Решение задачи классификации при
мониторинге уязвимостей автоматизированных систем
Андрианов
Владимир Игоревич,
кандидат технических наук, доцент
Санкт-Петербургского государственного университета телекоммуникаций им. проф.
М. А. Бонч-Бруевича,
Крылов
Александр Изотович,
аспирант Санкт-Петербургского
государственного университета информационных технологий, механики и оптики.
Классификация и
кластеризация являются основными задачами, решаемыми интеллектуальными
средствами обеспечения безопасности защищаемой автоматизированной системы в
условиях возрастания угроз, так как необходим постоянный мониторинг ее уязвимостей
и множества угроз [1, 2].
Известные средства
обеспечения информационной безопасности, такие как: детекторы уязвимостей,
детекторы вторжений, антивирусное программное обеспечение, межсетевые экраны,
в обязательном порядке решают два типа задач. В простейшем случае – задачу классификации
входных событий [3, 4], то есть отнесения входных векторов к классу опасных или
безопасных, а в случае необходимости расширения классификационных групп входных
событий - задачу кластеризации [5, 6].
Экспертная система
как специализированная информационная система предназначена для решения
классификационных задач, в узкой предметной области, исходя из базы знаний сформированной
путем опроса квалифицированных специалистов и представленной системой
классификационных правил If
(Условие) – Then(Следствие) [7, 8].
В системах
обеспечения безопасности автоматизированных систем экспертные системы используются
в интеллектуальных системах защиты информации на основе модели Деннинга [9] и содержат в базах данных описание
классификационных правил, соответствующих профилям легальных пользователей автоматизированной
системы и сценариям атак на информационную систему.
К недостаткам
экспертных систем, как средств классификации, относят
[8]:
1)
«Непрозрачность»
связей между отдельными правилами в базе знаний. Хотя отдельные правила
относительно просты и логически «прозрачны», наглядность их логической
взаимосвязи в пределах базы знаний может быть достаточно низкой. То есть,
непросто определить противоречивые правила в базе знаний и их роль в решении
общей классификационной задачи.
2)
Неэффективную
стратегию поиска. Экспертные системы с большой базой знаний могут оказаться
недостаточно производительными для решения оперативных задач обеспечения
безопасности автоматизированной системы в реальном масштабе времени.
3)
Отсутствие
возможности адаптации. Экспертные системы не обладают способностью к автоматическому
обучению, то есть не могут автоматически изменять базу знаний, корректировать
существующие правила или добавлять новые правила If (Условие) – Then (Следствие).
Методы
недостоверного управления и вероятностных рассуждений применяются в экспертных
системах не только для формулирования классификационных заключений в соответствии
с правилами If (Условие)
– Then
(Следствие), но и
формирования оценок достоверности проведенной классификации в виде значений
фактора уверенности или условной вероятности возникновения классифицируемого
события.
Возможность оценки
достоверности предсказания является достоинством метода вероятностных рассуждений
Байеса, так как базируется на строгом математическом аппарате теории
вероятностей [10].
Практическая
значимость метода факторов уверенности для решения задачи классификации подтверждена
разработкой ряда экспертных систем [11]. Последний подход к классификации более
приемлем с точки зрения вычислительной эффективности, так как не требует
наличия больших объемов статистических данных и сложных расчетов условных вероятностей
при большой размерности пространства входных посылок [8].
Во всех системах
защиты информации автоматизированных систем, основанных на применении
экспертных системах, может успешно применяться подход формирования и поддержки
классификационной базы знаний в соответствии с методами недостоверного
управления и вероятностных рассуждений.
Численная оценка
классификационных заключений особенно важна в условиях неполноты и низкой
достоверности входных признаков, используемых в качестве посылок большинством
существующих систем классификации вторжений в автоматизированную систему.
Нечеткая
классификация является дальнейшим развитием подхода к решению экспертными системами
задач классификации. Достоинство нечеткой классификации – возможность
формулировать достоверные классификационные заключения исходя из неполных и не
вполне достоверных входных посылок.
При сохранении
математического аппарата, разработанного для систем четкой логики, в нечетких
логических системах решена задача преобразования численной и качественной информации
в степень принадлежности значений конкретным нечетким множествам. Нечеткие
множества описываются посредством функций принадлежности, ставящих в соответствие
множеству значений из области определения непрерывной переменной множество значений
истинности из интервала [0, 1].
Этапы нечеткого
логического вывода непосредственно связаны с процессом формирования классификационных
заключений [8]:
Первый этап -
введения нечеткости связан с преобразованием посредством входных функций принадлежности
каждого из четких входных значений , где n – число входных значений классификатора, в
степень истинности соответствующей посылки для каждого из
классификационных правил;
Второй этап - нечеткого
логического вывода соответствует формированию заключения (соответствующие
нечеткие подмножества) по каждому из правил , где m – количество классификационных правил, исходя из степени истинности
посылок ;
Третий этап -
композиции нечетких подмножеств по каждому из правил посредством
выходных функций принадлежности, с целью формирования нечетких подмножеств классификационных заключений , где p – число выходов классификатора;
Четвертый этап - объединение
нечетких подмножеств и приведение к
четкости, который приводит к формированию выходного четкого значения y.
Нечеткие
логические системы сохраняют в своем составе базу знаний квалифицированных
специалистов информационной безопасности в виде системы правил If (Условие) – Then (Следствие), однако, расширяют область применения
экспертных систем за счет решения задачи классификации исходя из неполной и не
вполне достоверной информации.
Системы нечеткой
логики обладают ограниченными возможностями к адаптации, так как могут
обучаться путем изменения параметров функций принадлежности под реальные
значения входных данных и желаемых классификационных заключений. Стоит
отметить, что процесс обучения функций принадлежности нечеткой экспертной
системы с достаточно большой базой знаний (свыше 100 правил) трудоемкий и
требует значительных затрат времени [8].
Нейронные сети наиболее часто используют для решения задач
классификации [12]. Доказано, что нейронная сеть является универсальным аппроксиматором, то есть любая функция представима в виде
многослойной нейронной сети из формальных нейронов с нелинейной функцией
активации. Формально подтверждена верхняя граница сложности нейронной сети,
реализующей произвольную непрерывную функцию от нескольких аргументов.
Нейронной сетью с одним скрытым слоем и прямыми полными связями можно
представить любую непрерывную функцию, для чего достаточно, в случае n-мерного
входного вектора 2n+1, одного скрытого слоя формальных нейронов с
заранее оговоренными ограниченными функциями активации.
Большинство способов применения нейросетевых
средств для обеспечения безопасности автоматизированных
систем связано с решением задач классификации и кластеризации, и только
нейронные сети обдают свойством самоорганизации, что позволяет их использовать
для решения задачи кластеризации [12].
Возможность самоорганизации рассматривается
как одно из наиболее важных качеств нейросетевых
систем защиты информации, которое позволяет адаптироваться к изменению входной
информации. Обучающим фактором выступают присутствующие в данных скрытые
закономерности и избыточность входной информации. Информационная избыточность позволяет
фиксировать в информационном поле нейронной сети входные данные, представляя их
в более компактной форме. Уменьшение степени избыточности информации, в адаптивных
системах защиты информации, позволяет выделять существенные независимые признаки
в данных.
Самоорганизация нейронной сети реализуется за
счет механизма кластеризации: подобные входные данные группируются нейронной
сетью в соответствии с взаимной корреляцией и представляются конкретным
формальным нейроном-прототипом. Нейронная сеть, осуществляя кластеризацию
нечетких данных, находит такие усредненные по кластеру значения весов
формальных нейронов-прототипов, которые минимизируют ошибку представления
сгруппированных в кластер данных.
Рассмотренные механизмы классификации и
кластеризации входных данных в системах защиты информации позволяют не только
относить классифицируемый объект (вектор входных данных) к одному из известных
классов, но и реализовать эволюционные процессы самоорганизации, адаптации,
развития в интеллектуальных средствах обеспечения информационной безопасности
автоматизированных систем. Причем, лучшие функциональные характеристики получаются
при сочетании различных интеллектуальных средств в гибридной
системе защиты информации [12].
Литература
1.
Пантелеев С. В. Решение задач идентификации
динамических объектов с использованием нейронных сетей // Сб. докл. VI
Международной конф. SCM’2003. – СПб.: СПб
ГЭТУ, 2003. т. 1. С. 334-336.
2.
Суханов А.В. Автоматизированные средства
анализа защищенности информационных систем. // Журнал научных публикаций аспирантов и докторантов,
2008, № 5. С. 137-141.
3.
Степашкин М. В., Котенко И. В. Классификация
атак на Web-сервер // VIII СПб междунар. конф. Региональная информатика-2002. - СПб. 2002. Ч. 1.
4.
Котенко И. В, Степашкин М. В.
Интеллектуальная система моделирования атак на web-сервер для анализа
уязвимостей компьютерных систем // Сб. докл.
VI Международной конф. по
мягким вычислениям и измерениям SCM’2003. – СПб.: СПб ГЭТУ, 2003. т. 1. С. 298 – 301.
5.
Головин Р. А., Платонов В. В. Data-mining для обнаружения вторжений.
Кластерный анализ информации // Информационная безопасность регионов России
(ИБРР-2005): Материалы IV Санкт-Петербургской
межрегиональной конференции, 14 - 16 июня
6.
Дорогов
А. Ю. Курбанов Р. Г. Шестопалов М. Ю. Нечеткая кластеризация многомерных данных
в выборках большого объема // SCM’2005: Сборник докладов Международной
конференции по мягким вычислениям и измерениям 27-29 июня
7.
Bishop C. M. Neural Networks
for Pattern Recognition,
8.
Суханов А.В. Организация средств защиты на основе аналогии с
биосистемами // Журнал научных публикаций аспирантов и докторантов, 2008, № 6.
С. 114-119.
9.
Denning
D. E. An intrusion detection model // IEEE Trans. on Software Engineering,
1987, SE-13. P. 222–232.
10.
Challa S., Pulford G. W. Joint Target Tracking and
Classification Using Radar and ESM Sensors. IEEE Transactions on Aerospace and
Electronic Systems vol. 37, NO. 3, 2001, p 1039 – 1055.
11.
Shortliffe E.H. MYCIN: Computer-Based Medical Consultations. – NY.: Elsevier
Press. 1976.
12.
Суханов А.В. Разработка теоретических основ и методологии мониторинга
безопасности информационных систем для критических схем применениям //
Диссертация на соискание ученой степени доктора технических наук, СПб, 2010, С.
368.
Поступила в редакцию 30.08.2010 г.