-□ □-
В умовах постшного зростання кiлькостi дестаб^зуючих впливiв на стан тберпезпеки критично-важливих комп'ю-терних систем, потрiбнi подальшi дослидження, спрямо-ват на розвиток методологiчних та теоретичних засад тформацшного синтезу систем тберзахисту, здатних до самонавчання. Розроблена категоршна модель та алгоритм тформацшно-екстремального навчання системи ттелекту-ального розтзнавання загроз з можлив^тю гтерелтсогдног корекци виршальних правил на основi нечтког кластеризаци ознак для безпомилкового визначення клаЫв аномалш, тбер-загроз або тбератак
Ключовi слова: адаптивш системи розтзнавання тберза-гроз, ознаки тбератаки, кластеризащя ознак, тформацш-
но-екстремальний алгоритм
□-□
В условиях постоянного роста количества дестабилизирующих воздействий на состояние кибербезопасности критически важных компьютерных систем, необходимы дальнейшие исследования, направленные на развитие методологических и теоретических основ информационного синтеза систем киберзащиты, способных к самообучению. Разработана категориальная модель и алгоритм информационно-экстремального обучения системы интеллектуального распознавания угроз с возможностью гиперэллипсоидной коррекции решающих правил на основе нечеткой кластеризации признаков для безошибочного определения классов аномалий, киберугроз или кибератак
Ключевые слова: адаптивные системы распознавания киберугроз, признаки кибератаки, кластеризация признаков,
информационно-экстремальный алгоритм -□ □-
УДК 004.056
|DOI: 10.15587/1729-4061.2016.66015
ПОБУДОВА АДАПТИВНО! СИСТЕМИ РОЗП1ЗНАВАННЯ К1БЕРЗАГРОЗ НА ОСНОВ1 НЕЧ1ТКО! КЛАСТЕР1ЗАЦП ОЗНАК
В. А. Лахно
Доктор техычних наук, доцент Кафедра оргаызацп комплексного захисту шформацп £вропейський уыверситет бул. Академ^а Вернадського, 16В, м. КиТв, УкраТна, 03115 E-mail: lva964@gmail.com
1. Вступ
Ефектившсть функщонування сучасних систем та технологш виявлення юбератак ктотно залежить вщ оперативност та достовiрностi мошторингово1 шформацп про актившсть юберзлочинщв на попередшх стадiях реалiзащi атак на шформацшш ресурси, зо-крема й критично важливь Як показав свгговий досвщ, на сьогодш найб^ьш ефективним методолопчним тдходом до побудови шновацшних штелектуальних мошторингових систем кiбернападiв е шлях створен-ня iерархiчних багаторiвневих структур розтзнавання юбератак на початкових стадiях iхньоi реалiзацii. При цьому, iерархiчний пiдхiд дае змогу розв'язувати складш задачi управлiння процесом захисту шформацп вщ кiбератак в розпод^ених критично важливих iнформацiйних системах (КВ1С) як послiдовнiсть ло-кальних задач, скоординованих мiж собою.
Таким чином, одним iз перспективних та акту-альних напрямiв дослiджень систем штелектуально-го розпiзнавання кiберзагроз (С1РКЗ) е надання iм властивостi адаптивностi. Зокрема, при цьому мож-на використовувати моделi та методи шформацш-но-екстремальноi технологii, яка Грунтуеться на мак-симiзацii iнформацiйноi спроможностi С1РКЗ шляхом використовування при навчанш додаткових шформа-цiйних обмежень, якi, наприклад, стосуються ознак
аномалiй в po6oTÍ або юбератак в межах вiдомих та нових клаив вторгнень.
2. Аналiз лiтературних даних i постановка проблеми
Як правило, ieрархiя бiльшостi КВ1С, шформа-цiйних систем (1С) або автоматизованих систем керування (АСК) включае чотири рiвня [1, 2]: pi-вень прикладного програмного забезпечення; piвень СКБД; piвень ОС; piвень мереж^ що забезпечуе вза-емодiю вузлiв КВ1С (протоколи TCP/IP, IPS/SPX, SMB/NetBIOS та iн. [3, 4]). За статистикою [5] та да-ними дослщжень окремих автоpiв [6-8], до найб^ьш поширених типiв атак можна вщнести несанкщоно-ваний доступ до паролю i конфiденцiйноi шформа-цп, несанкцiоноване вiддалене виконання команд внаслщок помилок типу «переповнення буфера», по-рушення прав доступу, атаки типу «вщмова в обслу-говуванш» i завантаження шкiдливого програмного забезпечення (ПЗ, наприклад, програм типу «троян-ський кшь», ActiveX, вipусiв). Тpуднощi ефективного динамiчного формування паpаметpiв оцiнки юбер-загрози полягають у тому, що pозмip зони пошуку експоненцiйно залежить вщ потужностi початкових множин ознак аномалш, уразливостей, загроз та кь беpнападiв [9, 10].
Складшсть застосування до С1РКЗ формалiзова-ного апарату аналiзу й синтезу КВ1С полягае в тому, що конкретний шформацшний комплекс i його шдси-стема iнформацiйноi безпеки (1Б) складаються з рiз-норiдних елементiв, як можуть описуватися рiзними роздiлами теорп (системами масового обслуговуван-ня [1, 2, 9], кшцевими автоматами [11, 12], теорiею ймовiрностей [3, 4, 13, 14], теорiею розпiзнавання обра-зiв [8, 9, 15], та ш. [1, 2, 16, 17]), тобто розглянутий об'ект дослщження е агрегативним.
В США, державах 6С, Кита^ Пiвденнiй Кореi та Японп дослiдженням проблематики створення ште-лектуальних систем виявлення юбератак придшя-еться багато уваги, про що сввдчить велика кшьюсть публiкацii з ще'' тематики, зокрема, роботи [18-21].
В роботах [1, 3, 4, 11] з позицш аналiзу потенцiйно небезпечних деструктивних впливiв на iнформацiйну безпеку, запропоновано окремо розглядати функцю-нальну безпеку КВ1С. При цьому у визначенш функ-цiональноi безпеки КВ1С акцент було зроблено на правильность функцiонування системи. Тобто, вважа-еться, що вона в основному пов'язана з ненавмисними деструктивними факторами [2, 17, 21]. Однак складшсть та багатофакторшсть процеав у КВ1С в бшьшо-стi випадюв [4, 5, 22] вказуе на неможливкть окремого оцiнювання параметрiв функцюнальшл, шформацш-но'' безпеки та юберзахисту.
Вiдповiдно до пiдходiв, запропонованих у [4, 7, 9], надшний шформацшний процес (1П) у КВ1С усшшно протидiе iснуючим кiберзагрозам при заданих зовшш-нiх умовах його функщонування. Це призводить до постiйного вдосконалення як способiв i засобiв захи-сту iнформацii (ЗЗ1), так i способiв i засобiв реалiзацii загроз для iнформацiйноi безпеки (1Б), в результат чого поява нових ЗЗ1 призводить до появи нових засо-бiв нападу [2, 7, 10, 22].
Причина лежить в принципових теоретичних труднощах моделювання технологiй забезпечення ю-берзахисту КВ1С, що виникають при спробi з'еднати перспективний шдхвд до забезпечення надiйностi та за-хисту 1П вiд кiбернападiв з гнучюстю захисних мехашз-мiв [6, 9, 11, 16]. Тому, на думку авторiв [1, 2, 5, 15], С1РКЗ повинна визначати, як завдання для КВ1С е критично важливими.
У роботах [4, 6, 7, 22] проведено аналiз методiв дiагностики аномалш в комп'ютерних системах - сиг-натурний, статистичний аналiз, використання ште-лектуальних (експертних) систем, генетичних алго-ритмiв, нейромереж та iн.).
В УкраМ питанням розробки та створення С1РКЗ присвяченi роботи [6-9, 16]. Однак, запропоноваш в роботах моделi Грунтуються на рiзнорiдних пiдходах та носять точковий характер, вщповщно до об'екив кiбернападу. Моделi та алгоритми розшзнавання кь бернападiв часто не взаемопов'язаш [6, 8], що наразi ускладнюе 'х використання при створенш ефектив-них С1РКЗ.
Отже, потрiбнi подальшi дослiдження, спрямова-нi на розвиток методолопчних та теоретичних засад шформацшного синтезу систем захисту шформацп, здатних до самонавчання, зокрема, на основi нових моделей та алгоритмiв для С1РКЗ iз використанням процедури жчггко' кластеризацii ознак аномалiй, кь берзагроз або кiбератак.
3. Мета i завдання дослщження
Метою роботи е розробка моделi та алгоритму навчан-ня адаптивноi системи розшзнавання юберзагроз з мож-ливiстю жчико' кластеризацii ознак аномалiй, юберза-гроз або юбератак, та корекцiею виршальних правил, що дозволяе скоротити час навчання системи юберзахисту, в умовах зростання юлькосп та складностi кiбернападiв.
Для досягнення мети роботи потрiбно вирiшити наступнi завдання:
- розробити модель, яка дозволяе для конкретних КВ1С, встановлювати вiдношення мiж елементами адаптивних систем юберзахисту;
- розробити алгоритм навчання С1РКЗ iз використанням процедури нечи^ кластеризацii ознак аномалш або кiбернападiв та можливштю гiперелiпсоiдноi корекцii вирiшальних правил, що дозволить створюва-ти адаптивш механiзми самонавчання системи розшз-навання загроз у КВ1С;
- перевiрити алгоритм шформацшно-екстремально-го навчання С1РКЗ i визначити рацiональну кiлькiсть кластерiв в просторi ознак аномалiй або кiбернападiв для КВ1С, а також потрiбну кiлькiсть крокiв для навчання.
4. Категоршна модель системи штелектуального розпiзнавання кiберзагроз
Оцiнка загроз 1Б КВ1С включае двi складовi: ситу-ацiйний аналiз i виявлення загроз [1, 6, 7, 9]. Ситуацш-ний аналiз являе собою детальний аналiз параметрiв функцiонування апаратно-програмного забезпечення КВ1С. При проведеннi даного аналiзу доцiльно згру-пувати однотипнi даш i оцiнювати 'х окремо по кожнш групi. Приклад такого аналiзу показаний на рис. 1, 2.
Виявлення загроз передбачае комплексний i детальний аналiз усiх факторiв, якi можуть впливати на безпеку функщонування КВ1С. Загрози у вщпо-вiдностi до класiв [6, 8, 13, 15] подшяються на три ба-зовi групи: «потенцшш» - дп, якi теоретично можуть становити небезпеку; «Реальш» - ди зловмисниюв по НСД; «Спрямоваш» - и, якi спрямованi на реалiзацiю конкретних уразливостей в КВ1С.
На думку багатьох фахiвцiв, перспективним шляхом тдвищення функцiональноi ефективностi СРКЗ, що у деяких випадках функщонують за умов апрiорноi невизначеностi та впливу зовшшшх дестабiлiзуючих неконтрольованих факторiв, е впровадження штелек-туальних iнформацiйних технологш, основаних на методах та моделях машинного навчання [4, 8, 9, 15, 17, 20]. На початковому еташ навчання можуть бути викори-сташ методи та алгоритми кластерного аналiзу для автоматизацп процедури формування керованого процесу вхщного математичного опису задачi розшз-навання аномалш у робот КВ1С та кiбернападiв на основi бази знань, сформованоi по вiдомим ознакам.
Трансформацiя апрюрно нечiткого розбиття ознак О ь аномалiй або кiбератаки в чике розбиття еквь валентностi класiв розшзнавання вщомих та нових кiбератак може бути устшно розв'язана у випадку використовування моделей, в якш контейнери клаив розшзнавання юбератак, ввдновлюються в радiаль-ному базисi бiнарного простору ознак розшзнавання конкретноi атаки.
Рис. 1. Розподт частки найбтьших мберзагроз для КВ1С та АС шдприемств [5, 7, 11, 18]
100%
0%
2004
2006
2008
2010
2012
2014
—1нсайдерськаатака - » Вфуси
И Проннкнення в систему «Ё»Вцмова в обслуговуванш
—^Неавторизований доступ • Атака на безд|>отов1 компоненты! мереж! Н#-Саботаж
Крадюжа компонитв
Рис. 2. Динамка найбтьших мберзагроз для KBIC та АС гмдприемств [3—5, 7, 11, 18]
Наприклад, аналiз аномалш виявляе îctothî вщ-хилення трафжу мережевих пристроïв вiд «нормального» профшю трафiку для даного пристрою або гру-пи пристроïв. Прикладами мережевих аномалiй е раптове збшьшення iнтернет-трафiку робочоï станцiï або змша структури трафiку (зокрема, збшьшення
шифрованого SSL-трафiку) в порiвняно 3i звичайни-ми щоденними показниками для даноï ЕОМ у складi КВ1С [4, 7, 15, 19, 21, 22].
Сутшсть розбиття об'ектiв як мiстять ознаки ано-малiй (юбератак) на клас однотипних з точки зору iнформацiйноï безпеки або юберзахисту множин по-
лягае в розбит множини об'eктiв на тдмножини. Класичний пiдхiд до виршення цього завдання здшс-нюеться в два етапи [2, 4, 8, 11].
На першому етат визначаеться множина показни-кiв i 1х параметрiв, тобто простiр ознак аномалш (або кiберзагрози), табл. 1. Якщо множину значень кожного з показниюв розбити за певними правилами на непе-ресiчнi групи, то за кожним показником можуть бути закршлеш вид^еш областi його значень, в межах яких вимоги до стану 1Б (юберзахисту) е незмiнними. Для рiзних КВ1С розбиття множини ознак на непереачш групи проводиться не по одному, а по багатьом показ-никам стану 1Б.
На другому етат визначаеться функщя близь-костi i критерiй розбиття на множини ознак з вико-ристанням велико! кiлькостi показникiв i '!х значень i визначаеться кiлькiсть клаив типових кiбернападiв на КВ1С.
Дане завдання може бути виршено за допомогою методiв кластерного аналiзу [8, 17, 22]. Традицшш алгоритми нечггко1 кластеризацii використовують як вхiднi параметри задану юльюсть кластерiв розбиття, а деяю з них, також, заданий показник нечикосп клас-терiв в просторi ознак уразливостей [1, 2, 17], аномалш [7, 12, 19], загроз НСД [16, 18] та юбератак [18, 22]. На основi шформацшного критерж функцiональноi ефективност (1КФЕ) СЗКЗ для КВ1С можна реaлiзу-вати адаптивний механiзм налаштування параметрiв алгоритму кластеризацп ознак аномалш, юбератак або загроз. Такий тдхщ дозволить обрати оптимальну в шформацшному розумшш кiлькiсть ознак i отрима-ти вирiшальнi правила для оперативного прийняття ршень в робочому режимi СРКЗ.
Математичний опис С1РКЗ виглядае наступним чином:
Д = ( О хТ хОь хФхЯД|2,Х|2,В1,В^,
(1)
де О - множина вхiдних факторiв (сигналiв), яю впли-вають на 1Б КВ1С; Т - множина моментiв часу знят-тя iнформацii про стан 1Б (кiберзахищеностi КВ1С); Оь - проспр ознак для розпiзнавання юберзагроз КВ1С; Ф - простiр можливих функцюнальних станiв 1Б КВ1С; Я - база знань для щентифжацп аномалш, юберзагроз або кiбератак; Z'2' - навчальна матриця (еталон) для двох клаав; X'2' - бшарна навчальна матриця; В!, В2 - оператори формування вхвдно! та бшарно! навчальних матриць, вiдповiдно.
Категорiйна модель адаптивно! системи штелекту-ального розтзнавання загроз наведена на рис. 3.
Оператор 0:Х'2' ^-ЭД'2' використовуеться для розбиття простору ознак аномалш, юберзагроз або ю-бератак на два класи розтзнавання. За допомогою параметра класифжацп у перевiряеться статистична гшотеза про належнiсть реалiзацiй до модельованого класу аномалш, юберзагроз або юбератак. Шляхом оцшки статистичних гшотез, за допомогою оператору у, формуеться множина ч' яка характеризуе точ-нiсть розпiзнавання С1РКЗ, вiдповiдно, х - кiлькiсть статистичних гшотез, я=%2 - кiлькiсть характеристик С1РКЗ. Оператор ф формуе множину Е, яка склада-еться iз значень iнформацiйного критерiю функцю-нально! ефективностi (1КФЕ) С1ЗКЗ. Оператор в використовуеться для оптимiзацii системи контрольних
вщхилень С1РКЗ. Множина М, замикаеться послщов-но оператором а1 :Е ^ М i оператором а2 :М ^ Z, який змiнюе реaлiзaцii ознак аномалш, юберзагроз або юбератак в процеа навчання С1РКЗ.
Таблиця 1
Фрагмент навчальноТ матрицi простору ознак аномалш та юбератак на КВ1С
Тип аномалй (або юбератаки) [1, 4, 5, 7, 9, 16, 17, 19, 21] Ознаки аномалш або юбератаки (Просйр ознак Оь) [2, 4, 5, 15, 17, 19, 22]
Вiдомi загрози (Класи аномалш або атак)
Вщмова в обслуговуванш елеменпв КВ1С 1 - не працюють штатш компоненти; 2 - сниження продуктивное^ системи; 3 - ¡н.
Викрадення ¡нформацй або компоненйв КВ1С 1 - об'ективш ознаки (наприклад, поява конф1денц1йно1 ¡нформацй у ЗМ1); 2 - субуективш ознаки; 3 - ¡н.
Привласнення особи-стост! у КВ1С 1 - об'ективш ознаки (наприклад, зафшсоваш спроби роботи шд чужим логшом); 2 - субуективш ознаки; 3 - ¡н.
Модифжащя ¡нформацй у КВ1С 1 - змша контенту; 2 - змша структури ¡нформацш-них масив1в; 3 - ¡н.
В1русна атака на КВ1С 1 - незвичайш прояви в робой ЕОМ; 2 - змши задано!' в передостанньо-му сеанс! роботи з ЕОМ структури фaйловоi системи; 3 - ¡н.
Несанкцюнований запуск ПЗ КВ1С 1 - незвичайш прояви в робот! ЕОМ; 2 - атипова поведшка ПЗ; 3 - ¡н.
Порушення доступност БД та ПЗ КВ1С 1 - не працюють штатш компоненти КВ1С (1М та ПЗ); 2 - ¡н.
Мережев! атаки 1 - незвичайний траф!к; 2 - аномалй мережевого трафжу; 3 - ¡н.
Тншь...
Невiдомi загрози (Класи аномалiй або атак) Невиявлен! Ознаки аномал!й або юбератаки
— бхГхО.хФхй-
М
В,
а,
Н
<Р
Е «-- ¿м\
л
В,
7
0 V
рИ ► ХЩ —* ш|21 -* ты
Рис. 3. Категорийна модель С1РКЗ для КВ1С
5. Алгоритм навчання адаптивно!' системи розшзнавання мберзагроз i3 використанням процедури нечкко!' кластеризацп ознак
Розглянемо процес формування апрюрно не-чiткоï класифiкованоï навчальноï матрицi з метою побудови виршальних правил в процесi навчання С1РКЗ. Припустимо, що вiдома апрiорно некласифь кована багатовимiрна навчальна матриця для С1РКЗ ||z(j)||,i = 1,N, j = 1,n, де N,n- вiдповiдно, кiлькiсть ознак розшзнавання аномалш або юберзагрози (кiбератаки) та випробувань. Постановка задача
1) в режимi кластерного аналiзу необхiдно пере-творити вхiдну некласифiковану навчальну матрицю ознак у нечiтку класифiковану;
2) в режимi навчання побудувати чике розбиття простору ознак розпiзнавання аномалш, юберзагроз або кiбератак на класи {r°|c = 1,C}, яю вiдповiдно характеризують функцiональнi стани керованого про-цесу кiберзахисту, шляхом оптимiзацiï координат вектора параметрiв функщонування системи 1Б для КВ1С
Ь = (C,s,S,rcl,rc2,0 ь^^
(2)
де C - юльюсть кластерiв або потужнiсть алфавггу класiв розпiзнавання аномалiй в робот КВ1С або кiберзагроз; s - показник нечикост для алгоритму; 8 - поля допусюв на ознаки розшзнавання анома-лiï, загрози або атаки; rc1, rc2 - двiйковi вектори, що визначають координати першого та другого фокусiв гiперелiпсоïдного контейнеру для класу аномалш, ю-берзагроз (юбератак) в бшарному просторi ознак Оь; ac - шввкь контейнеру класу в просторi ознак Оь.
Введемо такi обмеження
У режимi тестовоï перевiрки С1РКЗ приймаеться рiшення про належнiсть реалiзацiй еталонних образiв, що характеризують поточний функщональний стан iнформацiйноï безпеки, до ввдповвдного класу iз сфор-мованого на еташ навчання С1РКЗ алфавиу. Тобто, на цьому етапi _виконуеться дефазiфiкацiя нечiтких даних - {R01 c = 1,C} .
Iнiцiалiзацiя вхiдних некластеризованих даних про ознаки аномалш або юбератак подано y виглядi (векторной матрицi {z(j) ,i = 1,N,j = 1,n}.
На наступному етапi роботи алгоритму генерують-ся матрицi нечеткого розбиття:
V =
41 v12-v1n V21 V22...V2n
VC1 VC2...VCn
за умов
¡ei0,1}; I j1;,о <i vq< n,
j=1
де vcj - стушнь належностi j-го об'екта до кластеру - с.
Розрахунок центрiв кластерiв ознак аномалiй та кiбернападiв здiйснюеться за наступною формулою:
Zc = I(vcj-1))s ■ W1(v<1-1))s,
(5)
j=1
j=1
де 1 - лiчильник кiлькостi iтерацiй.
У результат роботи алгоритму мiнiмiзуеться щ-льова функцiя:
2<C<n/nmin;nc >nmin;s> 1;ac >dc;dc <N/2; a(rd1 Ф r) + a(rd2 Ф r) -dd > 0, Vr e {r : a(rc1 Ф r) + a(rc2 Ф r) = 2ac}; 8e[0,8n /2],
(3) де
де nmin - мiнiмальний обсяг навчальноï вибiрки для кожного класу ознак аномалш або юбератак (вибiрка обов'язково повинна бути репрезентативною); nc - юль-кiсть реалiзацiй в межах класу R0 ; dc - ввдстань до центра гiпе-релiпсоïдного контейнера в межах класу R[! ; a(rd1 Ф r), a(rd2 Ф r) - ввдповщно, кодовi вiдстанi ввд першого та другого фокуав контейнера сусiднього класу R0; r - вектор-реалiзацiя бiнарного простору ознак Оь ; dd - ввдстань до центра гiперелiпсоïдного контейнера в межах класу R° в просторi ознак Оь; a(rc1 Ф r), a(rc2 Ф r) -ввдповщно, кодовi вiдстанi вiд першого та другого фоку-сiв контейнера класу R[! ; 8n - нормоване поле допусюв.
В процеа навчання С1РКЗ визначаються координати вектора параметрiв терму (2) при обмеженнях (3). Це, у свою чергу, дае змогу забезпечити max значення усередненого за алфавиом клаав 1КФЕ розшзнавання аномалш, загроз або юбератак у КВ1С, вщповщно:
E* = (VC) Inia}xEc,
(4)
де Ec - значення 1КФЕ навчання С1РКЗ для реалiзацiï класу аномалш або юбератак R° ; {w} - множина кро-юв для навчаннi С1РКЗ.
J = IIv¡aK(c)(z(j),Zc),
c=1 j=1
I (vci-1))s -(z(j) - Zc)T ■ (z(j) - Zc) K(c) = ¡1_
I (vT)'
j=1
де K(c) - коварiацiя для кластеру - с; T - множина мо-ментв часу зняття iнформацiï.
У разi потреби, виконуеться переобчислення еле-ментiв матрицi нечiткого розбиття виконуеться за наступною формулою:
vj = 1/
aK(o(z(j),Zc) aK(o(z(j),Zw)
(6)
nepeBipKy моделi виконано для 5 клаав пошире-них юбератак на КВ1С - «ввдмова в обслуговуванш», «завантаження ворожого ПЗ», «несанкцiоноване вико-нання команд», «порушення прав доступу», «несанкщ-онований доступ до паролю».
При цьому юльюсть ознак розшзнавання варжва-лась в межах N = 9-15. Оптимальна юльюсть класте-рiв обиралась за max 1КФЕ навчання С1РКЗ, рис. 4. Як показав аналiз резyльтатiв, оптимальна кiлькiсть кластерiв дорiвнюe C = 3.
v
На рис. 5 наведена показана пстограма залежност значення max 1КФЕ для варiантiв словникiв ознак аномалiй та юбератак вiд кiлькостi кроюв алгоритму навчання С1РКЗ {w} , а на рис. 6 наведено залежшсть 1КФЕ вiд кiлькостi ознак яю використовуються для навчання С1РКЗ.
Аналiз рис. 5 та 6 показуе, що досить ефективним в С1РКЗ е використання алгоритму iз 5-10 ознаками навчання, тобто для цього випадку 1КФЕ досягае сво-го максимального значення, що свщчить про побудову
безпомилкових за навчальною матрицею виршальних правил. В режимi тестового навчання С1РКЗ достатня кiлькiсть кроюв для безпомилкового визначення клаав aномaлiй, кiберзaгроз або кiберaтaк для КВ1С склала w = 2500 - 3000.
При побудовi алгоритму розтзнавання додавали-ся предстaвницькi набори 6^ьшо! довжини, ефектив-нiсть алгоритму виявлялася такою ж. При додаванш представницьких нaборiв меншоi довжини ефектив-нiсть алгоритму знижувалася.
Рис. 4. Оптимальна ктьмсть кластерiв для max значення 1КФЕ в процесi навчання С1РКЗ
2000 2500 3000 3500
Kl.n.kli l h крОК]Е I
Рис. 5. Залежнiсть значення max 1КФЕ для варiантiв словникiв ознак аномалiй та юбератак вщ кiлькостi кромв алгоритму
навчання С1РКЗ
KLibKicTb ознак аномалш або Ki6ep ат аки
Рис. 6. Графiк залежностi 1КФЕ вiд кiлькостi ознак ям використовуються для навчання С1РКЗ
6. Обговорення результаив тестування модeлi та алгоритму навчання С1РКЗ
Розробленi модель та алгоритм навчання С1РКЗ не ильки становлять самостшний практичний ште-рес, але е прикладом створення адаптивних систем юберзахисту. Зокрема, у порiвняннi з результатами отриманими для моделей на основi кiнцевих авто-матiв [11, 12], випадкового вщбору [3, 4, 13, 14], ней-ронних мереж [8, 9] розроблеш модель та алгоритм, забезпечують штотно меншу кiлькiсть потрiбних ознак для класифжацп загроз, скорочуючи при цьому час навчання адаптивно! С1РКЗ. Також, на вщмшу вiд алгоритмiв якi використовуються для навчання для юнцевих автоматiв [11], та випадкового вщбо-ру [14], запропонований алгоритм здатен автоматично визначати розмiри навчально! та тестово! матриць ознак аномалш, кiберзагроз або кiбератак, не вимага-ючи участi експертiв.
Апробащя алгоритму здiйснювалась лише для вь домих класiв аномалiй та юбератак. Це е певним не-должом дослiдження. Для бiльш складних юбератак та аномалш, вочевидь, потрiбно зб^ьшення кiлькостi ознак, а також, кроюв алгоритму навчання адаптивно! С1РКЗ w > 3500, що у свою чергу, тдвищуе рiвень ви-мог до обчислювальних ресурсiв.
Перспективи подальших дослiджень полягають у тому, щоб удосконалити базу знань уразливостей, ано-малiй та юберзагроз, а також дослiдити запропоноваш модель та алгоритм на б^ьш широкому класi розтзна-вання кiбернападiв на КBIC.
6. Висновки
В результат виконаних дослiджень:
- розроблена категоршна модель, яка дозволяе на етат аналiзу С1РКЗ для конкретних КВ1С, встанов-лювати вiдношення мiж елементами адаптивних систем юберзахисту;
- розроблено алгоритм навчання С1РКЗ з можли-вiстю гiперелiпсоïдноï корекцп вирiшальних правил, що дозволило створити адаптивний мехашзм само-навчання системи розтзнавання аномалш, загроз та юбератак у КВ1С;
- встановлено, що запропонований алгоритм шфор-мацшно-екстремального навчання С1РКЗ е найбiльш ефективним для 3 кластерiв в завданнях розбиття простору ознак аномалш та юберзагроз. При цьому, в режимi тестового навчання С1РКЗ достатня юльюсть кроюв для безпомилкового визначення клаав аномалш, юберзагроз або юбератак склала w = 2500 - 3000.
Лиература
1. Jegede, A. J. Information Security Policy: Relevance, Creation and Enforce-ment [Text] / A. J. Jegede, G. I. O. Aimufua, H. O. Salami // International Journal of Soft Computing. - 2007. - Vol. 2, Issue 3. - p. 408-410.
2. Abidar, R. Intelligent and Pervasive Supervising Platform for Information System Security Based on Multi-Agent Systems [Text] / R. Abidar, K. Moummadi, F. Moutaouakkil, H. Medromi // international review on computers and software. - 2015. - Vol. 10, Issue 1. - p. 44-51. doi: 10.15866/irecos.v10i1.4699
3. Alcaraz, C. Critical Control System Protection in the 21st Century [Text] / C. Alcaraz, S. Zeadally // Computer. - 2013. - Vol. 46, Issue 10. - p. 74-83. doi: 10.1109/mc.2013.69
4. Hassani, A. Integrity-OrBAC: a new model to preserve Critical Infrastructures integrity [Text] / A. A. El Hassani, A. A. El Kalam, A. Bouhoula, R. Abassi, A. A. Ouahman // International Journal of Information Security. - 2015. -Vol. 14, Issue 4. - P. 367-385. doi: 10.1007/s10207-014-0254-9
5. 2015 Attacks Statistics [Electronic resource]. - Available at: http://www.hackmageddon.com/2016/01/11/2015-cyber-attacks-statistics/
6. Дудикевич, В. Б. Проблеми оцшки ефективност систем захисту [Текст] / В. Б. Дудикевич, I. А. Прокопишин, В. Ф. Чеку-piH // Вюник Нацюнального ушверситету «Льв!вська пол^ехшка». Сер.: Автоматика, вим!рювання та керування. -2012. - № 741. - С. 118-122.
7. Грищук, Р. В. Атаки на шформацш в шформацшно-комушкацшних системах [Текст] / Р. В. Грищук // Сучасна спещальна техшка - 2011. - № 1 (24). - С. 61-66.
8. Корченко, А. А. Система формирования нечетких эталонов сетевых параметров [Текст] / А. А. Корченко // Захист шфор-мацй. - 2013. - Т. 15, № 3. - С. 240-246.
9. Lahno, V. Ensuring of information processes' reliability and security in critical application data processing systems [Text] / V. Lah-no // MEST Journal. - Belgrade. - 2014. -Vol. 2, Issue 1. - P. 71-79. doi: 10.12709/mest.02.02.01.07
10. Manap, N. A. Legal Issues of Data Protection in Cloud Computing [Text] / N. Manap, S.Basir, S. Hussein, P. Tehrani, A. Rouha-ni // International Journal of Soft Computing. - 2013. - Vol. 8, Issue 5. - P. 371-376.
11. George, J. A. Improving Authentication and Authorization for Identity Based Cloud Environment Using OAUTH with Fuzzy Based Blowfish Algorithm [Text] / J. A. George, M. Hemalatha // international review on computers and software. - 2015. -Vol. 10, Issue 7. - p. 783-788. doi: 10.15866/irecos.v10i7.7062
12. Li, H.-H. Study of Network Access Control System Featuring Collaboratively Interacting Network Security Components [Text] / H.-H. Li, C.-L. Wu // international review on computers and software. - 2013. - Vol. 8, Issue 2. - P. 527-532.
13. Geuna K.Applying Need Pull and Technology Push Theory to Organizational Information Security Management [Text] / K. Geuna, K. Sanghyun // International Business Management. - 2015. - Vol. 9. Issue 4. - p. 524-531.
14. Geetha, R. Secure Communication Against Framing Attack in Wireless Sensor Network [Text] / R. Geetha, E. Kannan // international review on computers and software. - 2015. - Vol. 10, Issue 4. - p. 393-398. doi: 10.15866/irecos.v10i4.5520
15. Shamshirband, S. An appraisal and design of a multiagent system based cooperative wireless intrusion detection computational intelligence technique [Text] / S. Shamshirband, N. B. Anuar, M. L. Kiah, A. Patel, // Engineering Applications of Artificial Intelligence. - 2013. - Vol. 26, Issue 9. - p. 2105-2127. doi: 10.1016/j.engappai.2013.04.010
16. Мiрошник, М. А. Розробка методiв оцшки ефективност захисту шформацп в розподшених комп'ютерних системах [Текст] / M. А. Мiрошник // Iнформацiйно-керуючi системи на зашзничному транспортi: науково-технiчний журнал. -2015. - № 4 (113). - С. 39-43.
17. Keunsoo, L. DDoS attack detection method using cluster analysis [Text] / L. Keunsoo, J. Kim, K. Hoon Kwon, Y. Han, S. Kim // Expert Systems with Applications. - 2008. - Vol. 4, Issue 3. - p. 1659-1665. doi: 10.1016/j.eswa.2007.01.040
18. Dilek, S. Applications of artificial intelligence techniques to combating cyber crimes: A review [Text] / S. Dilek, H. Qakir, M. Aydin // International Journal of Artificial Intelligence & Applications. - 2015. - Vol. 6, Issue 1. - P. 21-39. doi: 10.5121/ijaia.2015.6102
19. Patel, A. M. An intrusion detection and prevention system in cloud computing: A systematic review [Text] / A. Patel, M. Taghavi, K. Bakhtiyari, J. Celestino Junior // Journal of Network and Computer Applications. - 2013. - Vol. 36, Issue 1. - P. 25-41. doi: 10.1016/j.jnca.2012.08.007
20. Barman, D. K. Design of Intrusion Detection System Based On Artificial Neural Network and Application of Rough Set [Text] / D. K. Barman, G. Khataniar // International Journal of Computer Science and Communication Networks. - 2012. -Vol. 2, Issue 4. - P. 548-552.
21. Raiyn, J. A survey of Cyber Attack Detection Strategies [Text] / J. Raiyn // International Journal of Security and Its Applications. - 2014. - Vol. 8, Issue 1 -P. 247-256. doi: 10.14257/ijsia.2014.8.1.23
22. Kotenko, I. Integrated repository of security information for network security evaluation [Text] / I. Kotenko, A. Fedorchenko, A. Chechulin // Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications (JoWUA). - 2015. -Vol. 6, Issue 2. - P. 41-57.
-□ □-
Проаналiзовано фактори невизначеностi у проце-Ы прийняття стратегiчних ршень i проведено порiв-няльний аналiз традицшних статистичних моделей i методiв прогнозування. Сформульовано основт завдання прогностичного забезпечення та обгрунтова-но необхiднiсть розробки моделi прогностичного забезпечення тдтримки прийняття стратегiчних ршень для потреб оргатзаци. Запропоновано чотирирiвневу модель системи iз принципами и методичного насичен-ня, а також тструменти и налаштування
Ключовi слова: прогностичне забезпечення, тд-тримка прийняття управлтських ршень, прогнозування, комплексування прогнозних оцток
□-□
Проанализированы факторы неопределённости в процессе принятия стратегических решений и проведён сравнительный анализ традиционных статистических моделей и методов прогнозирования. Сформулированы основные задачи прогностического обеспечения и обоснована необходимость разработки модели прогностического обеспечения поддержки принятия стратегических решений для нужд организации. Предложена четырёхуровневая модель системы с принципами её методического насыщения, а также инструменты её настройки
Ключевые слова: прогностическое обеспечение, поддержка принятия управленческих решений, прогнозирование, комплексирование прогнозных оценок -□ □-
UDC 658.5:004.94
|DOI: 10.15587/1729-4061.2016.66306|
FORMATION OF PROGNOSTIC SOFTWARE SUPPORT FOR STRATEGIC DECISIONMAKING IN AN ORGANIZATION
Yu. Romanenkov
PhD, Associate Professor* E-mail: KhAI.management@ukr.net V. Vartanian
Doctor of Technical Sciences, Professor* E-mail: vartanyan_vm@ukr.net *Department of management M. E. Zhukovsky National Aerospace University «Kharkiv Aviation Institute» Chkalova str., 17, Kharkiv, Ukraine, 61070
1. Introduction increase of various types of data for monitoring organizational
and technical as well as socioeconomic systems that become The advanced development of modern information tech- accumulated in specialized databases, including time series. To nologies and communications systems facilitates a continuous various extents, these data reflect the dynamics of multifactor
©