Використання методів підтримки прийняття рішень при пошуку джерел атак на комп’ютерні мережі в умовах невизначеності Текст научной статьи по специальности «Компьютерные и информационные науки»

https://orcid.org/0000-0003-2334-2275 https://orcid.org/0000-0002-4953-4172 https://orcid.org/0000-0003-2334-2276 https://orcid.org/0000-0003-0689-8846 https://orcid.org/0000-0002-7464-1412

УДК 004.056.5

В.В. ЛИТВИНОВ*, Н. СТОЯНОВ**, I.e. СК1ТЕР***, О.В. ТРУНОВА*,

А.Г. ГРЕБЕННИК***

ВИКОРИСТАННЯ МЕТОД1В П1ДТРИМКИ ПРИЙНЯТТЯ Р1ШЕНЬ ПРИ ПОШУКУ

ДЖЕРЕЛ АТАК НА КОМП'ЮТЕРН1 МЕРЕЖ1 В УМОВАХ НЕВИЗНАЧЕНОСТ1

Чернiгiвський нацiональний технологiчний ушверситет, м. 4epHiriB, Украша Болгарський шститут оборони iMeHi Цветана Лазарова, м. Софт, Болгарiя 1нститут проблем математичних машин i систем НАН Украши, м. Кшв, Украша

Анотаця. Запропонован теоретичний частково, методологгчний тдходи до створення спеща-льних систем тдтримки прийняття р1шень (СППР) для пошуку нашмов^рнших джерел атак. Си-стематизовам, узагальнен 7 розвинен уявлення про методи тдтримки прийняття р1шень при пошуку джерел атак на комп'ютерн мереж1. Запропонована схема структури процесу пошуку джерел атак на баз1 методологи тдтримки прийняття р1шень, основна мета яко! максимально скоротити число висунутих вар1ант1в р1шень, щоб на наступних етапах детальней оцтЦ тдляга-ла обмежена ктьюсть альтернатив. Коротко охарактеризований кожен етап окремо, а саме: виявлення проблемно! ситуацП; формування та узгодження цтьово! ¡ерархП; формування альтернатив (вар1ант1в р1шення); анал1з альтернатив; формування критерпв в1дбору; оптимальний ви-б1р; р1шення проблемно! ситуацП Зокрема, розглянута задача багатокритер1ального вибору та !! системну модель, узагальнен методи розв'язання. Запропоновано ршення проблемно! ситуацП з залученням методу визначення неч1тких суджень ОПР, що поеднуе класичш тдходи при неч1ткому автоматичному управлтш на основ7 експертних суджень та ¡дею розбиття простору критерпв на област1 в комбтованому метод7 тдтримки прийняття р1шень. Запропоновано структуру СППР, за допомогою яко! зд1йснюеться виб1р альтернативи (р1шення), тд яким розум1еться визначення найбыьш ¡мов1рного джерела атак, що дозволяе, використовуючи тформацт з сайт1в стакер1в, оцшити загальний р1вень небезпеки юберпростору для дано! мереж1, який визначаеться як ктьюсть нев1домих атак в одиницю часу; зд1йснити налаштування адаптивно! СЗА; розробити нове покол1ння мережевих екрашв, як базуються не тыьки на протоколах, а й на адресшй тфор-мацп з мережевих пакет1в.

Ключовi слова: СППР, джерела атак, комп 'ютерн мереж1.

Аннотация. Предложены теоретический и, частично, методологический подходы к созданию специальных систем поддержки принятия решений (СППР) для поиска наиболее вероятных источников атак. Систематизированы, обобщены и развиты представления о методах поддержки принятия решений при поиске источников атак на компьютерные сети. Предложена схема структуры процесса поиска источников атак на базе методологии поддержки принятия решений, основная цель которой максимально сократить число выдвинутых вариантов решений, чтобы на следующих этапах детальной оценке подлежало ограниченное количество альтернатив. Коротко охарактеризован каждый этап отдельно, а именно: выявление проблемной ситуации; формирование и согласование целевой иерархии; формирование альтернатив (вариантов решения); анализ альтернатив; формирование критериев отбора; оптимальный выбор; решение проблемной ситуации. В частности, рассматриваются задача многокритериального выбора и системная модель, обобщенные методы решения. Предложено решение проблемной ситуации с привлечением метода определения нечетких суждений ЛПР, сочетающее классические подходы при нечетком автоматическом управлении на основе экспертных суждений и идею разбиения пространства критериев на области, в комбинированном методе поддержки принятия решений. Предложена структура СППР, с помощью которой осуществляется выбор альтернативы (решения), под которым понимается определение наиболее вероятного источника атак, что позволяет, используя информацию с сайтов атакеров, оценить общий уровень опасности киберпространства для данной сети, который определяется как количество неизвестных атак в единицу времени; осуществить

© Литвинов В.В., Стоянов Н., Сштер 1.С., Трунова О.В., Гребенник А.Г., 2019 ISSN 1028-9763. Математичш машини i системи, 2019, № 4

настройку адаптивной СЗА; разработать новое поколение сетевых экранов, которые базируются не только на протоколах, но и на адресной информации из сетевых пакетов. Ключевые слова: СППР, источники атак, компьютерные сети.

Abstract. It was proposed theoretical and, in part, methodological approach to the creation of special decision support systems (DSS) to search the most likely sources of attacks. Systematic, generalized and developed ideas about methods decision support searching the sources of attacks on computer networks. It was proposed structure scheme of the process of finding sources of attacks based on decision-making methodology, the main goal of which is to minimize the number of options put forward so that at the next stages a limited number of alternatives should be evaluated in detail. Each stage was briefly characterized separately, namely: identifying a problem situation, formation and coordination of the target hierarchy, formation of alternatives (solutions), analysis of alternatives, and formation of selection criteria, optimal choice, and solution of a problem situation. In particular, the problem of multi-criteria choice and its system model, generalized methods of solution are considered. The proposed solution to the problem situation involving the method of determining fuzzy judgments DM, which combining classical approaches with fuzzy automatic control based on expert judgments and the idea of splitting the criterion space into domains, the combined method of decision support. It was proposed structure of DSP, with the help of which the choice of alternatives (solutions), which is the definition of the most likely source of attacks, allows to use general information about the threat of cyberspace for a given network, which is defined as the number of unknown attacks per unit of time, set up adaptive SDA. It also allows developing a new generation of firewalls that are based not only on protocols, but on address information from network packets as well.

Keywords: DSS, source of the attack, computer networks.

DOI: 10.34121/1028-9763-2019-4-38-51

1. Вступ

Ефектившсть залучення шформацп глобально! мережi для виявлення нестандартно! пове-дшки i комп'ютерних атак у мережi залежить вщ двох чинниюв:

- ступеня налаштованосп СЗА на протидш найбшьш iмовiрним вторгненням, включаючи i загрози невщомого типу;

- можливосп вщшукання найбшьш iмовiрних джерел атак.

Якщо перший чинник вимагае високого ступеня адаптивносп СЗА до множини рiз-новидiв вторгнень, що, як правило, досягаеться використанням методiв штучного штелек-ту, яю мають мехашзми навчання, то шформащя про джерело загрози до певно! мiри до-зволяе ощнити ризики проведення атак рiзних видiв вщ груп найбшьш iмовiрних атакерiв для комп'ютерних мереж.

Хоча шформащя про джерело часто вже присутня в пакетах протоколiв обмшу, проте необхщно пам'ятати, що атака передбачае три складових:

- розвщку;

- саму атаку;

- приховування наслщюв.

Остання складова атаки ютотно знижуе ступшь достовiрностi шформацп пакета про джерело. Крiм того, атаки можуть вестися не безпосередньо з комп'ютера атакера, а через зомбоваш комп'ютери.

Разом з тим, наявшсть шформацп про джерело атаки надае можливють оргашзацп активного захисту мереж1, що дозволяе заздалепдь адаптуватися СЗА до ймовiрних рiзно-видiв атак i у принцип здшснювати цшеспрямований вплив на атакерiв.

Тим самим, другий чинник також набувае важливого значення для захисту мереж.

2. Постановка завдання

Актуальшсть дано! роботи обумовлена недостатшм освггленням у лiтературi принцитв пошуку джерел атак на базi методологи тдтримки прийняття ршень. У вщомих публша-

щях [1-5, 13, 14] в основному висв^люються питання, пов'язаш з побудовою вузькоспець алiзованих експертних систем щодо забезпечення безпеки комп'ютерних мереж. Однак, на даний момент актуальною е побудова бшьш унiверсальних систем тдтримки прийняття рiшень, здатних аналiзувати i охоплювати широке коло питань аналiзу функцiонування мереж.

Мета даног роботи - запропонувати теоретичний i, частково, методолопчний тд-хiд до створення спещальних систем пiдтримки прийняття рiшень (СППР) для пошуку найбiльш iмовiрних джерел атак.

Глобальна мережа, в кiберпросторi яко! можуть вiдбуватися «бойовi ди», може роз-глядатися як складна соцiоекономiчна система (СЕС) [6, 12], в якш здiйснення атаки на комп'ютерну мережу трактуеться як виникнення проблемно! ситуацп, а процес пошуку можливих джерел атак як процес розробки найкращого варiанта вирiшення проблемно! ситуацп. Останнш можна розглядати як процес прийняття управлшського рiшення при ви-рiшеннi слабкоструктурованих проблем.

Як правило, ршення доводиться приймати в умовах шформацшно! невизначеностi та багатокритерiальностi.

Це складнi задачi, якi потребують проведення !х дослiдження на рiзних рiвнях абстрактного опису: лшгвютичного, логiко-математичного, iнформацiйного, евристичного.

Бiльш того, пошук джерел атак — це процес колективно! роботи висококвалiфiкова-них спещалютив.

Основними етапами абстрактного рiвня опису складних задач прийняття ршень можна вважати:

- формулювання основно! проблемно! ситуацп, яка потребуе вирiшення у виглядi задачi прийняття рiшень;

- складання морфологи проблемно! ситуацп та вщповщно! задачь Пiд морфологiею розумiють перелш пiдпроблем (пiдзадач), необхiдних для виршення основно! проблемно! ситуацп;

- опис основних параметрiв: цiлей, обмежень, вхщних i вихiдних параметрiв, якi характеризують як виконання пiдзадач, так i задачу в цiлому;

- вибiр критери'в, якi характеризують рiзнi властивосп цiлей;

- побудову моделей для задач прийняття ршень, критери'в, обмежень тощо;

- формування принципу вибору ефективного ршення пiдзадач;

- визначення принципу узгодження ршень пiдзадач для виршення основно! задачi.

3. Виклад основного матер1алу

Структуризацiя процесу пошуку джерел атак на базi методологи пiдтримки прийняття рi-шень представлена на рис. 1.

Основна мета дано! схеми - це максимально скоротити число висунутих варiантiв ршень, щоб на наступних етапах детальнш оцiнцi пiдлягала обмежена кiлькiсть альтернатив. Коротко охарактеризуемо кожен етап процесу пошуку окремо.

Виявлення проблемног ситуацИ

На цьому етат завдання виявлення проблемно! ситуацп вщповщають завданням виявлення атак або завданням виявлення нестандартно! поведшки мереж1, яю виршуються засо-бами СЗА.

Оскшьки до СЗА в комплексi оперативного управлшня висуваються вимоги до часу обчислень вхщно! шформацп, то для виршення завдання управлiння в умовах неповноти, суперечливосп та невизначеностi даних про стан шформацшного середовища пропонуемо використовувати мехашзм нечiткого логiчного висновку. 1нформащею, яка надходить на вхщ системи нечiткого логiчного висновку, е вхщш змiннi - число ознак аномальних по-

дш. Ц змiннi вiдповiдають реальним процесам у мережа Iнформацiя, яка формуеться на виходi системи нечiткого лопчного висновку, вiдповiдае вихiднiй змiннiй, яка е ймовiршс-тю того, що сукупнiсть аномальних подiй у мережi е атакою (ймовiрнiсть атаки).

Виявлення г ситу 1роблемно' ацн

Р1шення проблемно'' ситуацн

Формування та узгодження цшьово' 'ерархп

Формування альтернатив (вар1анпв р1шення)

Ц1 Пвдцшь. .. ль Пвдцшь

1

Г Криг гТ" Пщкритерш. герн .П1дкритерш

I

Оптимальний виб1р !

Формування критерп'в вщбору

Альтернативи

Наслщки прийняття альтернатив

Анал1з альтернатив

Рисунок 1 - Структура процесу пошуку джерел атак на 6аз1 методологи шдтримки

прийняття ршень

Формування та узгодження цгльовог ¡ерархи

Цшь у теорп прийняття ршень визначаеться досить рiзними способами. Аналiзуючи рiзнi джерела, наведемо деякi визначення цш [10]:

- цiль - це результат, на досягнення якого направлеш вс зусилля;

- цшь визначае критерп оцiнки ефективностi ршень;

- цiль - це бажаний стан або результат дiяльностi системи.

У нашому випадку загальною метою може служити виявлення ймовiрного джерела атак. Однак можна висунути i приватш пiдцiлi. Наприклад, знаходження джерела в сере-динi певно'' хакерсько'' групи або знаходження джерела в середиш певно'' корпоративно'' структури, або знаходження джерела серед певно'' державно'' оргашзацп тощо. Для того, щоб сформулювати мету, нео6хiдно знати характеристики об'екта атаки, його мюце на ринку, його потенцшних конкурент, структуру державних органiв потенцшно'' атакуючо'' сторони, тощо. Потенцiйно ця шформащя е у гло6альнiй мережi. Отже, основним завдан-ням даного етапу е шформацшний пошук, параметри якого визначаються в основному пь дцшями. Однак це вимагае чималого часу i зусиль для систематизацп шформацп.

Формування альтернатив (вар1ант1вршення)

Це найбшьш невизначений етап у данш схемь Його призначення - формування множини потенцшних джерел атак.

З одного боку, формування ще! множини може йти за рахунок обмшу шформащею про атаки з державними центрами безпеки, спецiалiзованими компашями, якi займаються проблемами шформацшнох безпеки, з другого боку, шляхом аналiзу трафiка у свош корпо-ративнiй мережi, з третього - шляхом шформацшного пошуку в соцiальних мережах, кор-поративних сайтах.

Найважчою формою пошуку джерела е контент-аналiз потокiв, якi виходять iз по-тенцiйних джерел або приймаються корпоративною мережею з задiянням завдань класифь каци контенту.

Анал1з альтернатив

На даному етат, шляхом задiяння шформацп з сайтiв потенцшних джерел атак, форумiв i сощальних мереж, визначаються наслiдки вiд прийняття -пех чи шшо!' альтернативи. Якщо прийнята альтернатива дiйсно визначае правильне джерело втручання, то його вплив на корпоративну мережу може бути швельовано. В шшому випадку втрати вщ неправильного визначення обумовлюються видом атаки. Таким чином, можна визначити ризик вщ кожно'1' альтернативи:

^=0-р,)*с„

де р - iмовiрнiсть правильного визначення джерела;

С - втрати вiд неправильного визначення джерела для / -1' альтернативи.

Ризик е не единою характеристикою, яка описуе яюсть альтернативи. Найчаспше альтернатива Д оиисуеться вектором характеристик-наслщюв Х1. = (ха, хп, ..., хи1} [ вщ-повiдних функцш 1'х розрахунку /, що дозволяють оцiнити наслiдки альтернативи з рiз-

них сторiн. Iнодi щ характеристики-наслiдки розглядаються як критерп, на основi яких можна здiйснити вибiр найкращох альтернативи, яка в нашому випадку розглядаеться як найбiльш правдоподiбне джерело атак.

Формування критерпв в1дбору

Критерш - це математична модель, яка вщображае суть, мотив, стимул, бажання, вщчуття та iншi змшш (простi та узагальненi) стану об'екта.

Прииустимо, що вщом1 допустима множина альтернативних р1шень А 1 довшьна непорожня множина К = {К1,К2, ..., К т {, елементи яко'х ми будемо називати критер1ями,

за якими можна отримати ощнку будь-яко'х альтернативи а еА . Ид критер1ем можна ро-зумiти функцiю, яка вимiрюе цiннiсть або якiсть деяких об'ектiв.

Виходячи з вищесказаного, ощнка досягнення цiлi може бути представлена у ви-глядi трирiвневого критерiального дерева.

Глобальний критерiй - це головний критерш, вершина критерiального дерева, який пщпорядковуе собi всi iншi критерп. Глобальний критерiй - це фактор, який дозволяе визначити устх виршення проблеми.

Критерп-показники - це величини, яю можуть вимiрюватись якiсно або кiлькiсно. Критерп-шдикатори е бшьш конкретними оцiнками, наприклад, розмiр, якiсть, об'ем, кшь-кiсть тощо. Критерп-показники i пщкритерп-шдикатори можуть самi служити глобальним критерiем.

Ступiнь або рiвень вимiрностi критерiю залежить, у значнш мiрi, вiд вимiрностi щ-лi, яку вiн описуе, або вимiрностi результату, який очiкуеться. 1снуе кiлька рiзновидiв шкал вимiрностi:

- нoмiнaльнa шкaлa - це клacифiкaцiя з фiкcoвaним нoмiнaлoм рoдoвoï якocтi;

- кaрдинaльнa шкaлa хaрaктеризye кумулятившсть i aдитивнicть вимiрювaння;

- oрдинaльнa шкaлa хaрaктеризye влacтивocтi через iнтенcивнocтi.

Kaрдинaльний i oрдинaльний клacи ш^л e чиcлoвими.

У вiдпoвiднocтi з лoгiчнoю cтрyктyрoю вимiрювaння вaжливocтi викoриcтoвye три групи aкcioм: тoтoжнicть, рaнгoвий пoрядoк i aдитивнicть. У зaлежнocтi вiд тoгo, якi з цих трьoх влacтивocтей приcyтнi aбo вщсутш i в яких кoмбiнaцiях зycтрiчaютьcя для вимiрю-вaння критерiaльних oцiнoк, рoзрiзняють чoтири ocнoвних типи шгал: нaзв, пoрядкy, ште-рвaлiв ^зниць), вiднoшень [10]. Дaмo ïx кoрoткy хaрaктериcтикy.

Шкaлa нaзв (iдентифiкaцiя aльтернaтив). Kлac нaйпрocтiшиx шкaл, якi вiдoбрaжa-ють якicнi влacтивocтi. ïx елементи xaрaктеризyютьcя тiльки вiднoшеннями еквiвaлентнoc-т (тoтoжнocтi) i пoдiбнocтi прoявлення влacтивocтi. Тaкi шкaли не мaють нуля i oдиниць вимiрювaння, нa них не мoжнa прoвoдити aрифметичнi oперaцiï. Bимiрювaннями y шкaлi нaзв e результата якicнoгo aнaлiзy.

Шкaлa пoрядкy (визнaчення пoрядкy перевaг). Дaнa шкaлa зaдoвoльняe aкcioмaм рaнгoвoгo пoрядкy. Елементи, яю рoзмiщенi нa шкaлi, пoвиннi бути пoрiвнювaнi i трaнзи-тивш зa деякoю зaгaльнoю oзнaкoю. Пoрiвняння елементiв нa цiй шкaлi вiдпoвiдaють вщ-нoшенням «бшьше-менше», «крaще-гiрше», «cильнiший-cлaбший», «cклaднiший-прocтiший» тoщo. Дaнi шгали e нелiнiйними i не мaють oдиниць вимiрy. Bимiрювaння y шкaлi пoрядкy e нaйнедocкoнaлiшими i тайменш iнфoрмaтивними.

Для пoлегшення вимiрювaнь та шкaлi пoрядкy нa прaктицi зacтocoвyютьcя деякi oпoрнi тoчки як «реперш». Тaкi шкaли нaзивaютьcя реперними.

Шкaлa iнтервaлiв пoкaзye cтyпiнь близькocтi aльтернaтив y шкaлi пoрядкy. Якщo мнoжинa елементiв впoрядкoвaнa зa дoпoмoгoю мнoжини дiйcниx чисел, тo гoвoрять, щo вимiри здiйcненi y шкaлi iнтервaлiв. Шкaлa iнтервaлiв - це шкaлa без визнaчення тoчки вiдлiкy, тобто 1и не притaмaннa влacтивicть aдитивнocтi. Iнтервaли мiж кoжними cyciднiми елементaми в дaнiй шкaлi пoкaзyють штенсившсть (силу) перевaги oднoгo елементa в no-рiвняннi з iншими i мoжyть бути як рiвнoмiрними, тaк i нерiвнoмiрними. У зв'язку з тим, щo в дaнiй шкaлi не визнaченo пoчaтoк вiдлiкy, для не'1 мoжливi aдитивнi oперaцiï (дoдa-вaння i вiднiмaння) i не визтачеш мyльтиплiкaтивнi (мнoження i дшення).

Шкaлa вiднoшень. Якщo oднa з реперних тoчoк мae знaчення вимiрнocтi, яке прирь вняне дo нуля, то в тaкiй шкaлi мoжнa вiдрaxyвaти aбcoлютне знaчення величини i визнa-чити, y cкiльки рaзiв oднa величинa бiльшa зa шшу. Шкaлa вiднoшень e нaйдocкoнaлiшoю i тайбшьш iнфoрмaтивнoю. B нiй визтачеш вс aрифметичнi oперaцiï. Приклaдaми шгал вь днoшення e темперaтyрнa шкaлa, шкaлa вiдcтaней, шкaлa вaг тoщo.

Baжливим кoмпoнентoм зaдaчi вибoрy ршень e прocтiр критерпв aбo критерiaльний прocтiр. Пiд прocтoрoм критерпв бyдемo рoзyмiти cyкyпнicть критерпв, зa якими oцiню-eтьcя ефективнicть aльтернaтив (таслщюв), тoбтo критерiaльний прocтiр - це прocтiр кри-терiaльниx oцiнoк aльтернaтив. Якщo дaний прocтiр cклaдaeтьcя з oднieï cкaлярнoï xaрaк-теристики, то зaдaчa вибoрy e тривiaльнoю. Але, як прaвилo, при вирiшеннi cклaдниx ^o-блем, звичaйнo, дoвoдитьcя рoзглядaти декiлькa взaeмoзв'язaниx пoкaзникiв ефективнocтi, яю y cвoю чергу вирaженi в кшьюснш aбo якicнiй фoрмi, вимiрюютьcя в рiзниx шкaлax i мaють рiзнy вaгoмicть. Це ycклaднюe прoведення cпiвcтaвлення aльтернaтив y тaкoмy бa-гaтoкритерiaльнoмy aмoрфнoмy прocтoрi. Bирiшення дaнoгo питaння пoлягae y нoрмyвaннi критерiaльнoгo прocтoрy [6, 12].

Пiд нoрмaлiзaцieю критерiïв рoзyмiють переxiд дo oднaкoвo нaпрaвлениx перевaг, вирaження ïx зтачень в oднaкoвиx aбcoлютниx величинax aбo переxiд дo безрoзмiрниx шкaл. Приведемo декiлькa вiдoмиx видiв нoрмaлiзaцiï.

_ k

1. Нормал1защя за заданны значениям: Кг. = —^, де К* - задана величина критер1ю

К

(еталонна, ¡деальна, задовшьна) та ii частинний випадок вщносна нормал1защя: Кг ^

max

аеА

або К; - ■ ^

min к

аеА 1

2. Пор1вняльна нормал1защя: К, - К, - min Кi або К, — тахК. - К,, природна норма-

аеА аеА

— к — К! ~1111 п,К' л1защя: К{ =-i-та повна нормал1защя: Ki =-ае -

max b — min b ' max К — min К

аеА аеА аеА аеА

3. Нормал1защя Севщжа: Ki =

max Ki — Ki

аеА_

max Ki — min Ki

аеА aeA

. . — k

4. 1нтегральна нормал1зацш: Ki - —1-. Часто використовуеться у задачах, коли

kdx

JaeA 1

IаеА

k

множина А задана дискретно, тобто А = {а1,а2, ..., ай},тод1 К, =

Зазвичай як критери використовуються таю шдикатори (ознаки):

- мiсце реестраци IP-адрес i доменiв, якi беруть участь в атащ або надають шфра-структуру для реaлiзaщi атаки;

- трасування атаки до ii джерела або хоча б локaлiзaцiя обласп, в якш джерело зна-ходиться;

- чaсовi параметри;

- aнaлiз програмного коду, в якому можуть бути знайдеш коментaрi, посилання на сайти, домени, IP-адреси, якi беруть участь в атащ;

- почерк програмютсв i школа програмування;

- стильометрiя, яка дозволяе визначити стилютику мови у коментарях або супутшх текстах;

- обмaннi системи або honepot/honeynet;

- оперативна розробка;

- aнaлiз aктивностi на форумах i в сощальних мережах;

- iдентифiкaцiя постфактум за дiями.

Оптимальный вибгр

Задача прийняття рiшень буде вирiшенa, якщо будуть здiйсненi три процедури: - генеращя допустимо'1' множини альтернатив, бaгaтокритерiaльний aнaлiз i побудова правила вибору (принципу оптимальносп).

Постановка зaдaчi бaгaтокритерiaльного вибору рiшень. Нехай вiдомa множина аль-тернативних рiшень, яка може бути задана як у виглядi дискретно:!, так i неперервно'1' множини. Вiдомi також критери, за якими можуть бути ощнеш наслщки будь-яко! альтернати-ви iз задано'1' множини. Потрiбно здiйснити вибiр ршень на дaнiй множинi альтернатив у виглядi одше iз задач:

- вiдбiр альтернатив (serening);

- класифкащя (клaстеризaцiя) простору альтернатив (sorting methods);

- упорядкування альтернатив (ranking);

- вибiр найкращо'1' альтернативи (choice problem).

Системну модель тако'' задачi можна описати таким чином:

{V, К, & А, Ру | Яу }. (1)

Вiдомi:

V - вид задачi вибору ршень; К - множина критерпв; ^ - шкали оцiнок; А - множина альтернатив; Р - правило вибору.

Невщомим е - результат вибору. Результатом вибору може бути:

- множина кращих (допустимих) альтернатив

Ну {а | а е А л К (а) е X, X - допустима множина оцток} ;

- альтернативи, розбит на класи,

Яу{{а, <7) | а е А, д - клас (назва)};

- визначений порядок альтернатив

11у {(а, ц) | а е А, р - ранг {номер)} ;

- вибiр одше'1 або декшькох альтернатив

Ку = {а = ат§ор( Ру(К(а))}.

аеА

Загальна математична постановка задачi 6агатокритерiального вибору. Нехай А -множина допустимих альтернатив (р1шень), а С (А) сА- множина р1шень, яи вибирають-ся. Визначити множину С(А), для яко'':

(2)

де К - множина критерпв (показниюв) ощнювання альтернатив, Т - оператор, який реа-лiзовуе процедуру регуляризацп значень оцшок ефективностi рiшень на основi визначено-го принципу (правила) оптимальностi.

Методи розв'язання багатокритерiальних задач можна подшити на три групи:

1. Метод головного показника: полягае у перетворенш вихщно'' 6агатокритерiальноi оптимiзацiйноi задачi у однокритерiальну з додатковими обмеженнями, що враховують вимоги, висунутi iншими критерiями.

2. Метод результуючого показника полягае у замш вихщно'' 6агатокритерiальноi зада1п на скаляр ну через формування узагальненого критер1ю:

- адитивний: Яу = = 1, ^ > 0, / = 1 ,п, де АГг - нормоване значения

/ -го критер^; - ваговий коефщент / -го критерiю, який мае тим бшьшу величину, чим бшыпе вш впливае на яюсть системи;

- мультишпкативний: Яу = [ н Кр , де К, - нормоване значения /' -го критер1ю; wj - ваговий коефiцiент / -го критерiю;

- максимшиий: шах тт{Аг,(]1)г..Д (Ру),...,К (Ру)}, якщо вагов1 коефщ1еити час-

. . . -^ --т • 1 •

тиииих показншав вщсутш; шах тт{1 (РУ),...,К (РУ),...,К (Ру)}, якщо вагов1 коефь

цiенти визначеш.

3. Лексикогрaфiчний метод або метод послщовних поступок — це метод аналопч-ний до описаного вище методу головного показника, використовуеться за умови, упоряд-кованосп критерпв за вaжливiстю, при цьому кшькюш оцiнки 1'х ваги залишаються неви-значеними. Метод послщовних поступок полягае в тому, що за рахунок введення додатко-вих обмежень бaгaтокритерiaльнa задача перетворюеться на послщовшсть однокритерia-льних, у якш враховуються вимоги до критерпв област допустимих розв'язок, що призво-дять до ii поступового звуження. При постановщ зaдaчi, вiдповiдно до найважлившого критерiю, робиться поступка. Ii величина залежить вщ висунутих вимог й оптимального розв'язку за вщповщним критерiем.

Ршення проблемно! ситуаци

Важливою особливютю процесiв прийняття рiшень при пошуку джерел атак на комп'ютерш мереж1 е необхiднiсть урахування впливу невизначених фaкторiв i розгляд усiх можливих наслщюв альтернатив, пропонованих для вибору. Тому актуальною е проблема розробки моделей прийняття ршень саме в умовах невизначеносп.

Ц моделi забезпечують обробку та структурування шформацп, що сприяе принай-мнi частковому подоланню проблеми неповноти наявних вихщних даних. Отримaнi при цьому рекомендацп щодо прийняття рiшень використовуються тшьки у випадках, коли припущення, на основi яких вони були побудоваш, вiдповiдaють природi джерел невизна-ченосп. Встановлювати цю вiдповiднiсть необхiдно тшьки при розумшш сутностi i рiзно-мaнiтностi фaкторiв невизнaченостi, що впливають на проведення атак на комп'ютерш ме-режi i пов'язаних з ними понять шансу, ризику i небезпеки.

Для розв'язання зaдaчi виявлення найбшьш iмовiрного джерела атак пропонуемо використовувати метод визначення неч^ких суджень ОПР, що поеднуе клaсичнi пщходи при нечiткому автоматичному упрaвлiннi на основi експертних суджень [7, 15], та щею ро-збиття простору критерпв на облaстi в комбшованому методi пiдтримки прийняття рiшень [8].

Нехай визначено п критерпв К - {К17 К2,..., Кп). Для кожного з них задана не1птка шкала Q, тобто множина можливих значень критер^, що розбита на окремi неч^ю гра-дaцii, Су - неч^ка j -та грaдaцiя i -го критер^ шкали критерiю Q , де i - номер критерiю (i = l,..., и).

Число градащй для критерпв може бути р1зним: / = , де qi - число градащй шкали Qi ={сп, с12,..., с1? } для i -го критерпо.

Неч1тю градац1Т задаються за допомогою функцп належност1 (х) - функц1я нале-жностi чiтких значень i -го критерiю j -i грaдaцii. Функцiю нaлежностi грaдaцii зручно за-давати багатокутником. Зазвичай вони представлеш у виглядi трикутника або трапецп (рис. 2, 3).

Нечiткi грaдaцii - це звичайш нечiткi обмеженi числа. При побудовi чiткоi шкали критерiiв у якюних методах бaгaтокритерiaльного aнaлiзу потрiбно, щоб грaдaцii не пере-тиналися [7, 15], однак по вщношенню до нечгтко'1' грaдaцii допустимий деякий стутнь перетину.

Ефективнiсть розбиття визначаеться iз спiввiдношень:

*2min nik х ,nik х dx

Vi: max—^-< a, inf (max/¿¿.-(х)) > jS.

ii.iz ^ max iuij1 x x dx x j

Конкретш значения констант a i p вибираються, виходячи з вимог до якосп ири-йнятих pimeHb i «неч1ткосп» суджень ОПР. При робот1 з 1пткими критер1ями а = 0 i

/3 = 1, проте не1птюсть не дозволяе досягти нам таких значень. У практичних задачах вда-лим наближенням вважаються: а = 0,3 1 /? = 0,7.

\

V \

У_У_ \ \ <-

Рисунок 2 - Розбиття шкали на неч1тк1 трикутш градацп

Для побудови функцш належностi пропонуються такi алгоритми градацп: - для трикутних градацш:

1) ОПР задае iстотнi для нього значення критерпв (точки на шкал^;

2) вщбуваеться автоматична замша точок на трикутш функцп належносп. Так точка

• • • I 0 1 1 г хк замшюеться на неч1тку градащю с - {-, —,-);

Хк-1 Хк ХА~+1

3) отримаш градацп пред'являються ОПР:

- для трапецiеподiбних градацiй:

1) ОПР задае ч^ю iнтервали розбиття;

2) вщбуваеться автоматичне «розмиття» границь iнтервалiв: iнтервал (х, х2) замь

нюеться на неч'тку градащю с-\ —-—, —-—, —-—, —-— I, де с1 = (х2-х1)Л00%;

-с1 X, X, —с1

3) отриманi градацп пред'являються ОПР.

Рисунок 3 - Розбиття шкали на нечиш трапещепод'бш градацп

У заданих шкалах ми можемо розбити критерiальний простiр на обласп, якi визна-

чаються як комбшацп значень градацiй. Для лексичних критерпв як таю градацп виступа-ють слова (терми). Для числових критерпв градацiя - це штервал значень. 1нтервал вказу-

еться у виглядi право'' i лiвоi границь.

За кожним критерiем переваги повинш бути монотоннi або мати один екстремум

(щеальне значення, наприклад, час проведення атаки). Градацп повинш бути вщсортоваш

в порядку збшыпення переваг:

Повний проспр вах можливих комбiнацiй значень градацш критерпв задаеться як декартовий добуток Ц :

А = {сп> с12,...,с1_}х{с21, с22,...,с2\х...х{сп1, с„2,...,с\

i називаеться повною множиною нечiтких альтернатив.

Потужнiсть ща множини обчислюеться за формулою

И=ГТ>(

В iдеальному випадку для визначення джерела атаки нам потрiбно задати рiвень пе-реваг для вах елементiв повно'1' множини нечiтких альтернатив А. У неч^юй постановщ градаци можуть покривати чималi обласп критерiального простору з рiзним рiвнем функ-ци належностi, тому тшьки для деяких з цих областей ми задамо неч^кий рiвень переваг. Введемо таю позначення:

^ - номер обласп переваг;

5 - число областей, на яких ОПР висунула сво'1' переваги (зрозумшо, що виконуеть-ся сшввщношення £ <\А\ );

- ( /,, /2, ..., ]п) - кортеж номер1в градацш, яю беруть участь у визначенш обласп ^ (припускаемо, що повиннi бути задаш нечiткi областi за вама критерiями);

Р - нечiткий рiвень переваг областi я ;

Р (у) - нечiтка функщя належностi для областi я .

Розглянемо задачу визначення рiвня переваг альтернативи з конкретними значен-нями критерпв (хг,х2,... ,хп) . Залежно вщ типу значень критерпв необхiдна 1'х попередня обробка - зведення до не1пткого виду шляхом задания не1пткоТ функцп належносп конкретного значения критер1ю (х). Осюльки розглядаеться задача ранжування на сюнченнш

множинi альтернатив, то число таких функцш буде сюнченним.

Якщо критерiй приймае чiткi числов^лшгвютичш значения - функцiя належностi набуде вигляду

О) = ■

[1, х = хг, О, л- Ф х.

На практищ навiть для об'ективних результатiв вимiрювань значень критерпв при-сутня деяка иохибка, тому доцшьно задавати функщю належносп у трикутному вигшад з урахуванням иохибки сг :

Мх, (х) =

х - X

<7

X, -х

а

L + \, х е [х. — а, х.], + 1, x е (х., x. +<т),

О,

в шших випадках.

Визначення неч^ких областей розглядаеться як неч^ка iмплiкацiя виду: якщо нечь ткi значення критерпв дорiвнюють нечiтким градацiям областi Мк, то перевага альтернативи дорiвнюе заданому для областi неч^кому рiвню переваг рк. Дана iмплiкацiя запису-еться у виглядi

1 а:

Об'еднання всiх нечiтких значень переваг за вама областями дасть пiдсумкову не-чiтку перевагу альтернативi:

Шсля побудови шдсумково' функцп належносп може виявитися, що р(у, х17 х2,... ,хп) — 0 або наближаеться до 0. Це говорить про те, що е точки критер1ально-го простору, не охоплеш областями переваг. У цьому випадку слщ провести змшу шкал ^або додати новi о6ластi (збшьшити $ ).

Далi можна визначити неч^ке вiдношення домiнування альтернатив, що е достат-ньо трудомiстким i може призводити до неоднозначного ранжування. У разi велико'' кшь-кост порiвнюваних альтернатив доцiльно провести дефазифшацда переваг методом центра тяжiння:

У"?

_ у*УР У,х1,х2,-,хп йу

V Х1>Х2> — 'ХП ~ У2

У1 V У,Хг,х2.....Хп йу

Якщо всi вхiднi функцп належносп були заданi у формi ламано' лшп, то отримана функцiя належносп рiвня переваг р(у, х, х2,...,хп) також е ламана лшя. У цьому випадку штег-рування проводиться за формулою

ю —-

\ 1=1 (У1+1-У1)(Р(У1+1)-Р(У1) У

де V - число вершин ламано';

у - координата вершини ламано';

Р (У ) - значення функцп належносп в вершинi ламано'; а1\Ъ1 - коефщ1енти р1вняння вщр1зка ламано! р(у,) = а,у, +Ъ1.

Зауважимо, що р , р, а i Ь е функцiями вщ (хх, х2,...,хи), щ i Ц визначаються ств-вщношеннями

„ Р(Уы)-р(У1)

У 1+\ ~ У г

ь1=р(у1)~а1у1-

Далi нео6хiдно провести ранжування альтернатив з отриманими ч^кими рангами р. Загальна схема алгоритму роботи методу показана на рис. 4. У алгоршм задiянi:

ОПР - вщповщае за введення критерив, задае шкали, коригуе шкали, вводить переваги;

експерт - може вводити оцшки альтернатив за первинними критерiями тсля того, як заданi критерп та шкали;

СППР - система тдтримки прийняття рiшень реалiзуе необхщш математичнi мето-ди, враховуючи операцп з нечiткими множинами i числами.

Рисунок 4 - Алгоритм процедури неяркого ранжування альтернатив

У раз! незадовшьного результату ОПР повертаеться на етап введення 1 редагування шкал 1 переваг. Етап завдання переваг 1 введення неч1тких оцшок альтернатив можуть про-ходити паралельно.

Якщо для деяко! альтернативи не юнуе хоча б одше! точки з достатшм р1внем нале-жност (бшьше 0,5), то потр1бно вводити нову область переваг на градащях, що забезпе-чують максимум належносп задано! альтернативи. Якщо не юнуе тако! комбшаци града-цш, при якш забезпечуеться належшсть альтернативи област на р1вш не менше, шж 0,5, то слщ встановити нов! градаци.

4. Висновки

Запропонована структура СППР, за допомогою яко! здшснюеться виб1р альтернативи (рь шення), тд яким розум1еться визначення найбшьш 1мов1рного джерела атак, дозволяе:

- використовуючи шформащю з сайпв атакер1в, оцшити загальний р1вень небезпе-ки юберпростору для дано! мережу що визначаеться як кшьюсть невщомих СЗА атак в одиницю часу;

- здшснити налаштування адаптивно! СЗА;

- розробляти нове поколшня мережевих екрашв, яю базуються не тшьки на протоколах, а й на адреснш шформаци з мережевих пакет1в.

Подальший розвиток дослщження передбачае перехщ вщ теоретичних засад запро-поновано! структури до практично! реал1заци автоматизованого налаштування систем тд-тримки прийняття р1шень для пошуку нашмов!ршших джерел атак у структур! СЗА кор-поративних мереж.

Подяка

Робота проведена та фшансована в рамках проекту НАТО CyRADARS (Cyber Rapid Analysis for Defense Awareness of Real-time Situation - CyRADARS) - grant agreement number: G5286.

СПИСОК ДЖЕРЕЛ

1. Baddar S., Merlo A., Migliardi M. Anomaly detection in computer networks: a state-of-the-art review. Journal of Wireless Mobile Networks. Ubiquitous Computing, and Dependable Applications. 2014. Vol. 5, Iss. 4. P. 29-64.

2. Guan Y., Ghorbani A. A., Belacel N. Y-means: a clustering method for intrusion detection. CCECE 2003. Canadian Conference on Electrical and Computer Engineering. Toward a Caring and Humane Technology (Cat. No.03CH37436). 2003. Vol. 2. P. 1083-1086.

3. Gyanchandani M., Rana J.L., Yadav R.N. Taxonomy of Anomaly Based Intrusion Detection System: A Review. International Journal of Scientific and Research Publications. 2012. Vol. 2, Iss. 12. P. 1-13.

4. Jyothsna V., Prasad Rama V.V. A review of anomaly based intrusion detection systems. International Journal of Computer Applications. 2011. Vol. 28, Iss. 7. P. 26-35.

5. Lahno V. Information security of critical application data processing systems. TEKA. Commission of motorization and energetics in agriculture. 2014. Vol. 14, Iss. 1. P. 134-143.

6. Malyar M., Polishchuk V. Choice and evaluation methodics of investment projects. Kosicka bezpecnostna revue. Kosice, 2013. P. 117-126.

7. Mamdani E. Applications of Fuzzy Algorithms for Control of Simple Dynamic Plant. Proc. of IEEE. 1974. Vol. 121, N 12. P. 1585-1588.

8. Riadi Im., Istiyanto J., Ashari A. Log Analysis Techniques using Clustering in Network Forensics. International Journal of Computer Science and Information Security. 2013. Vol. 10, Iss. 7. P. 23.

9. Simon H., Kadane J. Optimal Problem-Solving Search: All-or-None Solutions. Artificial Intelligence, Fall. 1975. Vol. 6. P. 235-248.

10. Метролопя та стандартизащя в теплоенергетищ: шдручник для студ. спещальносп 144 «Тепло-енергетика» / уклад. Л.О. Кесова, В.1. Промоскаль, В.В. Червоний. Кшв: КП1 1м. 1горя Сшорського, 2018. 451 с.

11. Котенко И.В. Модели и методы построения и поддержки функционирования интеллектуальных адаптивных систем защиты информации. Математические методы распознавания образов: 13-я Всероссийская конф. (ММРО-13) (Зеленогорск, Ленинградская обл., 30 сентября - 6 октября 2007 г.): сб. докладов. М.: МАКС Пресс, 2007. С. 599-602.

12. Маляр М.М., Полщук В.В., Шаркад1 М.М. Використання динам1чних критерив у моделях бага-токритер1ального вибору. Компьютерная математика. 2015. Вып. 1. С. 125-133.

13. Литвинов В.В., Казимир В.В., Стеценко 1.В. [та ш.]. Методи анатзу та моделювання безпеки розподшених шформацшних систем: навч. пошбн. Черншв: Чершпвський нащональний техноло-пчний ушверситет, 2016. 254 с.

14. Литвинов В.В., Казимир В.В., Стеценко 1.В. [та ш.]. Моделювання та анатз безпеки розподшених шформацшних систем. Чершпв: Чершпвський нащональний технолопчний ушверситет, 2017. 206 с.

15. Осипов В.П., Судаков В.А. Многокритериальный анализ решений при нечетких областях предпочтений. Препринты ИПМим. М.В. Келдыша, 2017. № 6. 16 с.

Стаття над1йшла до редакцп 05.07.2019