Решение задачи классификации при мониторинге уязвимостей автоматизированных систем

Андрианов Владимир Игоревич,

кандидат технических наук, доцент Санкт-Петербургского государственного университета телекоммуникаций им. проф. М. А. Бонч-Бруевича,

Крылов Александр Изотович,

аспирант Санкт-Петербургского государственного университета информационных технологий, механики и оптики.

Классификация и кластеризация являются основными задачами, решаемыми интеллектуальными средствами обеспечения безопасности защищаемой автоматизированной системы в условиях возрастания угроз, так как необходим постоянный мониторинг ее уязвимостей и множества угроз [1, 2].

Известные средства обеспечения информационной безопасности, такие как: детекторы уязвимостей, детекторы вторжений, антивирусное программное обеспечение, межсе­тевые экраны, в обязательном порядке решают два типа задач. В простейшем случае – задачу классификации входных событий [3, 4], то есть отнесения входных векторов к классу опасных или безопасных, а в случае необходимости расширения классификационных групп входных событий - задачу кластеризации [5, 6].

Экспертная система как специализированная информационная система предназначена для решения классификационных задач, в узкой предметной области, исходя из базы знаний сформированной путем опроса квалифицированных специалистов и представленной системой классификационных правил If (Условие) – Then(Следствие) [7, 8].

В системах обеспечения безопасности автоматизированных систем экспертные системы используются в интеллектуальных системах защиты информации на основе модели Деннинга [9] и содержат в базах данных описание классификационных правил, соответствующих профилям легальных пользователей автоматизированной системы и сценариям атак на информационную систему.

К недостаткам экспертных систем, как средств классификации, относят [8]:

1)                 «Непрозрачность» связей между отдельными правилами в базе знаний. Хотя отдельные правила относительно просты и логически «прозрачны», наглядность их логической взаимосвязи в пределах базы знаний может быть достаточно низкой. То есть, непросто определить противоречивые правила в базе знаний и их роль в решении общей классификационной задачи.

2)                 Неэффективную стратегию поиска. Экспертные системы с большой базой знаний могут оказаться недостаточно производительными для решения оперативных задач обеспечения безопасности автоматизированной системы в реальном масштабе времени.

3)                 Отсутствие возможности адаптации. Экспертные системы не обладают способностью к автоматическому обучению, то есть не могут автоматически изменять базу знаний, корректировать существующие правила или добавлять новые правила If (Условие) – Then (Следствие).

Методы недостоверного управления и вероятностных рассуждений применяются в экспертных системах не только для формулирования классификационных заключений в соответствии с правилами If (Условие) – Then (Следствие), но и формирования оценок достоверности проведенной классификации в виде значений фактора уверенности или условной вероятности возникновения классифицируемого события.

Возможность оценки достоверности предсказания является достоинством метода вероятностных рассуждений Байеса, так как базируется на строгом математическом аппарате теории вероятностей [10].

Практическая значимость метода факторов уверенности для решения задачи классификации подтверждена разработкой ряда экспертных систем [11]. Последний подход к классификации более приемлем с точки зрения вычислительной эффективности, так как не требует наличия больших объемов статистических данных и сложных расчетов условных вероятностей при большой размерности пространства входных посылок [8].

Во всех системах защиты информации автоматизированных систем, основанных на применении экспертных системах, может успешно применяться подход формирования и поддержки классификационной базы знаний в соответствии с методами недостоверного управления и вероятностных рассуждений.

Численная оценка классификационных заключений особенно важна в условиях неполноты и низкой достоверности входных признаков, используемых в качестве посылок большинством существующих систем классификации вторжений в автоматизированную систему.

Нечеткая классификация является дальнейшим развитием подхода к решению экспертными системами задач классификации. Достоинство нечеткой классификации – возможность формулировать достоверные классификационные заключения исходя из неполных и не вполне достоверных входных посылок.

При сохранении математического аппарата, разработанного для систем четкой логики, в нечетких логических системах решена задача преобразования численной и качественной информации в степень принадлежности значений конкретным нечетким множествам. Нечеткие множества описываются посредством функций принадлежности, ставящих в соответствие множеству значений из области определения непрерывной переменной множество значений истинности из интервала [0, 1].

Этапы нечеткого логического вывода непосредственно связаны с процессом формирования классификационных заключений [8]:

Первый этап - введения нечеткости связан с преобразованием посредством входных функций принадлежности каждого из четких входных значений , где n – число входных значений классификатора, в сте­пень истинности соответствующей посылки  для каждого из классификационных правил;

Второй этап - нечеткого логического вывода соответствует формированию заключения (соответствующие нечеткие подмножества) по каждому из правил , где m – количество классификационных правил, исходя из сте­пени истинности посылок ;

Третий этап - композиции нечетких подмножеств по каждому из правил  посредством выходных функций принадлежности, с целью формирования нечетких подмножеств классификационных заключений , где p – число выходов классификатора;

Четвертый этап - объединение нечетких подмножеств  и приведение к четкости, который приводит к формированию выходного четкого значения y.

Нечеткие логические системы сохраняют в своем составе базу знаний квалифицированных специалистов информационной безопасности в виде системы правил If (Условие) – Then (Следствие), однако, расширяют область применения экспертных систем за счет решения задачи классификации исходя из неполной и не вполне достоверной информации.

Системы нечеткой логики обладают ограниченными возможностями к адаптации, так как могут обучаться путем изменения параметров функций принадлежности под реальные значения входных данных и желаемых классификационных заключений. Стоит отметить, что процесс обучения функций принадлежности нечеткой экспертной системы с достаточно большой базой знаний (свыше 100 правил) трудоемкий и требует значительных затрат времени [8].

Нейронные сети наиболее часто используют для решения задач классификации [12]. Доказано, что нейронная сеть является универсальным аппроксиматором, то есть любая функция представима в виде многослойной нейронной сети из формальных нейронов с нелинейной функцией активации. Формально подтверждена верхняя граница сложности нейронной сети, реализующей произвольную непрерывную функцию от нескольких аргументов. Нейронной сетью с одним скрытым слоем и прямыми полными связями можно представить любую непрерывную функцию, для чего достаточно, в случае n-мерного входного вектора 2n+1, одного скрытого слоя формальных нейронов с заранее оговоренными ограниченными функциями активации.

Большинство способов применения нейросетевых средств для обеспечения безопасности автоматизированных систем связано с решением задач классификации и кластеризации, и только нейронные сети обдают свойством самоорганизации, что позволяет их использовать для решения задачи кластеризации [12].

Возможность самоорганизации рассматривается как одно из наиболее важных качеств нейросетевых систем защиты информации, которое позволяет адаптироваться к изменению входной информации. Обучающим фактором выступают присутствующие в данных скрытые закономерности и избыточность входной информации. Информационная избыточность позволяет фиксировать в информационном поле нейронной сети входные данные, представляя их в более компактной форме. Уменьшение степени избыточности информации, в адаптивных системах защиты информации, позволяет выделять существенные независимые признаки в данных.

Самоорганизация нейронной сети реализуется за счет механизма кластеризации: подобные входные данные груп­пируются нейронной сетью в соответствии с взаимной корреляцией и представляются конкретным формальным нейроном-прототипом. Нейронная сеть, осуществляя кластеризацию нечетких данных, находит такие усредненные по кластеру значения весов формальных нейронов-прототипов, которые минимизируют ошибку представления сгруппированных в кластер данных.

Рассмотренные механизмы классификации и кластеризации входных данных в системах защиты информации позволяют не только относить классифицируемый объект (вектор входных данных) к одному из известных классов, но и реализовать эволюционные процессы самоорганизации, адаптации, развития в интеллектуальных средствах обеспечения информационной безопасности автоматизированных систем. Причем, лучшие функциональные характеристики получаются при сочетании различных интеллектуальных средств в гибридной системе защиты информации [12].

Литература

1.                  Пантелеев С. В. Решение задач идентификации динамических объектов с использованием нейронных сетей // Сб. докл. VI Международной конф. SCM’2003. – СПб.: СПб ГЭТУ, 2003. т. 1. С. 334-336.

2.                  Суханов А.В. Автоматизированные средства анализа защищенности информационных систем. // Журнал научных публикаций аспирантов и докторантов, 2008, № 5. С. 137-141.

3.                  Степашкин М. В., Котенко И. В. Классификация атак на Web-сервер // VIII СПб междунар. конф. Региональная информатика-2002. - СПб. 2002. Ч. 1.

4.                   Котенко И. В, Степашкин М. В. Интеллектуальная система моделирования атак на web-сервер для анализа уязвимостей компьютерных систем // Сб. докл. VI Международной конф. по мягким вычислениям и измерениям SCM’2003. – СПб.: СПб ГЭТУ, 2003. т. 1. С. 298 – 301.

5.                  Головин Р. А., Платонов В. В. Data-mining для обнаружения вторжений. Кластерный анализ информации // Информационная безопасность регионов России (ИБРР-2005): Материалы IV Санкт-Петербургской межрегиональной конференции, 14 - 16 июня 2005 г. - СПб: Политехника-сервис, 2005. С.94 – 95.

6.                   Дорогов А. Ю. Курбанов Р. Г. Шестопалов М. Ю. Нечеткая кластеризация многомерных данных в выборках большого объема // SCM’2005: Сборник докладов Международной конференции по мягким вычислениям и измерениям 27-29 июня 2005 г. Т.1. - СПб: СПб ГЭТУ «ЛЭТИ», 2005. С. 122 – 127.

7.                  Bishop C. M. Neural Networks for Pattern Recognition, Oxford University Press, 1995.

8.                  Суханов А.В. Организация средств защиты на основе аналогии с биосистемами // Журнал научных публикаций аспирантов и докторантов, 2008, № 6. С. 114-119.

9.                  Denning D. E. An intrusion detection model // IEEE Trans. on Software Engineering, 1987, SE-13. P. 222–232.

10.              Challa S., Pulford G. W. Joint Target Tracking and Classification Using Radar and ESM Sensors. IEEE Transactions on Aerospace and Electronic Systems vol. 37, NO. 3, 2001, p 1039 – 1055.

11.              Shortliffe E.H. MYCIN: Computer-Based Medical Consultations. – NY.: Elsevier Press. 1976.

12.              Суханов А.В. Разработка теоретических основ и методологии мониторинга безопасности информационных систем для критических схем применениям // Диссертация на соискание ученой степени доктора технических наук, СПб, 2010, С. 368.

Поступила в редакцию 30.08.2010 г.