2014 1284

03.01.2014 1286

04.01.2014 1281

05.01.2014 1280

06.01.2014 1273

07.01.2014 1266

08.01.2014 1269

09.01.2014 1268

10.01.2014 1269

11.01.2014 1272

12.01.2014 1263

13.01.2014 1270

14.01.2014 1267

15.01.2014 1268

16.01.2014 1278

17.01.2014 1278

18.01.2014 1274

19.01.2014 1268

20.01.2014 1270

21.01.2014 1269

22.01.2014 1268

23.01.2014 1273

24.01.2014 1273

25.01.2014 1271

26.01.2014 1269

27.01.2014 1258

28.01.2014 1259

29.01.2014 1253

30.01.2014 1252

31.01.2014 1256

Процесс подготовки выборки данных для обучения нейронной сети прогнозированию состоит из следующей последовательности шагов:

- в табличном процессоре MS Excel в первый столбец таблицы вносятся значения исходного временного ряда данных, определяющего количество инцидентов информационной безопасности предприятия;

- значения инцидентов из первого столбца копируются в p соседних столбцов;

- в каждом из полученных столбцов производится сдвиг значений на к ячеек вверх, где k=1..p - номер столбца (слева направо);

- удаляются последние элементы каждого (кроме последнего) столбца, соответствующие строкам с пустыми ячейками.

Особенность подготовленной таким образом обучающей выборки состоит в том, что каждая строка таблицы представляет собой обучающий пример, где первые p чисел - входные значения сети, а p+1 число - желаемое значение выхода. Исключение составляют последние p-1 строк, где данных недостаточно, поэтому эти строки удаляются из обучающей выборки. В последней строке заданы все p входов, но неизвестно значение выхода. Для этой

строки можно получить результат, который и будет прогнозом на следующий за т-ым день.

На рис. 2. представлен фрагмент сформированной выборки данных для обучения нейронной сети прогнозированию.

Microsoft: Excel - Книга!

1 2 Э 4 5

1 Вх_1 Вх_2 Вх_3 Вх_4 Выход

2 1280 1284 1286 1281 1280

3 1284 1286 1281 1280 1273

4 1286 1281 1280 1273 1266

5 1281 1280 1273 1266 1269

6 1280 1273 1266 1269 1268

7 1273 1266 1269 1268 1272

8 1266 1269 1268 1272 1275

9 1269 1268 1272 1275 1278

10 126S 1272 1275 1278 1280

11 1272 127 J 1278 1280 1279

Рис. 2 - Фрагмент обучающей выборки

Как видно из данного рисунка, выборка формировалась с использованием методики «скользящего окна» с шириной окна p=4. Значение данного параметра соответствует количеству входных столбцов в обучающей выборке для обучения нейронной сети прогнозированию.

Анализ полученных данных проводился в аналитической платформе Deductor Studio Academic 5.3 [10]. Данная программа позволяет выполнять все этапы интеллектуального анализа данных: от их загрузки и визуализации до построения и оценки качества готовых моделей.

На рис. 3 представлен фрагмент исходного временного ряда данных, характеризующих количество инцидентов информационной безопасности предприятия.

МЛ1Л014 1ЭОШ4 07ЛЭ

Рис. 3 - Фрагмент временного ряда

Используя обработчик «Нейросеть», входящий в состав аналитической платформы Deductor Studio Academic 5.3, построена нейросетевая модель, структура которой представлена на рис. 4.

модели, которая полностью повторяет тенденции исходного временного ряда.

Рис. 4 - Структура нейронной сети

Из данного рисунка видно, что построенная модель состоит из четырех входных нейронов, выполняющих распределение входных сигналов по нейронной сети, восьми нейронов скрытого слоя, выполняющих обработку входных сигналов, и одного выходного нейрона, отвечающего за формирование выходной сетевой активности.

Произведем обучение нейронной сети на данных из обучающей выборки. В результате получим нейросетевую прогнозную модель, качество которой можно оценить по диаграмме рассеяния, представленной на рис. 5.

Рис. 5 - Диаграмма рассеяния обученной нейронной сети

Как видно из представленной диаграммы, отклонение всех прогнозных значений, формируемых на выходе нейронной сети, от истинных значений временного ряда, не превышает допустимого 5%-го доверительного интервала. Это свидетельствует о качестве построенной нейросетевой модели.

Для оценки аппроксимирующей способности построенной модели совместим график реального временного ряда с графиком временного ряда, формируемого моделью (см. рис. 6).

Визуальный анализ данных графиков позволяет сделать вывод о высокой степени аппроксимирующей способности построенной нейросетевой

Рис. 6 - Результат нейросетевой аппроксимации данных временного ряда

Для оценки ошибки модели использовано тестовое множество данных объемом 40 записей. На рис. 7 представлена диаграмма рассеяния, показывающая эффективность работы нейронной сети при тестировании.

Рис. 7 - Диаграмма рассеяния нейронной сети при тестировании

Из диаграммы видно, что, несмотря на присутствие единичного случая выхода прогнозного значения за границы 5%-го доверительного интервала, нейросетевая модель показала высокие результаты при тестировании. Таким образом, результаты экспериментальных исследований показали, что построенная модель может быть использована в качестве эффективного инструмента для прогнозирования количества инцидентов информационной безопасности предприятия.

Практическая ценность предложенного подхода заключается в возможности построения на базе нейросетевых моделей эффективных систем для прогнозирования. На рисунке 8 представлена схема использования нейросетевой модели в составе интеллектуальной системы, решающей задачу прогнозирования количества инцидентов информационной безопасности предприятия.

Интеллектуальная система прогнозирования

Модуль принятия решений_

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Данные ' временного ряда

Прогнозное значение ряда

Пользователь

Рис. 8 - Схема использования нейросетевой модели в составе интеллектуальной системы прогнозирования

Как видно из приведенной схемы, пользователь (оператор) извлекает текущие значения временного ряда и подает их на вход интеллектуальной системы. Входные данные поступают в модуль принятия решений, который непосредственно взаимодействует с нейросетевой прогнозной моделью. Нейронная сеть на основе вектора значений входных параметров формирует собственное выходное значение. Данное значение интерпретируется модулем принятия решений, как прогнозное значение следующего члена временного ряда. Таким образом, пользователь получает ответ от интеллектуальной системы в виде прогнозного значения на упреждающий промежуток времени, соответствующий заданному горизонту прогнозирования.

Следует отметить, что описанная нейросе-тевая система представляет собой адаптивную модель интеллектуального анализа данных и принятия решений. Адаптивность модели заключается в возможности автоматически корректировать параметры нейронной сети, а именно весовые коэффициенты межнейронных связей. Корректировка параметров достигается в результате переобучения сети на новых данных, соответствующих новым членам временного ряда.

Таким образом, с течением времени нейро-сетевая модель обновляется, аппроксимируя новые закономерности в поведении временного ряда. Это позволяет формировать прогнозные значения модели с высокой степенью точности. Данная особен-

ность нейронных сетей может быть эффективно использована при построении интеллектуальных систем для прогнозирования количества инцидентов информационной безопасности предприятия.

Литература

3

Абдулхаков А.Р., Катасёв А.С., Кирпичников А.П. Методы редукции нечетких правил в базах знаний интеллектуальных систем // Вестник Казан. технол. ун-та. - 2014. -Т. 17. № 23. - С. 389-392.

Емалетдинова Л.Ю., Катасёв А.С., Кирпичников А.П. Нейронечеткая модель аппроксимации сложных объектов с дискретным выходом // Вестник Казан. технол. ун-та. -2014. - Т. 17. № 1. - С. 295-299.

Заркумова-Райхель Р.Н., Абденов А.Ж. Прогнозирование количества инцидентов в системе информационной безопасности предприятия при помощи динамической модели // Фундаментальные исследования. - 2012. - №6. - С. 429434.

4. Катасёв А.С., Катасёва Д.В. Интеллектуальный анализ временных рядов в системах диагностики и поддержки принятия решений // Поиск эффективных решений в процессе создания и реализации научных разработок в российской авиационной и ракетно-космической промышленности. Международная научно-практическая конференция. Казань, 2014. С. 481-483.

5. Катасёв А.С., Катасёва Д.В. Формирование нечетких правил фильтрации нежелательных электронных сообщений в инфокоммуникационных сетях // Проблемы техники и технологий телекоммуникаций ПТиТТ-2014; Оптические технологии в телекоммуникациях 0ТТ-2014 Материалы Международных научно-технических конференций. Казань, 2014. С. 320-322.

7. Катасёв А.С., Катасёва Д.В., Кирпичников А.П. Нейросе-тевая технология классификации электронных почтовых сообщений // Вестник технол. ун-та. - 2015. - Т. 18. № 5. - С. 180-183.

6. Катасёв А.С., Катасёва Д.В., Кирпичников А.П. Нейросе-тевая диагностика аномальной сетевой активности // Вестник технол. ун-та. - 2015. - Т. 18. № 6. - С. 163-167.

8. Катасёв А.С., Катасёва Д.В., Кирпичников А.П. Оценка стойкости шифрующих преобразований моноалфавитной замены с использованием генетического алгоритма // Вестник технол. ун-та. - 2015. - Т. 18. № 7. - С. 255-259.

9. Окунь А.С., Окунь С.А. Нейросетевое моделирование как инструмент прогнозирования // Финансовая аналитика: проблемы и решения. - 2011. - № 33. - С. 45-52.

10. Паклин Н.Б., Орешков В.И. Бизнес-аналитика: от данных к знаниям: учебное пособие. - 2-е изд., испр. - СПб.: Питер, 2013. - 704 с.: ил.

11. Рыбин А.Л. Метод скользящего окна для выявления участков концентрации ДТП при аудите безопасности дорожного движения // Автотранспортное предприятие. -2014. - № 10. - С. 23-26.

© А. С. Катасёв - д-р техн. наук, доц. кафедры систем информационной безопасности КНИТУ-КАИ, [email protected]; Д. В. Катасёва - аспирант кафедры систем информационной безопасности КНИТУ-КАИ, [email protected]; А. П. Кирпичников - д-р физ.-мат. наук, профессор, зав. кафедрой интеллектуальных систем и управления информационными ресурсами КНИТУ, [email protected].

© A.S. Katasev - Dr. Sci, Associate Professor the Information Security Systems Department, KNRTU named after A.N. Tupolev, [email protected]; D.V. Kataseva - Postgraduate Student the Information Security Systems Department, KNRTU named after A.N. Tupolev, [email protected]; А. P. Kirpichnikov - Dr. Sci, Prof, Head of the Department of Intelligent Systems & Information Systems Control, KNRTU, [email protected].

i Надоели баннеры? Вы всегда можете отключить рекламу.