Интеллектуальные средства защиты информации для решения задач

класси­фикации в информационных системах

 

Аксенов Алексей Николаевич,

аспирант,

заместитель начальника управления специальных работ ЗАО «ЭВРИКА», г. Санкт-Петербург,

Андронов Алексей Викторович,

аспирант.

Санкт-Петербургский Государственный университет информационных технологий, механики и оптики.

 

 В основном интеллектуальные средства защиты информации (СЗИ) нашли свое применение в системах обнаружения атак в качестве интеллектуального инструмен­та, в которых, как правило, используются нейронные сети (НС), системы нечеткой логики (НЛ) и основанные на правилах экспертные системы (ЭС) [1].

Схемы обнаружения атак разделяют на две категории:

1) обнаружение зло­употреблений;

2) обнаружение аномалий.

К первым относят атаки, которые используют известные уязвимости информационной системы (ИС), а ко вторым - несвойственную пользователям ИС деятельность.

Для обнаружения аномалий выявля­ется деятельность, которая отличается от шаблонов, установленных для поль­зователей или групп пользователей. Обнаружение аномалий, как правило, свя­зано с созданием базы знаний (БЗ), которая содержит профили контролируемой деятельности [2], а обнаружение злоупотреблений - со сравнением деятельности поль­зователя с известными шаблонами поведения хакера [3] и использует ме­тоды на основе правил, описывающих сценарии атак. Механизм обнаружения идентифицирует потенциальные атаки в случае, если действия пользователя не совпадают с установленными правилами.

 

Задачи классификации в экспертных системах

 

Экспертные системы (рис. 1) предназначены для решения классификационных за­дач в узкой предметной области исходя из базы знаний, сформированной путем опроса квалифицированных специалистов и представленной системой класси­фикационных правил If-Then (Если – Тогда) [4].

В системах обеспечения безопасности ИС экспертные системы использу­ются в интеллектуальных СЗИ на основе модели [5] и содержат в БЗ описание классификационных правил, соответствующих профилям легальных пользова­телей ИС, сценариям атак на ИС [6].

К недостаткам ЭС, как средств классификации, относят [7]:

1)                  Непрозрачность связей между отдельными правилами в базе знаний. Хо­тя отдельные правила относительно просты и логически прозрачны, нагляд­ность их логической взаимосвязи в пределах БЗ м.б. достаточно низкой, т.е. не­ просто определить противоречивые правила в БЗ и их роль в решении задачи.

2)                  Неэффективная стратегия поиска. ЭС с большой базой знаний могут
оказаться недостаточно производительными для решения оперативных задач обеспечения безопасности ИС в реальном масштабе времени.

3)                  Отсутствие возможности адаптации. ЭС не обладают способностью к автоматическому обучению, т.е. ЭС не может автоматически изменять БЗ, кор­ректировать существующие правила или добавлять новые правила If-Then.

 

Рис. 1. Нейро-экспертная система.

 

Вероятностные методы решения задачи классификации

 

Методы недостоверного управления и вероятностных рассуждений при­меняются в ЭС не только для формулирования классификационных заключе­ний в соответствии с правилами If-Then, но и формирования оценок достовер­ности проведенной классификации в виде значений значения фактора уверен­ности или условной вероятности возникновения классифицируемого события.

Возможность оценки достоверности предсказания является достоинством метода вероятностных рассуждений Байеса, т.к. базируется на математическом аппарате теории вероятностей [4]. В отечественной практике метод ве­роятностных рассуждений Байеса применяют в ряде прикладных ЭС [8].

Практическая значимость метода факторов уверенности для решения зада­чи классификации подтверждена разработкой ряда экспертных систем [9]. По­следний подход к классификации более приемлем с точки зрения вычислитель­ной эффективности, т.к. не требует наличия больших объемов статистических данных и сложных расчетов условных вероятностей при большой размерности пространства входных посылок [7].

Во всех приложениях обеспечения безопасности ИС на основе экспертных систем может успешно применяться подход формирования и поддержки клас­сификационной базы знаний в соответствии с методами недостоверного управ­ления и вероятностных рассуждений.

Численная оценка классификационных заключений особенно важна в ус­ловиях неполноты и низкой достоверности входных признаков, используемых в качестве посылок большинством существующих систем классификации втор­жений в компьютерные системы.

 

Задачи нечеткой классификации

 

Нечеткая классификация является дальнейшим развитием подхода к решению экспертными системами задач классификации. Достоинство нечеткой классифика­ции - возможность формулировать достоверные классификационные заключения исходя из неполных и не вполне достоверных входных посылок [7].

При сохранении математического аппарата, разработанного для систем четкой логики, в нечетких логических системах решена задача преобразования численной и качественной информации в степень принадлежности значений конкретным не­четким множествам [10]. Нечеткие множества описываются посредством функций принадлежности, ставящих в соответствие множеству значений из облас­ти определения непрерывной переменной множество значений истинности из ин­тервала [0, 1].

Этапы нечеткого логического вывода непосредственно связаны с процес­сом формирования классификационных заключений [11]:

1)         этап введения нечеткости (fuzzification) связан с преобразованием по­
средством входных функций принадлежности (input membership functions) каж­дого из четких входных значений x_{i ,} i = 1, …, , n — число входных значений
классификатора (crisp inputs) в степень истинности соответствующей посылки

µ_xi, i= 1,…, m , m- для каждого из классификационных правил (fuzzy rules);

2)         этап нечеткого логического вывода соответствует формированию за­ключения (соответствующие нечеткие подмножества) по каждому из правил µ_Ri, i = 1,…,m , т — количество классификационных правил, исходя из степени истинности посылок µ_xi, i= 1,…, n ;

3)         этап композиции нечетких подмножеств по каждому из правил
µ_Ri, i = 1,…,m посредством выходных функций принадлежности (output
membership functions) с целью формирования нечетких подмножеств классифи­кационных заключений µ_Ci, i = 1,…,p , р - число выходов классификатора;

4)         этап объединение (aggregation) нечетких подмножеств µ_Ci, i = 1,…,p и приведение к четкости (defuzzification) приводит к формированию выходного четкого значения у.

Нечеткие логические системы сохраняют в своем составе базу знаний ква­лифицированных специалистов ИБ в виде системы правил If-Then, однако рас­ширяют область применения ЭС за счет решения задачи классификации исходя из неполной и не вполне достоверной информации.

Системы НЛ обладают ограниченными возможностями к адаптации, т.к. могут обучаться путем изменения параметров функций принадлежности под реальные значения входных данных и желаемых классификационных заключе­ний. Стоит отметить, что процесс обучения функций принадлежности нечеткой ЭС с достаточно большой базой знаний (свыше 100 правил) трудоемкий и тре­бует значительных затрат времени [7].

 

Применение НС в задачах классификации и кластеризации

 

Нейронные сети наиболее часто используют для решения задач класси­фикации. Доказано, что НС является универсальным аппроксиматором, т.е. любая функция представима в виде многослойной НС из фор­мальных нейронов с нелинейной функцией активации. Формально подтвер­ждена верхняя граница сложности НС, реализующей произвольную непре­рывную функцию от нескольких аргументов. Нейронной сетью с одним скры­тым слоем и прямыми полными связями можно представить любую непре­рывную функцию, для чего достаточно в случае n-мерного входного вектора 2n+1 ФН скрытого слоя с заранее оговоренными ограниченными функциями активации [10].

Известны многочисленные применения нейросетевых средств для обес­печения безопасности ИС, причем большинство случаев связано с решением задач классификации и кластеризации [10].

Следует учесть, что из всех рассмотренных ранее интеллектуальных средств только НС обдают свойством самоорганизации, что позволяет ис­пользовать их для решения задачи кластеризации.

Возможность самоорганизации рассматривается как одно из наиболее важ­ных качеств нейросетевых СЗИ, которое позволяет адаптироваться к измене­нию входной информации. Обучающим фактором выступают присутствующие в данных скрытые закономерности и избыточность входной информации. Ин­формационная избыточность позволяет фиксировать в информационном поле НС входные данные, представляя их в более компактной форме. Уменьшение степени избыточности информации в адаптивных СЗИ позволяет выделять су­щественные независимые признаки в данных.

Самоорганизация НС реализуется за счет механизма кластеризации: по­добные входные данные группируются нейронной сетью в соответствии с вза­имной корреляцией и представляются конкретным ФН-прототипом. НС, осу­ществляя кластеризацию нечетких данных, находит такие усредненные по кла­стеру значения весов ФН-прототипов, которые минимизируют ошибку пред­ставления сгруппированных в кластер данных.

Рассмотренные механизмы классификации и кластеризации входных дан­ных в СЗИ позволяют не только относить классифицируемый объект (вектор входных данных) к одному из известных классов, но и реализовать эволюцион­ные процессы самоорганизации, адаптации, развития в интеллектуальных сред­ствах обеспечения информационной безопасности ИС. Причем лучшие функциональные характеристики получаются при сочетании различных интеллектуальных средств в гибридной системе защиты информации [12].

 

Литература

 

1.                   Корнеев В.В., Маслович А.И. и. др. Распознавание проблемных модулей и обнаружение несанкционированных действий с применением аппарата нейросетей // Информационные технологии, 1997 г., № 10.

2.                   Bace R. An Introduction to Intrusion Detection ssessment for Sistem and etwork Security Management, 1999.

3.                   Kumar S., Spafford E. A Pattern Matching Model Misuse Intrusion Detection // Proc. Of the 17^th National Computer Security Conference, 1994, P. 11 – 21.

4.                   Bishop C.M., Neural Networks for Pattern Recognition, Oxford University Press, 1995.

5.                   Denning D.E. An Intrusion detection model // IEEE Trans. on Software Engineering, 1987, SE-13, P. 222-232.

6.                   Garvey T.D., Lunt T.F. Model-based intrusion detection // Proc. of the 14^th National Computer Security Conference, 1991.

7.                   Negnevitsky M. Arificial intelligence: a guide to intelligent systems. Addison-Wesley, 2002.

8.                   Голота Я.Я. Еще раз о классификации логических систем // Сб. докладов V Международной конференции SCM^, 2002, СПб, 2002, Т. 1, С. 65-73.

9.                   Shortliffe E.H. MICIN: Computer-Based Medical Consultations // NY/: Elsevier Press, 1976.

10.               Нестерук Ф.Г., Суханов А.В. и др. Адаптивные средства обеспечения безопасности информационных систем // Издательство Санкт - Петербургского политехнического университета, 2008 г.

11.               Суханов А.В., Павлютенков А.А. Представление знаний в адаптивных средствах мониторинга информационных систем // Защита информации. Инсайд, № 4, 2008г.

12.               Суханов А. В. Разработка теоретических основ и методологии мониторинга безопасности информационных систем для критических сфер применения // Диссертация на соискание ученой степени доктора технических наук. – СПб. 2010.

 

Поступила в редакцию 25.01.2010 г.