Научная статья на тему 'О применении самоорганизующихся карт Кохонена для кластерного анализа инцидентов информационной безопасности'

О применении самоорганизующихся карт Кохонена для кластерного анализа инцидентов информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
232
81
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Верхорубов А. И., Жуков В. Г.

Рассматриваются самоорганизующиеся карты Кохонена и возможность применения этих карт для кластерного анализа информационной безопасности.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «О применении самоорганизующихся карт Кохонена для кластерного анализа инцидентов информационной безопасности»

Секция

«МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ»

УДК 669.713.7

С. С. Бычков, В. Л. Куржос Научный руководитель - О. Н. Жданов Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск

СИСТЕМА ОБНАРУЖЕНИЯ АТАК И ОПОВЕЩЕНИЯ ОБ УГРОЗАХ НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ КЛИЕНТСКОГО ПРИЛОЖЕНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ

Сегодня электронная цифровая подпись (далее - ЭЦП) становиться все более необходимым средством для осуществления деятельности в различных отраслях мировой экономики. ЭЦП значительно ускоряет процессы, связанные с подписание документов, контрактов, договоров и т.д. В Российской Федерации в качестве алгоритма ЭЦП используется стойкий алгоритм ГОСТ-34.10.2001. Однако нет абсолютной гарантии, что ЭЦП, сгенерированная по данному алгоритму, не будет подделана и использованная в корыстных преступных целях. Так же велика вероятность агентурного шпионажа.

Для решения этой проблемы предлагается в рамках удостоверяющего центра (является стороной, которая следит за подлинностью ЭЦП клиентов, генерирует и выдает сертификаты ЭЦП) реализовать систему обнаружения атак и оповещения об угрозах несанкционированного использования клиентского приложения ЭЦП. В клиентское приложение интегрируется модуль, который отслеживает поведение пользователя, в частности следит за количеством неудачных попыток входа в систему. При первой же попытке модуль отправляет необходимую информацию в удостоверяющий центр, о случившемся сбое, в центре полученная информация обрабатывается и высылается оповещение по электронной почте пользователю, от клиентского приложения которого пришло сообщение, извещение об обнаруженной ошибке.

Модуль, встроенный в клиентское приложение, направляет в удостоверяющий цент информацию об ошибке, а так же тасадрес машины с которой производится попытка работы с клиентским приложением ЭЦП (информация о тасадресе машины высылается

при любой генерации ЭЦП). Вся высылаемая модулем информация так же шифруется. При накоплении определенного числа таких ошибок сертификат ЭЦП «неблагополучного» пользователя блокируется, о чем пользователь так же оповещается. Одновременно с этим с клиентом связываются по телефону для урегулирования данного вопроса, после чего действие сертификата ЭЦП возобновляется.

На основании вышесказанного можно предположить, что данные меры способны в значительной степени снизить риск от таких опасностей как подделка ЭЦП (фиксируетсятасадрес машины), что фактически свидетельствует о месте, в котором произошел процесс подписания документа с использованием ЭЦП. Так же снижается риск от агентурного использования ЭЦП, так как агент не всегда владеет ключом для входа в клиентское приложение, он может применить попытку взлома ключа с использованием другого программного обеспечения, генерирующего ключи.

© Бычков С. С., Куржос В. Л., Жданов О. Н., 2011

УДК 004.056

А. И. Верхорубов Научный руководитель - В. Г. Жуков Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск

О ПРИМЕНЕНИИ САМООРГАНИЗУЮЩИХСЯ КАРТ КОХОНЕНА ДЛЯ КЛАСТЕРНОГО АНАЛИЗА ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Рассматриваются самоорганизующиеся карты Кохонена и возможность применения этих карт для кластерного анализа информационной безопасности.

Инцидент информационной безопасности - это одно или серия событий информационной безопасности, которые могут привести к ущербу и потерям для организации.

Самоорганизующаяся карта (СОК) - это нейрон-

ная сеть без обратных связей, в которой используется алгоритм обучения без учителя. Посредством процесса, именуемого самоорганизацией, СОК образует топологическое представление исходных данных из элементов, получаемых на выходе. СОК относится к

Актуальные проблемы авиации и космонавтики. Информационные технологии

общему классу нейросетевых методов, использующих нелинейную регрессию. Ее можно обучить узнавать или находить взаимосвязи между входами и выходами либо организовывать данные таким образом, чтобы выявлять в них доселе неизвестные образы или структуры.

СОК - это нейросетевой метод, предполагающий обучение без внешнего вмешательства. В нейросете-вых методиках, предполагающих обучение с учителем, для нахождения образа или соотношения между данными требуется, чтобы один или более выходов были точно заданы вместе с одним или более входами. СОК, напротив, отображает данные большей размерности на карте меньшей размерности, состоящей из решетки нейронов.

Алгоритм СОК основывается на соревновательном обучении без учителя. Он обеспечивает сохраняющее топологию отображение из пространства большой размерности в элементы карты. Элементы карты, или нейроны, обычно образуют двумерную решетку. Таким образом, это отображение является отображением пространства большой размерности на плоскость. Свойство сохранения топологии означает, что СОК распределяет сходные векторы входных данных по нейронам, т. е. точки, расположенные в пространстве входов близко друг к другу, отображаются на близко расположенные элементы СОК. Таким образом, СОК может служить как средством кластеризации, так и средством визуального представления данных большой размерности.

Процесс создания самоорганизующейся карты требует двух слоев нейронов: первый - входной слой, содержащий нейроны для каждого элемента входного вектора, второй - выходной слой, или решетка нейронов, связанных со всеми нейронами входного слоя. Число нейронов в выходном слое определяется пользователем на основании изначальной формы или размера карты, которую он хочет получить.

Когда образ подается на вход нейронной сети, нейроны выходного слоя соревнуются друг с другом за право быть победителем. Победителем становится тот выходной нейрон, веса связей которого оказываются ближайшими к входному образу в смысле евклидова расстояния.

Когда СОК осуществляет топологическое отображение, происходит регулирование не только веса нейрона-победителя, но также весов смежных выходных нейронов, ближайших соседей победителя. Таким образом, подвижка весов происходит не только у нейрона-победителя, но и целая окрестность выходных нейронов становится сдвинутой ближе к входному образу. Когда процесс начинается с рандомизированных (случайных) значений весов, выходные нейроны медленно выравниваются, поскольку при предъявлении входного образа на него реагирует не только отдельный нейрон, но также и его окрестность. В конце обучения корректируются только веса нейрона-победителя. Аналогично темп обучения уменьшается по мере обучения, а в некоторых приложениях темп обучения снижается по мере уменьшения расстояния от нейрона-победителя.

Результатом являются веса связей между входными векторами и выходными нейронами, каждому из

которых соответствует типичный входной образ для некоторого подмножества входных данных, которое попадает в отдельный кластер. Процесс сжатия данных большой размерности до некоторого набора кластеров называется сегментацией. Исходное пространство большой размерности сжимается в двумерную карту. СОК также обладают способностью к обобщению. Это означает, что подобные нейронные сети могут узнавать или характеризовать входные данные, с которыми они никогда прежде не имели дело. Более того, для поиска или прогнозирования значений пропущенных данных на основе использования ранее обученной карты они могут использовать даже входные вектора с недостающими (пропущенными) данными [1].

Отличительные особенности применения самоорганизующихся карт Кохонена в области анализа инцидентов информационной безопасности:

- нейросети происходит без учителя на основе только входных данных, т. е. для проведения анализа данных не нужно быть специалистом в области искусственного интеллекта;

- наглядное представление результатов в виде цветных двумерных карт, на которых схожие в исходном пространстве оказываются рядом;

- использование нейросетевых алгоритмов позволяет выявлять скрытые закономерности в данных, которые могут остаться без внимания при использовании только статистических методов.

_Импорт (загрузка) данных_

_43;_

Выбор палей (атрибутов] дня анализа

__

Выбор параметров: -обучен« нейронной сета -визуализации карт

Визуальньй анализ результатов (по тргам)

Экспорт (сохранение) результатов

| Внешний 501_-анэлиз | | Внешний ОЬАР-анализ |

Алгоритм анализа данных

Применение нейросетевых технологий с обучением без учителя для анализа инцидентов информационной безопасности позволит перейти к интеллектуальному анализу данных средств защиты информации и повысить эффективность их работы путем отражения найденных скрытых закономерностей в политики их работы.

Библиографическая ссылка

1. Дебок Г., Кохонен Т. Анализ финансовых данных с помощью самоорганизующихся карт / пер. с англ. М. : Альпина, 2001.

© Верхорубов А. И., Жуков В. Г., 2011

i Надоели баннеры? Вы всегда можете отключить рекламу.