CC BY
270
УДК 004.891.3
А. С. Катасёв, Д. В. Катасёва, А. П. Кирпичников
НЕЙРОСЕТЕВОЕ ПРОГНОЗИРОВАНИЕ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
Ключевые слова: нейронная сеть, прогнозирование, инциденты информационной безопасности.
В работе описывается технология применения нейронных сетей для решения задачи прогнозирования инцидентов информационной безопасности предприятия. Предлагается структура, производится обучение нейронной сети, оценивается ее адекватность и прогнозирующая способность. Показывается возможность эффективного использования нейросетевой модели в составе интеллектуальной системы прогнозирования.
Keywords: neural network, prediction, information security incidents.
This paper describes the technology of neural networks application to solve the problem of enterprise information security incidents prediction. Offered the structure of neural network, trained this neural network, estimated its value and prediction ability. Shows the possibility of the effective use of neural network model composed ofprediction intelligent system.
Известно, что нейронные сети являются хорошими функциональными аппроксиматорами, т.е. способны по таблично заданному временному ряду в результате обучения запомнить и восстановить вид функциональной зависимости этого ряда. Данное свойство нейронных сетей легло в основу широкого их применения в системах поддержки принятия решений [4,6-8]. Эффективность нейросетевой аппроксимации сравнима с эффективностью нечеткой [1,5] и нейронечеткой [2] аппроксимации экспериментальных данных. Способность нейронных сетей после обучения к обобщению и пролонгации результатов создает предпосылки построения на их основе прогнозирующих систем [9].
Пусть дан временной ряд x(t) на промежутке t = 1, m. Тогда задача прогнозирования состоит в том, чтобы найти продолжение временного ряда на неизвестном промежутке, то есть определить значения x(m+1), x(m+2) и т.д. (см. рис. 1).
1 т t
Рис. 1 - Задача прогнозирования временного ряда
Совокупность известных значений временного ряда образует обучающую выборку, размерность которой характеризуется значением т. Для подготовки исходных данных временного ряда к прогнозированию требуется их трансформация, которая выполняется с использованием метода «скользящего окна» [11]. Данный метод характеризуется шириной окна р, равной числу элементов ряда, одновременно подаваемых на вход нейронной сети.
Это определяет структуру сети, которая состоит из р распределительных и одного выходного нейрона.
Обучающую выборку для нейронной сети можно представить в виде матрицы, строки которой характеризуют векторы, подаваемые на вход сети:
X =
x(1) x(2)
x(2) x(3)
x(m — p) x(m — p +1)
x( p) x( p +1)
x(m — 1)
Это эквивалентно перемещению окна по ряду x(t) с единичным шагом. Таким образом, для обучения нейронной сети прогнозированию используется выборка известных членов ряда. После обучения сеть должна прогнозировать временной ряд на упреждающий промежуток времени.
Рассмотрим задачу прогнозирования числа инцидентов в системе информационной безопасности предприятия [3]. Исходные данные для анализа представляют собой временной ряд, содержащий значения количества инцидентов, произошедших в системе информационной безопасности предприятия за четыре месяца с интервалом в один день.
В таблице 1 представлен фрагмент (за 1 месяц) исходных данных временного ряда.
Необходимо построить прогноз значения количества инцидентов информационной безопасности предприятия на завтра, послезавтра и т. д. на основе числа инцидентов за последние несколько дней. Решение данной задачи необходимо получить на основе обучения нейронной сети. Прогнозирующая нейронная сеть должна иметь один выход и количество входов, равное ширине окна p. Данный параметр определяет число учитываемых предыдущих значений ряда для прогнозирования, например, четыре последних значения ^=4).
Для обучения нейронной сети необходимо подготовить обучающую выборку, в которой входными значениями будут количество инцидентов информационной безопасности предприятия за последние p дней, а желаемым выходом - известное число инцидентов на следующий за ними день.
Таблица 1 - Данные временного ряда инцидентов информационной безопасности предприятия
Дата Число инцидентов
01.01.2014 1280
02.01.2014 1284
03.01.2014 1286
04.01.2014 1281
05.01.2014 1280
06.01.2014 1273
07.01.2014 1266
08.01.2014 1269
09.01.2014 1268
10.01.2014 1269
11.01.2014 1272
12.01.2014 1263
13.01.2014 1270
14.01.2014 1267
15.01.2014 1268
16.01.2014 1278
17.01.2014 1278
18.01.2014 1274
19.01.2014 1268
20.01.2014 1270
21.01.2014 1269
22.01.2014 1268
23.01.2014 1273
24.01.2014 1273
25.01.2014 1271
26.01.2014 1269
27.01.2014 1258
28.01.2014 1259
29.01.2014 1253
30.01.2014 1252
31.01.2014 1256
Процесс подготовки выборки данных для обучения нейронной сети прогнозированию состоит из следующей последовательности шагов:
- в табличном процессоре MS Excel в первый столбец таблицы вносятся значения исходного временного ряда данных, определяющего количество инцидентов информационной безопасности предприятия;
- значения инцидентов из первого столбца копируются в p соседних столбцов;
- в каждом из полученных столбцов производится сдвиг значений на к ячеек вверх, где k=1..p - номер столбца (слева направо);
- удаляются последние элементы каждого (кроме последнего) столбца, соответствующие строкам с пустыми ячейками.
Особенность подготовленной таким образом обучающей выборки состоит в том, что каждая строка таблицы представляет собой обучающий пример, где первые p чисел - входные значения сети, а p+1 число - желаемое значение выхода. Исключение составляют последние p-1 строк, где данных недостаточно, поэтому эти строки удаляются из обучающей выборки. В последней строке заданы все p входов, но неизвестно значение выхода. Для этой
строки можно получить результат, который и будет прогнозом на следующий за т-ым день.
На рис. 2. представлен фрагмент сформированной выборки данных для обучения нейронной сети прогнозированию.
Microsoft: Excel - Книга!
1 2 Э 4 5
1 Вх_1 Вх_2 Вх_3 Вх_4 Выход
2 1280 1284 1286 1281 1280
3 1284 1286 1281 1280 1273
4 1286 1281 1280 1273 1266
5 1281 1280 1273 1266 1269
6 1280 1273 1266 1269 1268
7 1273 1266 1269 1268 1272
8 1266 1269 1268 1272 1275
9 1269 1268 1272 1275 1278
10 126S 1272 1275 1278 1280
11 1272 127 J 1278 1280 1279
Рис. 2 - Фрагмент обучающей выборки
Как видно из данного рисунка, выборка формировалась с использованием методики «скользящего окна» с шириной окна p=4. Значение данного параметра соответствует количеству входных столбцов в обучающей выборке для обучения нейронной сети прогнозированию.
Анализ полученных данных проводился в аналитической платформе Deductor Studio Academic 5.3 [10]. Данная программа позволяет выполнять все этапы интеллектуального анализа данных: от их загрузки и визуализации до построения и оценки качества готовых моделей.
На рис. 3 представлен фрагмент исходного временного ряда данных, характеризующих количество инцидентов информационной безопасности предприятия.
МЛ1Л014 1ЭОШ4 07ЛЭ
Рис. 3 - Фрагмент временного ряда
Используя обработчик «Нейросеть», входящий в состав аналитической платформы Deductor Studio Academic 5.3, построена нейросетевая модель, структура которой представлена на рис. 4.
модели, которая полностью повторяет тенденции исходного временного ряда.
Рис. 4 - Структура нейронной сети
Из данного рисунка видно, что построенная модель состоит из четырех входных нейронов, выполняющих распределение входных сигналов по нейронной сети, восьми нейронов скрытого слоя, выполняющих обработку входных сигналов, и одного выходного нейрона, отвечающего за формирование выходной сетевой активности.
Произведем обучение нейронной сети на данных из обучающей выборки. В результате получим нейросетевую прогнозную модель, качество которой можно оценить по диаграмме рассеяния, представленной на рис. 5.
Рис. 5 - Диаграмма рассеяния обученной нейронной сети
Как видно из представленной диаграммы, отклонение всех прогнозных значений, формируемых на выходе нейронной сети, от истинных значений временного ряда, не превышает допустимого 5%-го доверительного интервала. Это свидетельствует о качестве построенной нейросетевой модели.
Для оценки аппроксимирующей способности построенной модели совместим график реального временного ряда с графиком временного ряда, формируемого моделью (см. рис. 6).
Визуальный анализ данных графиков позволяет сделать вывод о высокой степени аппроксимирующей способности построенной нейросетевой
Рис. 6 - Результат нейросетевой аппроксимации данных временного ряда
Для оценки ошибки модели использовано тестовое множество данных объемом 40 записей. На рис. 7 представлена диаграмма рассеяния, показывающая эффективность работы нейронной сети при тестировании.
Рис. 7 - Диаграмма рассеяния нейронной сети при тестировании
Из диаграммы видно, что, несмотря на присутствие единичного случая выхода прогнозного значения за границы 5%-го доверительного интервала, нейросетевая модель показала высокие результаты при тестировании. Таким образом, результаты экспериментальных исследований показали, что построенная модель может быть использована в качестве эффективного инструмента для прогнозирования количества инцидентов информационной безопасности предприятия.
Практическая ценность предложенного подхода заключается в возможности построения на базе нейросетевых моделей эффективных систем для прогнозирования. На рисунке 8 представлена схема использования нейросетевой модели в составе интеллектуальной системы, решающей задачу прогнозирования количества инцидентов информационной безопасности предприятия.
Интеллектуальная система прогнозирования
Модуль принятия решений_
Данные ' временного ряда
Прогнозное значение ряда
Пользователь
Рис. 8 - Схема использования нейросетевой модели в составе интеллектуальной системы прогнозирования
Как видно из приведенной схемы, пользователь (оператор) извлекает текущие значения временного ряда и подает их на вход интеллектуальной системы. Входные данные поступают в модуль принятия решений, который непосредственно взаимодействует с нейросетевой прогнозной моделью. Нейронная сеть на основе вектора значений входных параметров формирует собственное выходное значение. Данное значение интерпретируется модулем принятия решений, как прогнозное значение следующего члена временного ряда. Таким образом, пользователь получает ответ от интеллектуальной системы в виде прогнозного значения на упреждающий промежуток времени, соответствующий заданному горизонту прогнозирования.
Следует отметить, что описанная нейросе-тевая система представляет собой адаптивную модель интеллектуального анализа данных и принятия решений. Адаптивность модели заключается в возможности автоматически корректировать параметры нейронной сети, а именно весовые коэффициенты межнейронных связей. Корректировка параметров достигается в результате переобучения сети на новых данных, соответствующих новым членам временного ряда.
Таким образом, с течением времени нейро-сетевая модель обновляется, аппроксимируя новые закономерности в поведении временного ряда. Это позволяет формировать прогнозные значения модели с высокой степенью точности. Данная особен-
ность нейронных сетей может быть эффективно использована при построении интеллектуальных систем для прогнозирования количества инцидентов информационной безопасности предприятия.
Литература
3
Абдулхаков А.Р., Катасёв А.С., Кирпичников А.П. Методы редукции нечетких правил в базах знаний интеллектуальных систем // Вестник Казан. технол. ун-та. - 2014. -Т. 17. № 23. - С. 389-392.
Емалетдинова Л.Ю., Катасёв А.С., Кирпичников А.П. Нейронечеткая модель аппроксимации сложных объектов с дискретным выходом // Вестник Казан. технол. ун-та. -2014. - Т. 17. № 1. - С. 295-299.
Заркумова-Райхель Р.Н., Абденов А.Ж. Прогнозирование количества инцидентов в системе информационной безопасности предприятия при помощи динамической модели // Фундаментальные исследования. - 2012. - №6. - С. 429434.
4. Катасёв А.С., Катасёва Д.В. Интеллектуальный анализ временных рядов в системах диагностики и поддержки принятия решений // Поиск эффективных решений в процессе создания и реализации научных разработок в российской авиационной и ракетно-космической промышленности. Международная научно-практическая конференция. Казань, 2014. С. 481-483.
5. Катасёв А.С., Катасёва Д.В. Формирование нечетких правил фильтрации нежелательных электронных сообщений в инфокоммуникационных сетях // Проблемы техники и технологий телекоммуникаций ПТиТТ-2014; Оптические технологии в телекоммуникациях 0ТТ-2014 Материалы Международных научно-технических конференций. Казань, 2014. С. 320-322.
7. Катасёв А.С., Катасёва Д.В., Кирпичников А.П. Нейросе-тевая технология классификации электронных почтовых сообщений // Вестник технол. ун-та. - 2015. - Т. 18. № 5. - С. 180-183.
6. Катасёв А.С., Катасёва Д.В., Кирпичников А.П. Нейросе-тевая диагностика аномальной сетевой активности // Вестник технол. ун-та. - 2015. - Т. 18. № 6. - С. 163-167.
8. Катасёв А.С., Катасёва Д.В., Кирпичников А.П. Оценка стойкости шифрующих преобразований моноалфавитной замены с использованием генетического алгоритма // Вестник технол. ун-та. - 2015. - Т. 18. № 7. - С. 255-259.
9. Окунь А.С., Окунь С.А. Нейросетевое моделирование как инструмент прогнозирования // Финансовая аналитика: проблемы и решения. - 2011. - № 33. - С. 45-52.
10. Паклин Н.Б., Орешков В.И. Бизнес-аналитика: от данных к знаниям: учебное пособие. - 2-е изд., испр. - СПб.: Питер, 2013. - 704 с.: ил.
11. Рыбин А.Л. Метод скользящего окна для выявления участков концентрации ДТП при аудите безопасности дорожного движения // Автотранспортное предприятие. -2014. - № 10. - С. 23-26.
© А. С. Катасёв - д-р техн. наук, доц. кафедры систем информационной безопасности КНИТУ-КАИ, kat_726@mail.ru; Д. В. Катасёва - аспирант кафедры систем информационной безопасности КНИТУ-КАИ, 415pisarevadv@mail.ru; А. П. Кирпичников - д-р физ.-мат. наук, профессор, зав. кафедрой интеллектуальных систем и управления информационными ресурсами КНИТУ, kirpichnikov@kstu.ru.
© A.S. Katasev - Dr. Sci, Associate Professor the Information Security Systems Department, KNRTU named after A.N. Tupolev, kat_726@mail.ru; D.V. Kataseva - Postgraduate Student the Information Security Systems Department, KNRTU named after A.N. Tupolev, 415pisarevadv@mail.ru; А. P. Kirpichnikov - Dr. Sci, Prof, Head of the Department of Intelligent Systems & Information Systems Control, KNRTU, kirpichnikov@kstu.ru.
