Содержание к диссертации
Введение
Глава 1. Анализ предметной области и постановка задачи 20
1.1. Введение в проблематику построения адаптивных экспертных систем на примере систем обнаружения компьютерных атак 20
1.2. Анализ современных адаптивных экспертных систем на примере системы обнаружения компьютерных атак 23
1.2.1. Типовая архитектура системы обнаружения атак. 23
1.2.2. Методика и критерии сравнения систем обнаружения компьютерных атак 27
1.2.3. Сравнительный анализ современных систем обнаружения компьютерных атак 33
1.3. Анализ применения аппроксимирующих структур для хранения информации в базах знаний экспертных систем на примере системы обнаружения компьютерных атак 48
1.3.1. Технологии обнаружения атак на информацию 48
1.3.2. Современные подходы к обнаружению атак на информацию 52
1.3.3. Анализ проблемных направлений повышения достоверности обнаружения компьютерных атак. 55
1.4. Анализ проблемы хранения информации в базе знаний адаптивной экспертной системы 56
1.4.1. Информация и знания с точки зрения систем искусственного интеллекта 56
1.4.2. Обзор способов представления знаний 63
1.4.3. Анализ методов формирования базы знаний 72
1.5. Анализ проблемы оценки эффективности представления информации аппроксимирующими структурами 79
1.5.1. Критерии оценки качества аппроксимирующих структур 19
1.5.2. Апостериорные и априорные оценки аппроксимирующих свойств 80
1.6. Анализ проблемы извлечения накопленных знаний 81
1.6.1. Логическая прозрачность аппроксимирующих структур 81
1.6.2. Применение аппроксимирующих механизмов для представления знаний 83
1.6.3. Анализ существующих методов извлечения знаний 84
1.7. Постановка задачи повышения достоверности принятия решения адаптивной экспертной системой 88
1.8. Выводы 92
Глава 2. Разработка математической модели представления знаний на основе семантической векторной структуры 95
2.1. Описание математической модели 95
2.2. Представление знаний в семантической векторной структуре 95
2.3. Применение аппарата нечеткой логики для вывода в семантической векторной структуре 98
2.3.1. Отношения между элементами нечеткой семантической векторной структуры 99
2.3.2. Вывод в нечеткой семантической векторной структуре 100
2.3.3. Анализ границ применимости нечеткой семантической векторной структуры при решении задачи обнаружения компьютерных атак 104
2.4. Теорема об аппроксимирующих свойствах нечеткой семантической векторной структуры 107
2.5. Выводы 117
Глава 3. Разработка метода обучения нечеткой семантической векторной структуры 119
3.1. Постановка задачи обучения нечеткой семантической векторной структуры 119
3.2. Разработка градиентного метода определения взаимного расположения входных термов 119
3.2.1. Общие положения 120
стр
3.2.2. Метод наискорейшего спуска 122
3.2.3. Применение метода переменной метрики 126
3.3. Разработка метода коррекции координат терма в пространстве представления знаний 128
3.3.1. Метод направляющего вектора 129
3.3.2. Метод градиента по координатам терма 130
3.3.3. Принцип суперпозиции коррекции 131
3.4. Разработка метода коррекции параметров функций принадлежности термов 132
3.5. Подбор коэффициента обучения 135
3.5.1. Безградиентный метод 137
3.5.2. Градиентный метод 138
3.6. Выводы 139
Глава 4. Разработка метода априорной оценки качества аппроксимирующих структур 142
4.1. Общие положения 142
4.2. Оценка количества информации в функциональной зависимости методом временного анализа 143
4.3. Оценка количества информации в функциональной зависимости методом спектрального анализа 144
4.4. Проблема применения метода к линейной композиции функций 148
4.5. Применение разработанного метода 149
4.6. Экспериментальная проверка предложенного метода 150
4.6.1. Эксперимент №1 151
4.6.2. Эксперимент №2 152
4.6.3. Эксперимент №3 153
4.7. Разработка нейронной сети с базисными функциями Фурье для использования в методе оценки количества информации 155
4.7.1. Разработка нейронной сети с базисными функциями Фурье 155
4.7.2. Обучение нейронной сети с базисными функциями Фурье 157
4.7.3. Исследование нейронной сети с базисными функциями Фурье 158
4.8. Выводы 161
Глава 5. Разработка метода извлечения знаний 164
5.1. Разработка метода извлечения знаний из семантически непрозрачных аппроксимирующих структур 164
5.2. Разработка метода извлечения знаний, накопленных в процессе обучения семантической векторной структуры 166
5.2.1. Упрощение нечеткой семантической векторной структуры 166
5.2.2. Наделение семантикой оставшихся после упрощения структурных элементов 168
5.2.3. Автоматизированное формирование вербального
представления извлеченных знаний 170
5.3. Выводы 172
Глава 6. Экспериментальное исследование аппроксимирующих свойств семантической векторной структуры 175
6.1. Постановка задачи для выполнения эксперимента для исследования аппроксимирующих свойств семантической векторной структуры 175
6.2. Описание эксперимента №1 «Сравнительный анализ аппроксимирующих свойств семантической векторной структуры и искусственной нейронной сети» 177
6.2.1. Моделирование работы семантической векторной структуры 177
6.2.2. Моделирование работы искусственной нейронной сети 181
6.2.3. Выводы по результатам эксперимента 182
6.3. Описание эксперимента №2 «Анализ возможности упрощения семантической векторной структуры» 183
6.3.1. Выполнение эксперимента 184
6.3.2. Выводы по результатам эксперимента 187
6.4. Выводы 188
Глава 7. Экспериментальное исследование применения семантической векторной структуры для формирования модели штатного поведения системы 191
7.1. Разработка подхода к формированию модели штатного поведения системы... 191
7.2. Экспериментальное формирование и исследование модели штатного поведения системы на базе нечеткой семантической векторной структуры 194
7.2.1. Описание эксперимента 194
7.2.2. Работа аппроксиматора в режиме обучения 195
7.2.3. Извлечение накопленных в процессе обучения знаний 197
7.3. Выводы 206
Глава 8. Разработка системы обнаружения компьютерных атак на базе технологии выявления аномальной деятельности 209
8.1. Структурная схема системы обнаружения компьютерных атак 209
8.1.1. Агентский модуль системы обнаружения компьютерных атак 211
8.1.2. Серверный модуль системы обнаружения компьютерных атак 218
8.1.3. Решатель системы обнаружения компьютерных атак 219
8.1.4. Компоненты реагирования системы обнаружения компьютерных атак 228
8.2. Объектная модель решателя системы обнаружения компьютерных атак 231
8.3. Выбор аппроксимирующей структуры для представления знаний в базе знаний системы обнаружения компьютерных атак 234
8.4. Экспериментальное исследование работы механизмов выявления аномальной деятельности системы обнаружения компьютерных атак 236
8.5. Выводы 238
Выводы и заключение 240
Список литературы
- Анализ современных адаптивных экспертных систем на примере системы обнаружения компьютерных атак
- Применение аппарата нечеткой логики для вывода в семантической векторной структуре
- Разработка градиентного метода определения взаимного расположения входных термов
- Оценка количества информации в функциональной зависимости методом спектрального анализа
Введение к работе
Актуальность работы. Прогрессирующее влияние
информационных технологий практически на все сферы жизнедеятельности современного общества свидетельствует о том, что принятие все более и более ответственных решений возлагается на автоматические системы принятия решения, в основе которых лежат экспертные системы. Ввиду того, что исследуемые предметные области, как правило, плохо структурированы, а решаемые задачи зачастую не поддаются формализации в явном виде, экспертные системы проектируются с учетом необходимости автономной обработки поступающей информации и преобразования ее в знания в базах знаний для выявления закономерностей. Таким образом, корректность и актуальность накопленных экспертной системой знаний определяют, в конечном счете, адекватность ее работы, а задача повышения достоверности принятия решения адаптивной экспертной системой является актуальной.
Одной из современных областей применения адаптивных экспертных систем являются программные средства защиты программных систем, например, системы обнаружения компьютерных атак на программные системы. В настоящее время разработано большое количество средств выявления компьютерных атак, различающихся по эффективности и области применения. Однако практически все эти средства разработаны зарубежными производителями и не могут быть напрямую использованы при создании отечественной системы обнаружения компьютерных атак.
Создание отечественной системы предупреждения и обнаружения компьютерных атак, обладающей достаточной эффективностью и уровнем доверенности, выделено как одно из приоритетных направлений государственной политики Российской
8 Федерации в области информационной безопасности. Об этом свидетельствует утвержденная в 2004 году Секретарем Совета Безопасности Российской Федерации «Концепция создания системы предупреждения и обнаружения компьютерных атак на критически важные сегменты информационной инфраструктуры Российской Федерации», разработанная межведомственной рабочей группой при ФСБ России.
Одной из наиболее перспективных, но наименее проработанных технологий обнаружения компьютерных атак является технология обнаружения аномального поведения (anomaly detection), которая формирует и использует модели штатного поведения объектов контролируемой программной системы, интерпретируя отклонение от штатного поведения как потенциальное нарушение защиты. Главное достоинство систем обнаружения аномального поведения состоит в том, что они могут выявлять ранее неизвестные компьютерные атаки, но это достоинство сводится на «нет» большим количеством ложных тревог.
Основной проблемой использования технологии обнаружения аномального поведения является необходимость построения модели штатного поведения объекта, что представляется трудно формализуемой и емкой задачей. В настоящее время эта проблема решается применением искусственных нейронных сетей, которые не дают объяснения сделанному выводу о наличии или отсутствии компьютерной атаки и не предоставляют эксперту механизмов контроля ее полноты и непротиворечивости, и, как следствие - низкая достоверность обнаружения компьютерных атак. Это существенно ограничивает применение технологии выявления аномальной деятельности в современных системах обнаружения компьютерных атак.
Таким образом, разработка адаптивной модели представления знаний в базе знаний экспертной системы и метода извлечения
9 знаний, накопленных в процессе ее обучения, имеет существенное практическое значение и решает важную научную задачу повышения достоверности принятия решения адаптивной экспертной системой.
Цель работы. Повышение достоверности принятия решения адаптивной экспертной системой на примере системы обнаружения компьютерных атак на программные системы.
Общая научная задача. Обеспечение адаптивного представления информации в базе знаний экспертной системы с возможностью извлечения накопленных в процессе обучения знаний.
Для достижения поставленной задачи выполнено:
анализ современных способов представления знаний, методов формирования баз знаний и их применения для построения адаптивных экспертных систем;
разработка и исследование адаптивной модели представления знаний на основе нечеткой семантической векторной структуры и доказательство теоремы об ее аппроксимирующих свойствах;
разработка, реализация и экспериментальная проверка метода обучения нечеткой семантической векторной структуры;
разработка, реализация и экспериментальная проверка метода извлечения знаний, накопленных в процессе обучения адаптивной модели представления знаний;
разработка, исследование и экспериментальная проверка метода априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний.
Предметом исследования являются вопросы обработки и преобразования информации в знания для накопления их в базах знаний адаптивных экспертных систем для выявления закономерностей и расширения интеллектуальных возможностей программных средств защиты программных систем на примере системы обнаружения компьютерных атак.
10 Методы исследования. Теоретические исследования проведены
с использованием методов теории информации, общей теории
оптимизации, теории вероятностей, математического анализа
и теории систем искусственного интеллекта. Экспериментальная
часть работы основана на численных методах машинного
моделирования и вычислительного эксперимента с использованием
языков программирования высокого уровня и системы
математического моделирования MATLAB.
Достоверность научных положений, выводов и практических
рекомендаций подтверждается полнотой и корректностью исходных
посылок, теоретическим обоснованием, основанным
на использовании строгого математического аппарата, практически полным совпадением теоретических результатов с результатами проведенных экспериментов и внедрением полученных результатов.
Научная новизна работы заключается в следующем:
предложена новая адаптивная модель представления знаний в базах знаний экспертных систем и разработан алгоритм ее обучения;
разработан метод извлечения знаний, накопленных в процессе обучения адаптивной модели представления знаний, в формат доступный для анализа человеком-экспертом;
предложен метод априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний;
предложен новый подход к формированию модели штатного поведения программной системы на основе совокупности правил, описывающих зависимости между основными параметрами функционирования системы, и проработаны вопросы его применения для обнаружения компьютерных атак на программные системы.
Практическая ценность. Разработанная автором нечеткая семантическая векторная структура позволяет представлять знания в базах знаний адаптивных экспертных систем. Практическая
применимость разработанной адаптивной модели основана на доказанной автором теореме об ее аппроксимирующих свойствах.
Предложенный подход к извлечению знаний из семантически непрозрачных аппроксимирующих структур позволит перевести существующие адаптивные экспертные системы, использующие математический аппарат искусственных нейронных сетей и др., на работу с системами принятия решения с прозрачной логикой, а также совместно использовать математический аппарат искусственных нейронных систем и систем принятия решения с прозрачной логикой. В последнем случае искусственные нейронные сети можно использовать для быстрого и эффективного формирования модели объекта предметной области, а систему принятия решения с прозрачной логикой для формализации накопленных нейронной сетью знаний в вид, понятный эксперту.
Разработанный автором метод априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний позволяет проводить сравнительных анализ аппроксимирующих структур в принципиально иной плоскости, рассматривая качество аппроксимации, как математическое свойство, которое может быть оценено количественно без предварительного моделирования (тестового обучения) аппроксиматора.
Особенность разработанного метода состоит в том, что в качестве оцениваемой величины выступает количество информации, которое может быть представлено аппроксимирующей структурой, а не ошибка аппроксимации конкретной функциональной зависимости. Такой подход делает оценку инвариантной относительно метода обучения аппроксиматора, а следовательно, позволяет говорить о существовании предельных аппроксимирующих характеристик и оптимальных методов обучения, исследование которых выделяется автором, как предмет дальнейших исследований.
12 Отсутствие в настоящее время известных методов априорной
оценки аппроксимирующих свойств адаптивных моделей
представления знаний, определяет практическую значимость
разработанного и реализованного метода оценки.
Кроме того, практическую значимость работы определяет
следующее:
-разработан и реализован в виде программного продукта универсальный аппроксиматор на базе нечеткой семантической векторной структуры (свидетельство Роспатента № 2006611864);
-разработан язык представления знаний в терминах нечетких множеств и его интерпретатор FuzzyKernel (свидетельство Роспатента №2005611660);
-создан программный компонент адаптивной настройки параметров изображения для системы охранного телевидения (свидетельство Роспатента №2005611007, патент Российской Федерации на изобретение № 2282313).
Разработанные программные продукты могут быть применены при построении адаптивной экспертной системы, в том числе при создании программной системы обнаружения компьютерных атак на программные системы.
Результаты диссертационной работы реализованы и внедрены в ряде продуктов, разработанных в интересах Минобороны Российской Федерации (имеются соответствующие акты о внедрении).
Основные положения и результаты, выносимые на защиту:
адаптивная модель представления знаний в базе знаний экспертной системы и метод ее обучения;
метод извлечения знаний, накопленных в процессе обучения адаптивных моделей представления знаний;
метод априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний;
13 4. подход к формированию модели штатного поведения
программной системы на основе совокупности правил, описывающих
зависимости между основными параметрами функционирования
системы.
Личный вклад автора. Все основные научные результаты, математическая модель представления знаний, метод ее обучения, метод оценки качества представления информации аппроксимирующими структурами, разработанные на их основе алгоритмы и программные средства, экспериментальные исследования, приведенные в диссертации, получены автором лично.
Структура и объем работы. Диссертация состоит из введения, 8 глав и заключения, изложенных на 254 страницах машинописного текста, иллюстрированного графиками и рисунками, библиографии, включающей 133 наименования.
Апробация результатов работы. По результатам диссертационных исследований опубликовано 15 печатных работ. Среди них 8 статей, 2 труда в материалах конференций, 1 патент на изобретение, 4 свидетельства об официальной регистрации программ для ЭВМ.
Основные положения диссертационной работы докладывались и обсуждались:
на XI конференции-выставке «Достижения и перспективы военной информатизации» - «Модуль-2006» (27 ЦНИИ Министерства Обороны РФ);
на XV общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации»;
на научно-техническом совете Всероссийского научно-исследовательского института автоматизации управления в непромышленной сфере им. В.В. Соломатина (ОАО «ВНИИНС»).
Структура диссертационной работы. В первой главе «Анализ
14 предметной области и постановка задачи» выполняется анализ
применения аппроксимирующих структур для представления
информации в базах знаний адаптивных экспертных систем.
Выполняется анализ основных проблем повышения достоверности
принятия решения адаптивными экспертными системами. Выделяется
три направления исследований:
разработка адаптивной модели представления информации в базе знаний экспертной системы;
разработка метода оценки аппроксимирующих свойств адаптивных моделей представления знаний для выполнения обоснованного выбора аппроксимирующей структуры при построении базы знаний адаптивной экспертной системы;
разработка метода извлечения знаний, накопленных в базе знаний адаптивной экспертной системы в процессе ее обучения.
Выполняется постановка задачи повышения достоверности принятия решения адаптивной экспертной системы.
Рассматривается практическое использование адаптивных экспертных систем для построения программных средств защиты программных систем на примере системы обнаружения компьютерных атак. Выполняется анализ современных систем обнаружения компьютерных атак. Рассматривается типовая архитектура распределенной системы обнаружения компьютерных атак, методика и критерии сравнения систем обнаружения компьютерных атак. Приводится сравнительный анализ современных систем обнаружения компьютерных атак в соответствии с рассмотренной методикой и критериями сравнения. Задача повышения достоверности обнаружения компьютерных атак представляется как задача повышения достоверности принятия решения адаптивной экспертной системой, на основе которой строится система обнаружения компьютерных атак.
15 Во второй главе «Разработка математической модели
представления знаний на основе семантической векторной структуры»
введено понятие семантической векторной структуры, в которой все
объекты предметной области описываются векторами в некотором
пространстве представления.
Введено понятие нечеткой семантической векторной структуры. Нечеткой семантической векторной структурой названа такая семантическая векторная структура, в которой для связи векторов с объектами предметной области и осуществления вывода используется математический аппарат нечеткой логики.
Выполнен анализ возможности использования математического аппарата нечеткой логики для осуществления вывода в нечеткой семантической векторной структуре. Определено понятие нечеткого отношения между элементами нечеткой семантической векторной структуры, введена функция отношения и разработаны требования к ней. Сформулирована теорема об аппроксимирующих свойствах нечеткой семантической векторной структуры. В основу ее доказательства положена теорема об универсальном аппроксиматоре Стоуна-Вейерштрасса.
Разработанная нечеткая семантическая векторная структура может быть применена для построения базы знаний адаптивной экспертной системы, в том числе системы обнаружения компьютерных атак, основанной на технологии выявления аномальной деятельности.
В третьей главе «Разработка метода обучения нечеткой семантической векторной структуры» выполнена постановка задачи обучения нечеткой семантической векторной структуры, как задача определения значений ее управляемых параметров (параметры Гауссовых функций принадлежности термов и координаты векторов, задающих термы в пространстве представления знаний).
Предложено использование градиентных методов, которые в теории оптимизации считаются наиболее эффективными, для размещения множества термов в некотором пространстве представления знаний.
Получены выражения для определения градиента поверхности ошибок по всем управляемым параметрам нечеткой семантической векторной структуры. Это позволило получить аналитическое описание метода наискорейшего спуска применительно к решению задачи обучения нечеткой семантической векторной структуры.
В четвертой главе «Разработка метода априорной оценки качества аппроксимирующих структур» для решения задачи априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний применены основные понятия теории информации. В качестве численной оценки предложено использовать энтропию нормированного частотного спектра параметризированной функциональной зависимости, реализующей исследуемый аппроксиматор.
Предложено два подхода к выполнению априорной оценки аппроксимирующих свойств: временно анализ и спектральный анализ. Для обеспечения возможности практического применения разработанного метода доказан ряд вспомогательных теорем о том, что количество информации, заключенное в функциональной зависимости одинаково для семейства функций, полученного из некоторой исходной функции путем ее масштабирования или растяжения (сжатия). Выделены аспекты практического применения разработанного метода априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний.
Выполнена разработка искусственной нейронной сети с базисными функциями Фурье для решения задачи определения
17 спектра частично известной функциональной зависимости
для его использования в методе априорной оценки количества
информации. Проведена разработка ее архитектуры и предложен
алгоритм обучения на основе традиционных градиентных методов
обучения искусственных нейронных сетей.
В пятой главе «Разработка метода извлечения знаний» разработан метод извлечения знаний из семантически непрозрачных аппроксимирующих структур, основанный на промежуточном обучении аппроксимирующей структуры, обеспечивающей механизмы извлечения знаний. Обучение промежуточной структуры выполняется на основе откликов семантически непрозрачной исследуемой аппроксимирующей структуры.
Разработан метод извлечения знаний из семантически прозрачных аппроксимирующих структур. Универсальный алгоритм извлечения знаний из семантически прозрачных аппроксимирующих структур предполагает выполнение упрощения аппроксимирующей структуры и наделение семантикой оставшихся структурных элементов. Предложенный алгоритм конкретизирован для нечеткой семантической векторной структуры.
Разработана методика представления извлеченных из нечеткой семантической векторной структуры знаний в виде программы для интерпретатора FuzzyKernel (авторское свидетельство об официальной регистрации программы для ЭВМ №2005611660 от 4 июля 2005 года).
Разработанный метод может быть применен для извлечения знаний, накопленных в процессе обучения адаптивных экспертных систем, в том числе для решения задачи вербального представления модели штатного поведения системы, сформированной системой обнаружения компьютерных атак на базе технологии выявления аномальной деятельности.
В шестой главе «Экспериментальное исследование аппроксимирующих свойств семантической векторной структуры» описана серия экспериментов с использованием программы UniAPP (авторское свидетельство об официальной регистрации программы для ЭВМ № 2006611864 от 31 мая 2006 года).
В седьмой главе «Экспериментальное исследование применения семантической векторной структуры для формирования модели штатного поведения системы» предложен принципиально новый подход к формированию модели штатного поведения системы, где в качестве модели используется множество характерных зависимостей между параметрами функционирования системы, например, зависимость между количеством включенных рабочих станций и интенсивностью сетевого трафика. Если реальная обстановка отличается от выявленной зависимости более чем на заданную величину, то состояние системы следует считать аномальным. Предложен перечень типовых зависимостей между параметрами функционирования системы для использования их при построении модели штатного функционирования.
Выполнено экспериментальное моделирование предложенного подхода к формированию модели штатного поведения.
В восьмой главе «Разработка системы обнаружения компьютерных атак на базе технологии выявления аномальной деятельности» описана разработка системы обнаружения компьютерных атак на базе технологии выявления аномальной деятельности. Разработанная система обнаружения компьютерных атак успешно прошла государственные и межведомственные испытания, в настоящее время проходит сертификацию на соответствие требованиям безопасности Министерства Обороны Российской Федерации.
19 Система обнаружения компьютерных атак представляет собой
многокомпонентный распределенный программный комплекс.
Объектом разработки и исследования данной работы являются
компоненты, обеспечивающие обнаружение компьютерных атак
с использованием технологии выявления аномальной деятельности.
Выбор адаптивной модели представления знаний в базе знаний системы обнаружения компьютерных атак выполнен с использованием разработанного метода априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний.
Выполнено экспериментальное исследование механизмов выявления аномальной деятельности системы обнаружения компьютерных атак.
Анализ современных адаптивных экспертных систем на примере системы обнаружения компьютерных атак
Типовая система обнаружения компьютерных атак включает в свой состав три основных компонента:
1) агентский модуль (далее по тексту, агент), который регистрирует события, критичные с точки зрения безопасности, производит их первичную обработку и передает на серверный модуль. Первичная обработка, как правило, предполагает анализ сетевого потока данных и анализ состояния локального компьютера;
2) серверный модуль (далее по тексту, сервер) обеспечивает управление всеми агентами, реализует верхний уровень анализа (на основе корреляции) обнаруженных агентами событий безопасности, принятие решений о наличии компьютерной атак на ресурсы автоматизированной системы и формирование автоматических реакций, направленных на блокирование злонамеренных действий;
3) утилита администрирования обеспечивает централизованное управление всеми компонентами системы, оповещение администратора о произошедших сбоях и обнаруженных атаках, доступ к журналам зафиксированных событий, сбоев и т.д.
В составе агента, как правило, присутствует набор сенсоров, обеспечивающих регистрацию событий, критичных с точки зрения безопасности контролируемой автоматизированной системы. Такими событиями, являются: - последовательности сетевых пакетов, отвечающих сигнатурным критериям поиска компьютерных атак; - последовательности сетевых пакетов, несвойственных (аномальных) для отслеживаемых субъектов взаимодействия; - локальные (на конкретном рабочем месте автоматизированной системы) события, фиксируемые в журналах аудита операционной системы (некорректные попытки входа в систему, несанкционированные попытки получения привилегий других пользователей и др.); - превышение потребления системных ресурсов локального компьютера (процессорное время, оперативная память, пространство на внутреннем накопителе и др.); - попытки несанкционированного обращения к объектам доступа (файлам, каталогам или устройствам) со стороны пользователей автоматизированной системы.
Для уменьшения объема трафика между агентами и сервером системы обнаружения компьютерных атак, все зарегистрированные агентами события проходят первичную обработку, в результате которой: - обнаруживаются локальные компьютерные атаки; - фильтруются события, которые неэффективны при централизованной обработке; - принимается решение о передаче на сервер событий, которые могут использоваться для обнаружения распределенных компьютерных атак (в т.ч. события об обнаружении локальных компьютерных атак, которые могут являться звеном сложной распределенной атаки).
Для обнаружения локальных компьютерных атак агент имеет в своем составе компоненты принятия решения, которые, как правило, сочетают в себе сигнатурный анализатор и эвристический (выполняет корреляцию событий, накопление и обработку статистики, использует модели и методы искусственного интеллекта).
Кроме того, агент содержит встроенные механизмы реакции на обнаруженные компьютерные атаки. Механизмы реакции, как правило, предполагают: - активизация локальных средств защиты информации (блокирование сеансов пользователей или отдельных учетных записей пользователей и др.); - активизация сетевых средств защиты автоматизированной системы (передача управляющего воздействия на межсетевой экран для блокирования сетевого трафика сетевого сегмента, из которого выполняется компьютерная атака); - оповещение администратора обеспечения безопасности информации об обнаруженной компьютерной атаке; - активизация средств детальной регистрации событий для облегчения последующего расследования инцидента.
Механизмы реакции могут включаться как локально по команде от компонентов принятия решения, так и удаленно по команде от сервера.
Серверный модуль системы обнаружения компьютерных атак имеет, как правило, структуру, схожую с агентом, за тем исключением, что: - вместо локальных сенсоров получает события от агентов; - компоненты принятия решения рассчитаны на обнаружение распределенных компьютерных атак, выявляемых за счет пространственно-временной корреляции событий, получаемых от агентов; - сервер не содержит собственных компонентов реагирования. Отработка реакции на выявленную компьютерную атаку, как правило, осуществляется агентом.
Неотъемлемой частью любой современной системы обнаружения компьютерных атак является утилита администрирования, которая предоставляет пользовательский интерфейс (как правило, графический) для управления всеми компонентами системы (конфигурация агентов и сервера, обновление базы данных сигнатур атак и др.).
Рассмотренной типовой архитектурой обладают практически все современные системы обнаружения компьютерных атак. Отличия между различными системами, как правило, заключаются в следующем: - набор сенсоров в составе агента; - реализация сигнатурных анализаторов, различающиеся эффективностью функционирования и глубиной взаимодействия с эвристическими механизмами;
Применение аппарата нечеткой логики для вывода в семантической векторной структуре
Рассмотрим процесс осуществления вывода в классической нечеткой системе [3, 27, 77, 82,128]:
1. приведение к нечеткости - фаззификация (fuzzyfication) определение истинности входных термов. В качестве функции фаззификации может использоваться, например, обобщенная функция Гаусса: -{—Г li(x) = eA } ,Р 0,СТФО; (2.3)
2. агрегирование предпосылок. Может быть осуществлено с использованием арифметического умножения: //,( ) and /л2{х) =//,(х)//2(у); (2.4)
3. нечеткая импликация (например, в форме Larsen [1, 3]) определение истинности выходных термов: //,( ) and м2(х)- М2) = Мх)М2(У)М3(2)- (2.5)
4. приведение к четкости - дефаззификация (defuzzyfication) -определение значения выходных переменных по значениям истинности группы выходных термов. Приведение к четкости может осуществляться, например, центроидным методом: п .=- —. (2.6) я 1=1 где с, - центр /-го нечеткого правила; /л, - значение истинности /-го выходного терма группы.
При осуществлении вывода в нечеткой семантической векторной структуре целесообразно учитывать только те посылки, которые находятся в определенном радиусе от оцениваемого (рассматриваемого) понятия предметной области. Для этого введем функцию отношения вида: RM = e- , (2.7) где гАВ - расстояние между понятиями предметной области А и в, вычисляемое, например, как квадрат евклидова расстояния между соответствующими векторами. В этом случае гАВ = гВА = RAB = RBA. 0-0 = 0). гДе го - радиус вокруг оцениваемого объекта предметной области (далее по тексту, радиус значимости). Чем больше г0, тем больше входных термов окажут влияние на формирование выходного значения, т.к. предложенная функция отношения имеет ненулевые значения.
В качестве функции отношения может быть выбрана и другая функция, удовлетворяющая условиям: 1. о д,д і; 2. lim RAB = 0 ИЛИ RM - 0 При гАВ г0 ] ГАВ- о 3. RAB=l при / =0.
Математические свойства предложенной функции отношения соответствуют семантическим ожиданиям относительно векторной структуры: 1. понятия тем меньше связаны друг с другом, чем дальше в пространстве представления знаний они расположены; 2. если два понятия л, и А2 равноудалены от некоторого понятия в, то они находятся с этим понятием в в одинаковых отношениях.
Таким образом, в семантической векторной структуре отношения напрямую определяются взаимным расположением понятий в некотором пространстве. Пусть имеется некоторое понятие А и близкое ему по семантике понятие в. Пусть добавляется некоторое понятие с. Это понятие автоматически находится в отношении со всеми существующими понятиями, в т.ч. А и в. Размещение понятия с в пространстве представления знаний определяется требуемыми отношениями RAC и RBC, при условии неизменности существующих отношений RAB. Неизменность существующих отношений, а следовательно, взаимная зависимость RAC=f(RBC),RBC= p(RAC), гарантируют семантическую целостность векторной структуры при введении новых понятий.
Пусть имеется семантическая векторная структура, где множество А = (A0,...AN) представляет собой множество входных термов, а в = (В0,...вм) - множество выходных термов. Предположим, что других термов в системе не существует, либо они расположены вне радиуса значимости любого из выходных термов. Входные и выходные термы находятся между собой в отношениях, определяемым функцией отношения, которая является функцией расстояния между соответствующими векторами в пространстве знаний. Для осуществления вывода необходимо определить истинность всех выходных термов.
В работах [2, 3] рассмотрен наиболее общий подход к построению нечетких операторов, который заключается в их определении в классе треугольных норм и конорм. Опишем процесс вывода в семантической векторной структуре в этих терминах.
Треугольной нормой (t-нормой) [3, 132, 133] называется двуместная действительная операция Г:[0,1]х[о,1]- [0,1], удовлетворяющая условиям
Разработка градиентного метода определения взаимного расположения входных термов
Задача определения координат векторов в пространстве представления знаний может быть формулирована, как задача размещения некоторого конечного множества термов в некотором пространстве для аппроксимации некоторой известной зависимости вход-выход.
Для размещения конечного множества термов в некотором пространстве предлагается разработать градиентный метод, аналогичный методу обратного распространения ошибки (для нейронных сетей).
Входными данными для работы алгоритма являются: 1. размерность пространства представления знаний; 2. множество термов с определенными функциями принадлежности Гаусса; 3. некоторое начальное размещение термов (векторов) в пространстве заданной размерности; 4. множество обучающих пар вида x,Y , где х - значение, подаваемое на вход системы, г- ожидаемый выход системы.
На каждом шаге работы алгоритма, определяется ошибка вычисления выхода системы, для каждого вектора вычисляется направление коррекции. Коррекция осуществляется на величину, пропорциональную вкладу данного терма в выходное значение с учетом нормы обучения.
Задачу обучения семантической векторной структуры будем рассматривать, как требование минимизировать априори определенную целевую функцию Е(г). При таком подходе можно применять для обучения алгоритмы, которые в теории оптимизации считаются наиболее эффективными. К ним относятся градиентные методы, чью основу составляет вычисление градиента целевой функции [70, 71, 72]. Они связаны с разложением целевой функции Е(г) В ряд Тейлора в ближайшей окрестности точки имеющегося решения г. В случае целевой функции от многих переменных (г = [r0,...,rj), такое представление связывается с окрестностью ранее определенной точки в направлении Дг. Подобное разложение описывается универсальной формулой вида [12,111]: E(r + Ar) = E(r) + [g(r)JAr+-ArTH(w)Ar + ..., ГДЄ (3.1) g(r) = VE дЕ_ діТ вектор градиента; производных второго порядка, называемая гессианом [12].
В представленном выражении Дг играет роль направляющего вектора, зависящего от фактических значений вектора г. На практике чаще всего рассчитываются три первых члена ряда, а последующие игнорируются. При этом зависимость можно считать квадратичным приближением целевой функции Е(г) в ближайшей окрестности найденной точки г с точностью, равной локальной погрешности отсеченной части 0(h3), где А = г. Для упрощения описания значения переменных, полученные в к-м, будем записывать с верхним индексом к. Точкой решения г=г(к) будем считать точку, в которой достигается минимум целевой функции Е(г) и g(rw) = o, а гессиан н(гт) является положительно определенным [110]. При выполнении этих условий функция в любой точке, лежащей в окрестности г(к), имеет значение большее, чем в точке г{к), поэтому точка г(к) является решением, соответствующим критерию минимизации целевой функции.
В процессе поиска минимального значения целевой функции направление поиска Дг и шаг ц подбираются таким образом, чтобы для каждой очередной точки rik+v = r(k)+7jik)Arm выполнялось условие Е(г(Ш)) Е(г(к)). Поиск минимума продолжается, пока норма градиента не упадет ниже априори заданного значения допустимой погрешности либо пока не будет превышено максимальное время вычислений (количество итераций) [11,12,116].
Универсальный оптимизационный алгоритм обучения семантической векторной структуры можно представить в следующем виде [12] (будем считать, что начальное значение оптимизируемого вектора известно и составляет г=гт): 1. проверка сходимости и оптимальности текущего решения r(i). Если точка г(к) отвечает градиентным условиям остановки процесса -завершение вычислений. В противном случае перейти к п.2; 2. определение вектора направления оптимизации Аг(к) для точки г(к); 3. выбор величины шага tjlk) в направлении Дг( \ при котором ВЫПОЛНЯеТСЯ уСЛОВИе E(r(k) + rj{k)Arik)) E(r{k)); 4. определение нового решения г(Ш)=г(к)+?](к)Аг(к), а также соответствующих ему значений (г( +,)) и g(r(k)), если требуется, то и H(rw). Возврат к п.1.
Оценка количества информации в функциональной зависимости методом спектрального анализа
Для проведения спектрального анализа количества информации в функциональной зависимости f(x) необходимо выполнение следующей последовательности действий: 1. определить верхнюю граничную частоту сов функциональной зависимости /( ); 2. выбрать частоту дискретизации функциональной зависимости ад. В СООТВеТСТВИИ С ТЄОрЄМОЙ КотеЛЬНИКОВЭ [18] 0)д 2ов, для определенности о)д=2й)в. Фактически, сод определяет шаг дискретизации Ах функциональной зависимости /( ), при котором данная зависимость может быть восстановлена со сколь угодно высокой точностью как сумма ряда [18]: „TL o)e(t-nAx) 3. выполнить дискретизацию исходной зависимости Дх) с шагом Ас и получить дискретную функцию f(n),n=0,N; 4. представить/(и) в частотной области (возможны другие представления, отражающие внутреннюю структуру функциональной зависимости; частотное представление выбрано потому, что математический аппарат для работы с ним достаточно хорошо проработан):
Таким образом, р(к) отражает распределение исследуемой функциональной зависимости по выбранным структурным элементам (в случае преобразования Фурье такими структурными элементами являются гармоники) и обеспечивается условие нормировки, которое обеспечивает инвариантность метода относительно сжатия и растяжения исходной функциональной зависимости во временной области (рассмотрено далее): 2 ( ) = i; (4.6) 6. вычислить количество информации, содержащееся в функциональной зависимости, как if(x)= -р(0logP(J). Величина im /=0 в теории информации называется энтропией и представляет собой численную характеристику степени упорядоченности (неопределенности) системы (в данном случае, функциональной зависимости). Таким образом, если функциональная зависимость представлена только одним структурным элементом (гармоникой), то ее энтропия будет равна нулю. Максимальное значение энтропия достигает при V/:о / iv = /?(/)=— [16].
По семантике оцениваемой количественной характеристики количества информации, заключенной в функциональной зависимости, этот объем должен быть одинаков для семейства функций, полученного из некоторой исходной функции путем ее масштабирования или растяжения (сжатия).
Таким образом, имеется функция /( ), для которой вычислено количество информации 1Дх). Метод должен обеспечивать равенство Im = IH )=Ibf(x), гДе а ь - произвольные вещественные константы, отличные от нуля.
Теорема 1. Количество информации, заключенное в функциональной зависимости f(x), и количество информации, заключенное в функциональной зависимости bf(x), равны (ь -произвольная вещественная константа, отличная от нуля).
В соответствии со свойством преобразования Фурье [18] частотный спектр ь/(х) определяется как bF(w). Нормирование спектра p{w) перед вычислением энтропии делает ее инвариантной относительно операции масштабирования. Что и требовалось доказать.
Теорема 2. Количество информации, заключенное в функциональной зависимости f{x), и количество информации, заключенное в функциональной зависимости Дох), равны (а -произвольная вещественная константа, отличная от нуля).
В соответствии со свойством масштабируемости преобразования Фурье [18] частотный спектр Дах) определяется как т.е., если имеется растяжение по оси во временном a \aj
представлении а \, то это ведет к сжатию по оси частот с пропорциональным изменением амплитудных характеристик и наоборот, т.е. имеет место закон сохранения энергии функции.
Влияние изменения амплитудных характеристик исключается за счет нормирования спектра перед вычислением энтропии.
Сжатие (или растяжение) по оси частот пропорционально изменяет верхнюю граничную частоту спектра а,, что в свою очередь пропорционально изменяет значение частоты дискретизации сод непрерывной функции. В соответствии с теоремой Котельникова од 2сов, например, сод = 2сов. Это означает, что для восстановления непрерывной функции, растянутой по временной оси, с произвольной точностью необходимо такое же количество дискретных отсчетов, как и для исходной непрерывной функции, но отсчеты должны браться С шаГОМ аАх.
Это означает, что при выполнении дискретного преобразования Фурье в качестве исходных данных для растянутой и исходной функций будут использоваться одни и те же данные, что гарантирует инвариантность относительно растяжения (или сжатия) функции во временной области. Что и требовалось доказать.
