CC BY
15
www.volsu.ru
DOI: https://doi.Org/10.15688/NBIT.jvolsu.2018.1.7
УДК 004.056.5 ББК 51.73
РАЗРАБОТКА ФОРМАЛЬНОЙ МОДЕЛИ ИССЛЕДОВАНИЯ ПРОГРАММ ИНТЕЛЛЕКТУАЛЬНОГО АНАЛИЗА СОБЫТИЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Арина Валерьевна Никишова
Кандидат технических наук, доцент кафедры информационной безопасности, Волгоградский государственный университет arinanv@mail.ru, infsec@volsu.ru
просп. Университетский, 100, 400062 г. Волгоград, Российская Федерация
Светлана Владимировна Михальченко
Стуцент,
Волгоградский государственный университет infsec@volsu.ru
просп. Университетский, 100, 400062 г. Волгоград, Российская Федерация
Аннотация. Рассмотрена проблема обеспечения информационной безопасности с точки зрения появления новых атак. Проанализированы программы для интеллектуального анализа событий информационной системы и сформулированы критерии для их оценки. Также разработана формальная модель исследования программ интеллектуального анализа событий информационной системы.
Ключевые слова: информационная безопасность, интеллектуальный анализ, STATISTICA Automated Neural Networks, Deductor Studio, Neural network toolbox, MemBrain Neural Network, NeuroSolutions.
оо По статистике, количество образцов но® вых атак, совершаемых в отношении инфор-рд" мационных систем, растет (см. рисунок). О Неспособность обнаруживать новые образ-^ цы атак - недостаток современных систем об-5 наружения атак. Чтобы устранить данный недо-| статок внедряются интеллектуальные подходы ^ к анализу данных для обнаружения атак [1]. р^ Существует множество программ интеллектуального анализа данных, поэтому актуаль-§ ным является выбор наилучшей программы. | В данной статье будет рассмотрено 5 программ, работающих с интеллектуальным © анализом данных, а именно:
1. STATISTICA Automated Neural Networks (SANN) - программный пакет для создания и обучения нейронных сетей, который решает большой спектр задач [2].
2. Deductor Studio - это аналитическая платформа, которая позволяет на базе единой архитектуры пройти все этапы построения аналитической системы: от консолидации данных до построения моделей и визуализации полученных результатов [3].
3. Neural network toolbox (NNTool) - пакет расширения MATLAB, содержащий средства для проектирования, моделирования, разработки и визуализации нейронных сетей [2].
4. MemBrain Neural Network - представляет собой мощный графический редактор и симулятор нейронных сетей, поддерживающий нейронные сети различных архитектур любого размера.
5. NeuroSolutions - сверхсовременный программный пакет; совмещает модульный, с иконным представлением, интерфейс разработки нейронной сети, с реализацией усовершенствованных процедур обучения.
Чтобы оценить качество программ, предложены критерии для их оценки:
К. Скорость обучения нейронной сети -один из наиболее важных параметров, оценивающий эффективность программы. Он определяет величину изменения весовых коэффициентов связей между нейронами на каждом шаге обучения. Чтобы обеспечить наилучшую сходимость, шаг обучения нейронной сети должен стремиться к 0. Если выбирать шаг обучения очень маленький, то и время обучения возрастет. И наоборот: большой шаг займет хоть и небольшое количество времени, но нейронная сеть не будет сходиться. Поэтому некоторые разработчики внедряют в программу динамическую скорость обучения. Шаг зависит от определенных процессов и определяется системой.
К2. Понятный графический интерфейс -нужно обеспечить удобный интерфейс пользо-
вателю, чтобы он смог легко определить, какие данные ему необходимы и куда их необходимо ввести. При этом интерфейс не должен содержать большое количество информации, так как это делает его более сложным для восприятия.
К3. Наглядность информации - программа должна по окончании обучения и моделирования нейронной сети предлагать построить графики, диаграммы и другие варианты представления информации. Этот критерий тесно связан со вторым критерием, так как для пользователя важно представление конечной информации. От этого будет зависеть правильное восприятие информации и интерпретация результатов работы нейронной сети.
К4. Реализация основных видов нейронных сетей и алгоритмов обучения - в процессе создания программы разработчик должен добавить возможность пользователю выбирать, каким видом нейронной сети он будет пользоваться и какой алгоритм обучения будет использован. Важной особенностью является реализация как можно большего числа стандартных видов нейронных сетей и алгоритмов для последующего обучения.
К5. Создание своих структур нейронных сетей - должна предоставляться возможность создания своих нейронных сетей, позволяющая указывать такие параметры, как: тип сети,
40.CKM.&W 35.000,000 30.000,000 25.000,000 20.000,000 15,000,000 10.000,000 5.000,000
SCJICC МСМЕЯ иь-.. ¿D17.
Количество новых типов атак за 2015-2016 гг.
количество и размер скрытых слоев, алгоритм обучения нейронной сети и т.д.
К6. Использование собственных алгоритмов - программа должна обладать возможностью подключения своих собственных алгоритмов обучения в виде программных модулей. Это функция делает программу более гибкой для разработчика.
К7. Автоматическое формирование нейронной сети - такой критерий будет означать, что программа проводит анализ и подбирает наилучшие параметры автоматически, что облегчает использование такой программы.
К8. Процедура импорта результатов -импорт полученных результатов должен предусматривать возможность сохранения результатов в различные файлы и приложения, что делает программу более удобной.
К9. Генератор исходного кода - генератор кода может сгенерировать исходный системный программный код нейросетевых моделей на различных языках. Эта функция позволяет разработчику после создания и обучения сети генерировать код и встраивать его во внешние приложения.
К10. Взаимосвязь (корреляция) событий -показывает, может ли программа строить и обучать нейронные сети, которые учитывают то, как события связаны между собой. Если в программе предусмотрена такая функция, то это позволяет обнаруживать атаки, которые состоят из нескольких шагов.
В таблице приведены значения критериев для выделенных программ.
Так как ни одна из программ не обладает наилучшим набором значений критериев, необходимо разработать подход к оценке программы интеллектуального анализа событий
информационной системы для выбора из них наиболее рациональной.
Для этого нужно разработать математическую модель, реализующую эту оценку. Сформируем вектор критериев
— / Ь " I/' I/' I/' I/' I/' I/' I/' I/' I/' \
- (Кр к2 к3 к4 к5 к6 К7, К8, К9, К10),
где К1 - скорость обучения - принимает следующие значения:
0, низкая К1 =<¡0.5, средняя
1, высокая
К2 - понятный графический интерфейс - принимает следующие значения:
К =
0,нет
1, да
К3 - наглядность информации - принимает следу-
ющие значения:
К =
0, низкая 1
,средняя
1, высокая
К4 - реализация основных видов нейронных сетей и алгоритмов обучения - принимает значения:
0,низкая 1
К =
средняя
1, высокая
К5 - создание своих структур нейронных сетей -принимает значения:
К =
0, нет
1, да
Качественные значения критериев оценки программ интеллектуального анализа данных
2
2
Нейросетевые программы Критерии оценки
К1 К2 Кз К4 К5 К6 К7 К8 К9 К10
STATISTICA Automated Neural Networks Высокая Да Средняя Высокая Да Да Да Средняя Да Да
Deductor Studio Высокая Да Высокая Средняя Нет Нет Нет Высокая Нет Да
Neural network toolbox Низкая Нет Низкая Средняя Нет Нет Нет Низкая Нет Да
MemBrain Neural Network Высокая Нет Низкая Низкая Да Да Да Средняя Да Нет
NeuroSolutions Средняя Нет Средняя Средняя Да Да Нет Средняя Да Нет
К6 - использование собственных алгоритмов - принимает значения:
Кб =
0, нет
1, да
К
7 автоматическое формирование нейронной сети - принимает значения:
К7 =
0,нет
1, да
Предложенная формальная модель поможет выбрать наилучшую программу интеллектуального анализа событий. Если требования к анализируемым программам изменятся, то изменив значения в наилучшем векторе К*, можно также прийти к верному решению. Таким образом, разработанная формальная модель оценки является универсальной и эффективной.
К8 - процедура импорта результатов - принимает
значения:
К =
0, низкая 1
,средняя
1, высокая
К9 - генератор исходного кода - принимает значения:
К =
0, нет
1, да
К10 - взаимосвязь (корреляция) событий - прини-
40
мает значения:
К
0,нет
1, да
Существует наилучший вектор К*, в котором все значения критериев соответствуют максимальным значениям. Для всех критериев это значение 1.
К* = (1,1,1,1,1,1,1,1,1,1).
СПИСОК ЛИТЕРА ТУРЫ
1. Варлатая, С. К. Анализ угроз нарушения информационной безопасности информационных систем, существующие модели и методы противодействия компьютерным атакам / С. К. Варлатая, А. В. Кирьяненко // Актуальные проблемы технических наук в России и за рубежом : сб. науч. тр. по итогам Междунар. науч.-практ. конф., г. Новосибирск, 10 февр. 2015 г. Вып. II. - Новосибирск : Инновационный центр развития образования и науки, 2015. - С. 9-13.
2. Никулин, А. Н. Аналитическая платформа «Дедуктор» - применение в информационных системах экономики: методические указания / А. Н. Никулин, И. В. Чернышев. - Ульяновск : Изд-во УГУ, 2012. - 37 с.
3. Туровский, А. Я. Сравнительный анализ программных пакетов для работы с искусственными нейронными сетями / Я. А. Туровский, С. Д. Кургалин, А. А. Адаменко // Вестник Воронежского государственного университета. Серия: Системный анализ и информационные технологии. - 2016. - № 1. - С. 161-168.
2
Для оценки качества программ вводится скалярная величина, равная Эвклидову расстоянию между наилучшим вектором и вектором критериев, полученным для 7-й оцениваемой программы:
К7 — IV 7 V 7 V 7 V 7 V 7 V 7 V 7 V 7 V 7 V 7 I - ^ ^ ^ ^ К5 , ^ К7 , К8, К9 , Кю/
Эвклидово расстояние для 7-й программы рассчитывается по формуле (1).
р7 - 1(к* -К))2. (1)
Программу, для которой расстояние до наилучшего вектора окажется наименьшим, можно считать наиболее рациональной программой для интеллектуального анализа данных.
REFERENCES
1. Varlataya S.K., Kiryanenko A.V. Analiz ugroz narusheniya informatsionnoy bezopasnosti informatsionnykh sistem, sushchestvuyushchie modeli i metody protivodeystviya kompyuternym atakam [Analysis of Threats to Information Security Violations, Existing Models and Methods of Countering Computer Attacks]. Aktualnye problemy tekhnicheskikh nauk v Rossii i za rubezhom: Sbornik nauchnykh trudov po itogam mezhdunarodnoy nauchno-prakticheskoy konferentsii [Current Problems of Technical Sciences in Russia and Abroad. Proceedings of the International Scientific and Practical Conference]. Novosibirsk, Innovation Centre for Education and Science, 2015, iss. 2, pp. 9-13.
2. Nikulin A.N., Chernyshev I.V. Analiticheskaya platforma «Deduktor» - primenenie v informatsionnykh sistemakh ekonomiki: metodicheskie ukazaniya
[Analytical Platform Deductor: Application in Economic Information Systems: Guidelines]. Ulyanovsk, Izd-vo UGU, 2012. 37 p.
3. Turovskiy A.Ya., Kurgalin S.D., Adamenko A.A. Sravnitelnyy analiz programmnykh
paketov dlya raboty s iskusstvennymi neyronnymi setyami [Comparative Analysis of Software Packages for Work with Artificial Neural Networks]. Vestnik Voronezhskogo gosudarstvennogo universiteta. Seriya: Sistemnyy analiz i informatsionnye tekhnologii, 2016, no. 1, pp. 161-168.
THE DEVELOPMENT OF FORMAL MODEL FOR RESEARCH OF INFORMATION SYSTEM'S DATA MINING PROGRAMS
Arina Valeryevna Nikishova
Candidate of Sciences (Engineering), Associate Professor, Department of Information Security, Volgograd State University arinanv@mail.ru, infsec@volsu.ru
Prosp. Universitetsky, 100, 400062 Volgograd, Russian Federation
Svetlana Vladimirovna Mikhalchenko
Student,
Volgograd State University infsec@volsu.ru
Prosp. Universitetsky, 100, 400062 Volgograd, Russian Federation
Abstract. According to statistics, the number of samples of new attacks against information systems is increasing due to inability to detect new patterns and the lack of modern attack detection systems. To resolve this issue, we implement intelligent data analysis to detect attacks. There are many data mining programs, so it is important to choose the best program. The authors investigate the problem of information security from the viewpoint of new attacks, the programs for mining of information system's events. The criteria for their evaluation have been formulated. Besides, the formal model for the study of programs for mining of information system's events has been developed. The proposed formal model will help to choose the best program for event mining. If the requirements for the analyzed programs change, then changing the values in the best vector can also become a right solution. Thus, the developed formal evaluation model is universal and effective.
Key words: information security, mining, STATISTICA Automated Neural Networks, Deductor Studio, Neural network toolbox, MemBrain Neural Network, Neuro Solutions.
