Моделирование нейросетевых классификаторов средств мониторинга безопасности
Андронов Алексей Викторович,
аспирант Санкт-Петербургского национального научно-исследовательского университета информационных технологий, механики и оптики.
Методология мониторинга безопасности (МБ) информационных систем (ИС) на основе модели адаптивной защиты базируется на принципах подобия архитектуры и механизмов защиты (МЗ) ИС архитектуре и МЗ биологических систем. Принципы подобия нашли отражение в иерархической адаптивной модели средств МБ, основу которой составляют адаптивные уровни классифкаторов, объединившие достоинства нейронных сетей (НС), систем нечеткой логики (НЛ), экспертных систем (ЭС). Для верификации адаптивных классификаторов разработана инструментальная среда моделирования средств мониторинга безопасности информационных ресурсов и процессов ИС.
В работе рассмотрены вопросы представления знаний, программной поддержки методологии мониторинга безопасности ИС и компьютерного моделирования интеллектуальных средств в составе адаптивных классификаторов для средств МБ ИС.
Создание перспективных систем защиты информации (СЗИ) в последнее время отождествляют с активным использованием интеллектуальных средств, таких как: экспертные системы (ЭС), системы нечеткой логики (НЛ), нейронные сети (НС), реализующих в СЗИ эволюционные свойства адаптации, самоорганизации, обучения, возможности наследования и представления опыта экспертов информационной безопасности (ИБ) в виде доступной для анализа системы нечетких правил If-Then [1, 2].
Актуально исследование адаптивных средств классификации угроз безопасности информационных систем (ИС), построенных с учетом биоподобных механизмов ЭС, НЛ и НС. Рассмотрим формы представления знаний экспертов ИБ, используя системы правил ЭС, нечеткое представление информации в НЛ и способность к адаптации информационных полей НС.
«Нечеткое» представление знаний базируется [1, 3]:
- на преобразовании исходных значений данных (в заданном диапазоне значений) в значения истинности высказываний о принадлежности этих значений некоторой функции (например, «большая величина» L или «малая величина» S);
- принципе распространения, согласно которому основные положения и математический аппарат «четкой» логики переносятся на случай «нечеткого» представления информации.
Например, текущее значение нечеткой переменной х0 (признак атаки) сопоставляется с двумя функциями принадлежности, которые каждому значению нечеткой переменной ставят в соответствие значение истинности двух взаимно противоположных (комплементарных) высказываний (рис.1):
- значение признака атаки - «большое» - кривая L (истинность 0,2),
- значение признака атаки - «малое» - кривая S (истинность 0,8).
Рис. 1. Комплементарная пара функций принадлежности.
Если совокупность признаков атаки представить вектором, то конкретному значению каждой нечеткой координаты вектора (на отрезке области определения) будут соответствовать значения ординат (истинности) функций принадлежности S (small) и L (large), которые в сумме дают 1.
Согласно принципу распространения значения истинности комплементарных высказываний могут обрабатываться в соответствии с этапами логического вывода [4].
Например, пусть знания экспертов ИБ о классификации угрозы Y по вектору признаков атаки Х, образованному из трех нечетких координат х2, х1, х0, представлены табл. 1.
Таблица 1.
х2 |
х1 |
х0 |
Y |
S |
S |
S |
S |
S |
S |
L |
S |
S |
L |
S |
L |
S |
L |
L |
L |
L |
S |
S |
L |
L |
S |
L |
S |
L |
L |
S |
L |
L |
L |
L |
S |
Представления знаний в экспертных системах [2, 4]. Функция Y задана на всех наборах значений вектора атаки и может быть описана конъюнктивной (по «единицам») или дизъюнктивной (по «нулям») системой правил логического вывода.
Рассмотрим, например, представление знаний экспертов ИБ (табл. 1) в виде конъюнктивных правил (аналог представления знаний в совершенной дизъюнктивной нормальной форме - ДНФ):
- формируют правила (rules) по числу конъюнктивных термов в ДНФ (числу значений L в столбце Y);
- значениям координат вектора атаки хi (i = 0, 1, 2) присваивают значения из строк таблицы, соответствующих значению L в столбце Y (или значениям переменных хi из соответствующих конъюнктивных термов ДНФ).
Rule1: If ( x2 is S AND x1 is L AND x0 is S ) Then Y is L
Rule2: If ( x2 is S AND x1 is L AND x0 is L ) Then Y is L
Rule3: If ( x2 is L AND x1 is S AND x0 is S ) Then Y is L
Rule4: If ( x2 is L AND x1 is L AND x0 is S ) Then Y is L
Представление знаний в виде структуры нечеткой НС [5]. Логическая структура знаний ЭС преобразуется в информационное поле нечеткой НС в соответствии с этапами логического вывода [1, 2].
Первый этап – формирование взаимно противоположных высказываний (соответствует операции «фуззификации» нечеткого логического вывода). Например,
x2 is L – высказывание «значение признака атаки x2 - большое»,
x2 is S – высказывание «значение признака атаки x2 - малое»,
реализуется входным узлом нечеткой НС (рис. 2), формирующим комплементарную пару функций принадлежности S и L (рис. 1).
Второй этап – логический вывод соответствует реализации отдельных правил If – Then экспертной системы формальным нейроном (ФН) MIN. ФН MIN (рис. 3) от нечетких аргументов реализует логическую операцию нечеткой конъюнкции Y = m(xn) ·…· m(x0) = min(m(xn), …, m( x0)).
Третий этап - композиция соответствует объединению правил с одинаковыми заключениями (частью Then) и реализуется ФН MAX (рис. 4). ФН MAX от нечетких аргументов реализует логическую операцию нечеткой дизъюнкции Y = m(xn) +…+ m(x0) = max(m(xn), …, m(x0)).
Рис. 2. Входной узел Рис. 3. Формальный Рис. 4. Формальный
нейронной сети. нейрон MIN. нейрон MAX.
Нечеткая НС реализует конъюнктивную систему правил нечеткого логического вывода в соответствии с вышеперечисленными этапами (рис. 5).
Таким образом, база знаний экспертной системы с учетом специфики нечеткого представления данных однозначно отражается в специализированных слоях нечеткой НС, но в отличие от ЭС, знания экспертов ИБ могут быть автоматически скорректированы в процессе обучения межнейронных связей выходного слоя НС на достоверном множестве пар векторов {X,Y}.
То есть анализ весов связей между ФН MIN и ФН MAX (после обучения НС) позволяет устранить противоречивость знаний экспертов ИБ, которая может присутствовать в исходной базе знаний ЭС.
Рис. 5. Нечеткая нейронная сеть.
Моделирование адаптивных классификаторов в составе средств МБ ИС. В ходе исследований проведена алгоритмическая интерпретация моделей интеллектуальных средств классификации для адаптивной системы ИБ, основанной на принципе биологического подобия с элементами эволюционных процессов и самоорганизации. Разработана инструментальная среда «Neuro-Fuzzy» (далее программа), позволяющая автоматизировать процессы проектирования топологии и обучения интеллектуальных средств классификации. Программа дает возможность:
• знания экспертов ИБ отразить в структуре НС,
• обучить НС на множестве пар векторов {X,Y} обучающие выборки,
• проанализировать информационное поле НС после процесса обучения,
• откорректировать исходную базу знаний экспертов ИБ.
Программа позволяет моделировать работу адаптивных средств защиты, которые в составе модели адаптивной защиты используются для решения задач классификации уязвимостей и известных угроз безопасности ИС.
Исходя из базы знаний экспертов ИБ, представленной в виде системы правил нечеткого логического вывода, модуль программы «RulesEditor» автоматически формируют топологию нейронечеткого классификатора. То есть база знаний экспертов ИБ отражается в структуре нечеткой НС.
Модуль программы «NeuralNetworkBuilder» – среда построения различных типов нейронных сетей для последующего исследования процессов адаптации нейронных и нейронечетких сетей.
Модуль программы «Forecast» позволяет исследовать процессы адаптации структуры адаптивных классификаторов к изменению выявленных уязвимостей и расширению множества известных угроз.
«RulesEditor» поддерживает следующие режимы работы: создание нового проекта, формирование системы правил, редактирование правила, смена режима конъюнктивная/дизъюнктивная форма, открытие ранее сохраненного проекта, быстрое сохранение проекта, сохранение проекта под именем, закрытие проекта, экспорт результатов.
Для редактирования правила в процессе формирования базы знаний следует задать истинность или ложность условий, образующих часть If правила, а также истинность или ложность заключения (гипотезы) – в части Then правила. С той целью проставляется символ Ö в отведенных полях (рис. 6). Проставленный символ эквивалентен значению Истина (True), а отсутствие - значению Ложь (False). Для нечетких правил логического вывода символ Ö соответствует значению Large, иначе – Small.
Рис. 6. Процесс формирования правил.
Кроме того, для ЭС, использующих методы Байеса или факторов уверенности, в крайне правой графе следует проставить значение из диапазона от 0 до 1, соответствующее степени доверия к данной гипотезе, в поле with probability equals.
Возможна смена типа правил (например, на дизъюнктивное) через опцию меню Mode®CNF или Mode®DNF. Логическая взаимосвязь условий в части If правила будет описываться с помощью логической операции «Дизъюнкция» - OR или логической операции «Конъюнкция» - AND.
Процесс формирования базы знаний ЭС завершается сохранением топологии НС и обучающей выборки векторов {X, Y} с целью дальнейшего исследования адаптивного классификатора.
«NeuralNetworkBuilder» предназначен для формирование и коррекции топологии НС, поддерживает следующие режимы работы: создание НС; редактирование НС с арифметическими ФН; редактирование нейронечеткой НС; редактирование квазилогической НС; открытие проекта; закрытие проекта; быстрое сохранение проекта; сохранение проекта под именем; автоматическая расстановка ФН; автоматическая проверка ошибок; добавление в проект информации; именование входного и выходного слоя НС.
Создание топологии НС выполняют через опцию Project®Create. В топологии базовой (арифметической) НС присутствуют три типа узлов, В – входные узлы, ФН - формальные нейроны, П – полярные (ФН смещения).
Топология НС формируется перетаскиванием мышкой узлов, расположенных на верхней панели, в рабочую область (рис. 7). Для удаления узла из топологии НС достаточно щелкнуть на нём правой кнопкой мыши.
Рис. 7. Формирование топологии НС.
Аналогично формируются топологии НС других типов. Отличие только в типе используемых ФН: в нечетких и квазилогических НС в узлах скрытых слоев применяются ФН, реализующие функции MIN и MAX [5].
Процесс формирования структуры НС завершается сохранением топологии адаптивного классификатора в виде файла для дальнейших исследований.
«Forecast» – модуль для исследования процессов адаптации НС поддерживает следующие режимы работы: загрузка модели; ввод начальных данных; выбор алгоритма обучения и обучение НС; формирование графика обучения НС; предсказание (классификация); экспорт результатов.
Главное окно модуля предоставляет пользовательский интерфейс в процессе формирования и обучения адаптивных классификаторов. При запуске программы открывается вкладка model, предлагающая загрузить файл с топологией исследуемой НС (кнопка Load model), сформированной ранее рассмотренными модулями.
После загрузки топологии исследуемой НС необходимо ввести из ранее сформированного файла множества пар векторов обучающей выборки {X, Y}. Для этого на вкладке input следует нажать на кнопку import data и выбрать файл с импортируемыми данными в формате *.txt, значения которых отображаются в таблице, расположенной на вкладке input (рис. 8).
Рис. 8. Импорт векторов обучающей выборки.
Для обучения НС необходимо перейти на вкладку Analysis, закладку Algorithm и выбрать один из двух алгоритмов обучения НС, например: метод обратного распространения ошибки или метод генетических алгоритмов. Запустить процесс адаптации информационного поля НС нажатием на кнопку Start.
Динамику адаптационных процессов в НС можно контролировать с помощью графической зависимости ошибки обучения НС от количества эпох обучения (в случае использования метода обратного распространения ошибки) или количества эволюционных циклов обучения НС при использовании метода генетических алгоритмов. Закладка Teaching позволяет наблюдать динамику снижения ошибки в процессе обучения НС (рис.9).
Рис. 9. Динамика адаптационных процессов в НС.
Для тестирования качества обучения НС следует перейти на вкладку Forecast, а затем, нажав кнопку Forecast, проверить соответствие входных и выходных векторов по тестовой выборке.
Вкладка Export служит для экспорта результатов работы модуля в формате текстового файла, HTML или в виде информационного поля обученной НС (пункт Neural network structure).
В разработанную библиотеку алгоритмов входят программные модули адаптации информационных полей нечетких НС, которые реализуют как метод обратного распространения ошибки, так и метод генетических алгоритмов [6]. Обучение нейронечетких классификаторов на наборе векторов известных угроз (обучающая выборка) выявляет возможную противоречивость системы нечетких правил, что позволяет устранить из структуры НС незначащие связи (неточные заключения в системы нечетких правил).
Литература
1. Negnevitsky M. Artificial intelligence: a guide to intelligent systems. Addison-Wesley, 2002.
2. Суханов А.В., Суханов В.А.. Интеллектуальные информационные системы как объект защиты информации // Журнал научных публикаций аспирантов и докторантов, № 6, 2008, С. 34-41.
3. Zadeh L. A., Kacprzyk J. Fuzzy Logic for the Management of Uncertainty. – NY: John Wiley. 1992.
4. Круглов В. В., Борисов В. В. Искусственные нейронные сети. Теория и практика.- 2-е изд., стереотип. – М.: Горячая линия - Телеком, 2002.
5. Суханов А.В., Крылов А.И.. Адаптивная защита информационных систем // Известия ВУЗов. Приборостроение. 2008, № 12. С. 23 – 31.
6. Горбань А. Н. Обучение нейронных сетей. - М.: СП ПараГраф. 1991.
Поступила в редакцию 27.10.2011 г.