автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Формальная модель процессов работы и метод адаптации нейросетевых средств мониторинга безопасности

кандидата технических наук
Андронов, Алексей Викторович
город
Санкт-Петербург
год
2012
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Формальная модель процессов работы и метод адаптации нейросетевых средств мониторинга безопасности»

Автореферат диссертации по теме "Формальная модель процессов работы и метод адаптации нейросетевых средств мониторинга безопасности"

На правах рукописи

005013025

АНДРОНОВ АЛЕКСЕЙ ВИКТОРОВИЧ

ФОРМАЛЬНАЯ МОДЕЛЬ ПРОЦЕССОВ РАБОТЫ И МЕТОД АДАПТАЦИИ НЕЙРОСЕТЕВЫХ СРЕДСТВ МОНИТОРИНГА БЕЗОПАСНОСТИ

Специальность: 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

2 9 [/!Д? Ш1

Санкт-Петербург 2012 г.

005013025

УДК 621.319/6.42

Работа выполнена на кафедре «Проектирования и безопасности компьютеры! систем» Санкт-Петербургского национального исследовательского университс информационных технологий, механики и оптики

Научный руководитель: доктор технических наук, доцент

Суханов Андрей Вячеславович

Официальные оппоненты: доктор технических наук, профессор

Дёмин Анатолий Владимирович доктор технических наук, профессор Лихачёв Александр Михайлович

Ведущая организация: ФГУП «Ленинградское отделение центрального

научно-исследовательского института связи» (ФГУП ЛО ЦНИИС)

Защита состоится «03» апреля 2012 г. в 15 час. 50 мин. на заседая диссертационного совета Д212.227.05 при Санкт-Петербургском националып исследовательском университете информационных технологий, механики и опти (НИУ ИТМО) по адресу: 197101, Санкт-Петербург, Кронверкский пр., д. 49.

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургско государственного национального исследовательского университета информационш технологий, механики и оптики.

Автореферат разослан «02» марта 2012 года.

Ваши отзывы и замечания по автореферату (в двух экземплярах), заверенн печатью, просим направлять в адрес университета: 197101, г. Санкт-Петербу Кронверкский пр., д. 49, секретарю диссертационного совета Д212.227.05.

Ученый секретарь диссертационного

совета, Д212.227.05

кандидат технических наук, доцент

/ У Поляков В

Общая характеристика работы

Актуальность темы исследования. Рынок средств обеспечения информационной безопасности (далее - ИВ) информационных технологий (далее -ИТ) представляет динамичную сферу капиталовложений, которая приносит немалую прибыль: рост рынка средств обнаружения компьютерных атак в 2010 г. составил $520 млн. Прогнозируются следующие тенденции развития систем обеспечения информационной безопасности:

^ штеллектуалшацш средств обесиечешш ИБ и их интеграция с иными средствами защиты с целью всестороннего анализа состояния защищенности информационных систем дня критических сфер применения (далее - КИС);

S переход на защищенные платформы, объединяющие защищенную операционную систему и предварительно настроенную систему обнаружения атак: S рост числа организаций, занимающихся аутсорсингом средств защиты. Согласно прогнозам известной на рынке информационных технологий компании «Gartner», 85% крупнейших международных компаний с вероятностью 0,8 воспользуются к 2015 году функциями современных систем обнаружения аномалий. Обнаружение аномалий относится к наиболее актуальным проблемам различных федеральных целевых ироірамм в области защиты информации. Актуальность задачи объясняется тем, что существующие системы обнаружен™ вторжений ежедневно обнаруживают до 600 попыток несанкционированного автоматического вторжения, что, по мнению экспертов, не более 17% от общего числа реально осуществляемых атак.

В этой связи научные и научно-технические издания обсуждают необходимость придания средствам защиты информации (далее - СЗИ) эволюционных качеств, присущих биосистемам, таких как возможность развили и адаптивность. Известные производители программного обеспечения (далее - ПО), например, «Microsoft», заявляют о применении «технологии активной защиты», основанной на оценке поведения программ с точки зрения их потенциальной опасности. В частности, СЗИ корректируют средства защиты компьютера при изменении его статуса или блокируют его, если возникает подозрение в заражении вирусом или проникновении злоумышленника.

Постановка задачи разработки технологии создания адаптивных средств мониторинга безопасности (далее - МБ) носит комплексный характер и использует биосистемную аналогию начиная с формы представления информации, программирования информационных процессов и заканчивая архитектурой КИС со

встроенными механизмами обеспечения безопасности.

Основным направлением развития КИС, удовлетворяющим требованиям информационной безопасности, можно считать создание адаптивных средств МБ, удобных для технической реализации с привлечением современных наноэлектронных технологий в виде сверхбольших интегральных схем (далее -СБИС), ориентированных на высоконадежные механизмы жизнеобеспечения и информационной зашгпы биосистем.

Высокая производительность ІСИС при решении задач, характеризующихся нечеткой, недостоверной информацией, нерегулярными процессами обработки с изменяющимися в процессе эксплуатации системы составом и взаимосвязями компонентов, может обеспечиваться параллелизмом нейросетевых вычислений и управлением потоком данных (далее - УПД). Подобные вычисления необходимы в задачах управления и обеспечения ИБ сложных комплексов на основе адашивпых КИС с защищенными процессами обработай и хранения больших объемов копфиденщгальной информации.

Важным принципом биосистемной аналогии является представление жизненно важных функций и информации в форме топологии, например, генетического кода биологического вида. Подход УПД описывает топологию КИС в виде совокупности командных пакетов (далее - КП), каждый из которых соответствует отдельному фрагменту топологии и определяет реализуемую фрагментом функцию, а также местоположение источников исходных данных и приемников результатов. Пакеты данных (далее - ГІД) предназначены' дтя передачи результатов обработки информации от одних КП (источников) другим КП (приемникам).

Известные технологии не ориентированы на разработку КИС, предназначенных для решения нечетких плохо формализуемых задач, где применимы нечеткие и нейросетеше средства, не учитывают специфику процессов, свойственных средствам интеллектуального анализа данных в составе средств МБ. Не разработаны конкретные модели и методы создания адаптивных КИС со встроенными функциями информационной безопасности, способных приспосабливаться к изменению условий эксплуатации и множества угроз.

Целыо диссертационно» работы является разработка модели и метода построения адаптивных средств, в составе систем МБ КИС, учитывающих изменение множества угроз, условий эксплуатации и ориентированных на специфику процессов, свойственных средствам интеллектуалыюго анализа данных в режимах функционирования и обу чения.

Задачи исследования. Основным объектом исследовании являются КИС со встроенными функциями Г1Б, а предметом исследоваїшй - модель и метод построения средств шпеллектуатьиого анализа данных (средств МБ) и составе адаптивных систем МБ.

Основными задачами, решаемыми в настоящем исследовании, являются:

^ разработка формальной модели процессов работы и адаптации нейросетевых средств МБ;

^ работка метода адаптации нейросетевых средств мониторинга безопасности;

^ создание инструментального программного комплекса н методики его применения для исследования адаптивных средств МБ.

Мегоды исследований, примененные в диссертации, включают в себя метода теории информационной безопасности систем, теории нейронных сетей, теории нечетких множеств, теории схем программ, теории нераздельных вычислительных систем, теорші программирования, а также моделирование и исследование средств интеллектуального анализа данных в составе адаптивных систем МБ.

Научная новизна исследований. В результате исследований в диссертационной работе подмены следующие новые научные результаты:

1) Разработана формальная модель (модель пакетной нейросетевой программы. (далее - ПНП)) процессов работы и адаптации нейросетевых средств МБ, отличающаяся адекватным отражением формальными методам! специфики различных подходов к организации нейросетевых распределенных вычислений для адаптивных систем защиты информации посредством ПНП.

2) Разработан метод адаптации нейросетевых средств мониторинга безопасности, отличающийся представлением информации в виде нечеткого адаптивного распределенного информационного поля.

3) Исхода из модели и метода проектирования КИС со встроенной защитой информационных процессов и ресурсов, предложенных в диссертационной работе, разработаны ішетршентальньїе средства мониторинга безопасности КИС.

Практическая значимость полученных результатов состоит в следующем:

1) Разработаны архитектурные решения адаптивных нейро-нечетких средств МБ. отличающиеся сочетанием биосистемной аналогии и архитектурных

особенностей нейронных сетей, систем нечеткой логики, регулярных иычислительных структур и управления потоком данных.

2) Исходя из модели и метода проектирования КИС со встроенной защитой информационных процессов и ресурсов, предложенных в диссертационной работе, разработаны технические решения нейросетевых систем МБ.

Достоверность основных положений диссертационной работы подтверждается аналитическими исследованиями, результатами моделирования, а также внедрением в тучно-исследоватедьшк работах, разработках нейросетевых средств МБ и программных средств в ЗЛО «Эврика», войсковой часта 45807, войсковой части 43753 и ряде других организаций в период с 2008 г. по 201] г., а также при создании образцов нейросетевых средств мониторинга безопасности конкретных КИС.

Основные положения, выносимые на защиту:

1) Формальная модель процессов работы и обучения нейросетевых средств МБ, достоверность которой вытекает из хорошей корреляции результатов аналитического исследования функциональной устойчивости нейронных сетей.

2) Метод адаптации нейросетевых средств МБ, достоверность которого подтверждена аналитическими исследованиями и сравнением получетгых результатов с известными методами обучения нейронной сети.

Апробация работы. Основные положештя диссертационной работы докладывались, обсуждались и нашли одобрение научной общественности на 2 международных конференциях.

Публикации. Результаты работы, полученные в диссертации, нашли отражение в 10 научных работах по теме диссертации, в том числе 2 статьях опубликованной в журнале, рекомендованном ВАК России дня изложения результатов кандидатских диссертаций.

Внедрение. Результаты, полученные в работе, практически использованы при выполнении госбюджетных научно-исследовательских и хоздоговорных работ, выполненных в ЗАО «Эврика», войсковой части 45807 и в других организациях в период с 2009 г. по 2011 г. Результаты также внедрены в учебный процессе СПб НИУ ИТМО и СПб ГУТ им. проф. М.А. Бонч-Бруевича при подготовке студентов но специальностям: 090104 - «Комплексная защита объектов информатизации» и 210403 - ('Защищенные сист емы связи».

Структура и объем работы. Диссертация состоит из введения, 4 глав и заключения. Основное содержание изложено на 191 странице, включая 89 рисунков и

графиков, 9 таблиц. Список использованных источников содер'-шт 158 наименования. Общий объем диссертации 200 «р.

Краткое содержание работы

Во »ведении к диссертации прогнозируются тендешщи развития систем обеспечения информационной безопаспосги. Определяются цели и задачи исследований, новизна предлагаемых решений и приводятся положения, выносимые па 'защиту.

В первой главе содержится анализ инструментария проектирования средств интеллектуального анализа информации.

Показано. что использовтгае средств интеллектуального анализа информации в КИС акіуальио в связи с высокими темпами развития информационных технологии и, прежде всего, глобальных телекоммуникациошіьіх сетей и мультимедийных средств массовой информации.

Интеллектуальные средства представления и извлечения знаний являются, как правило, гибридными системами, включающими компоненты экспертные системы, системы нечеткой логики и нейронные сети. В главе проведен анализ существующих инструментальных средств для проектирования интеллектуальных средств мониторинга безопасности, позволяющих использовать (Таблица 1):

^ механизм нечеткого логического вывода для представления логической взаимосвязи между посылкам! и заключениями для каждого из правил логического вывода;

^ экспертные системы для описания баз знаний специалистов информационной безопасности в виде системы правіш логического вывода;

^ нейронные сети (далее - НС) для отражения баз знаний в топологии (информационном поле) НС;

^ принципы подобия биосистемам, в частности, адаптации и иммунной защиты для обеспечения реализации механизмов самоорганизации, защита и эволюционного развития КИС (генетические алгоритмы);

^ методы адаптации интеллектуальных компонентов КИС и, прежде всего, информационных полей НС к динамике окружения с целью последующей

адаптации информационног о ноля НС и автомагической коррекции базы знаний в процессе обучения НС;

^ средства анализа откорректировашюй базы знании с целью извлечения знаний посредством инструментария шггеллекгуального шгаяиза данных.

Таблица 1

■■ Huci'pNMcm'ajn.iii.ie tpe;>cr»a nciercoro. ;(oi ¡crccKoro nmo.xi HiicipyMeirnuwiue : cpeflCTBaK pS : iipoeKnipoBaiiiiii Heiip<K ftiiakerbi S: 110 ;ns, . turn FA 1 nOpn.'tHMC ijif:. f qje^^i'i.;' mire; icKiyiui.-■ iioro a!ia.ni'ia ;ianiu.i\

CubiCalc ACQUIRE Attrasoft Predictor & Attrasoft Dekision Maker GEATbx BackPack Neural Network System

Mathematica Fuzzy Logic Blaze Advisor Braincel Gene Hunter MATLAB Fuzzy Logic Toolbox

MATLAB Fuzzy Logic Toolbox Exsys CORVID Neuframe Genetic Server and Genetic Library- NGO

FIDE Flex Neural SIM Generator XpertRule

FLINT G2 Partek Discover & Partek Predict GenSheet FuzzyTECII

FOOL and FOX GURU THINKS and ThinksPro Evolver Neuframe

FUZZLE Intellix Neuro Solutions ActiveX Genetic Prograrara ing Control OTNCA Design Framework

Анализ шп'еллектуалыюго инструментария показал, что на рынке информационных технологий отсутствуют средства, реализующие весь перечень операций анализа данных, перечисленный выше. Возможно взаимное использование результатов работы отдельных программных пакетов, например, нсйронакетов и ■эволюционных средств оптимизации, но возникают трудности, связанные с конверсией форматов представления данных, множеством используемых параметров, интерфейсом и средствам! визуализации результатов. В этой связи целесообразно дополнять библиотеки программных модулей стандартных нсйронакетов с открытой архитектурой, ташх как «NeuroSolutions», авторскими программными модулями, совместимыш! с имеющимся программным обеспечением и учитывающими специфику задач конкретной предметной области.

С друтой стороны, наличие развтых визуальных сред программирования, таких как «Visual Studio 2010 Professional», позволяет оперативно создавать проекты, решающие отдельные прикладные задачи интеллектуального анализа данных.

Во второй главе рассмотрены средства дня описания адаптивных средств МБ с помощью пакетных нейросетевых программ, формальная модель процессов работы и адаптации нейросетевых средств МБ, представленных в форме ГП-Щ.

Предложено программирование нейросетевых средств МБ КИС осуществлять с помощью ПНП. Показано, что программирование нейросетевых средств МБ сводится к описанию структуры информационных полей с помощью языка ПНП. Описание информационно-полевой компоненты средств МБ КИС позволяет оценить уровень функциональной устойчивости и защит НС и исследовать процессы работа и адаптации нейросетевых средств МБ путам моделирования взаимодействия оперативных данных с информационным полем НС.

Предложена формальная модель процессов, протекающих в информационных полях нейросетевых средств МБ КИС в основных режимах работы, необходимая для адекватного представления и верификации нейросетевых средств МБ, описанных с помощью ПНП, разработки методов проектирования и оценки функциональной устойчивости нейросетевых систем защиты информации.

Пакетная нейросетевая программа - ориентированный граф, задаваемый кортежем:

N = (Vp,VdJ<\L№),

где V б 1'р - операторная вершина (далее - OB), V £ Vd - вершина объекта-данного (далее - ОД),

М - разметка состояний вершим ориентированного графа Л' (Л'-ірафа), представляющего ШШ. ГОШ конечна, если она содержит конечные множества вершин и дут.

Объединение множеств Ур и IУ образует- множество всех вершин ПШІ С = Ур иУ(1 Данные в ПНП представляются множествами текущих вершин ОД Шо и долговременных верпиш ОД Уаі Первые,. Ус!о, соотносятся со значениями оперативных данных, участвующих в обработке, вторые, Її//, - со значениями данных, подлежащих долговременному хранению и соответствующих информационному полю средств МБ. Долговременные вершины ОД У<11, в свою очередь, разделяются на непересекающиеся множества долговременных вершин ОД дта записи УШ„ и дня чтения УЛГ:

Усп = га», и га„ У(іі„ п 1(Нг = 0, причем га„. є ы а га, є г>.

Огмсчепо, что ГППТ - ориентированный граф, а модель ПНП предназначена для описания параллельных распределенных процессов в нейросетевых средствах МБ КИС, представ лепных в виде пакетной иейросегевой программы. Доказано, что ПНП-модель является параллельной, асинхронной моделью с децентрализованным управлением, и что определенная в ПНП-модели параллельная трансформация сохраняет постулированные свойства ШШ.

Класс операторов АР, соответствующий многослойной НС в целом, будет определяться выражением АР « АіРі:Л:Р^ ... Л„.,Р„.,„■{„, которому соответствует линейный граф, показанный на рис. 1. Каждой ОВ графа отвечает класс операторов Аі слоя ІТС, а дути соответствуют операторам Ру. Граф отражает структурные свойства ІТС н может рассматриваться в качестве модели ПНП с уровнем детализации «командный пакет - слой НС».

(Г..Г) (р},г) СрУ) (Г&Ч «Лй

1Ч])--'©"О-----©тгЄЬ'

Рис. 1. Граф модели ШШ с уровнем детализации «командный яакет-слой НС»

В работе было выделено 1Г основных свойств модели нейросетевых процессов.

В основе метода адаптации нейросетевых средств мониторинга безопасности лежат 16 утверждений приведенных в диссертационной работе с доказательствами:

Утверждение 1. Для параллельной активации ОБ у||іі>, совместных по

лежат 16 утверждений приведенных в диссертационной работе с дока зательствами:

Утверждение 1. Для параллельной активации OB v||ic, совместных, по условиям готовности, v,w Є Vp.v Ф и1, достаточно истинности строгого предиката готовности хотя бы одной из вершин, связанных отношением v 0 w:

v0w => v 0 к-п ((ФЛ(У) = TRUE) v (Ф*(іс) = TRUE)).

Утверждение 2. При истинности строгого предиката готовности одной из вершил, входящих в кластер совместности, готовы к активации все ОВ данного кластера, причем все ОВ данного кластера соединены с вершинами рецепторных окрестностей только дугами с пометкой /,.

Утверждение 3. В ПНІІ разделяемые вершины Sh(v,w) могут быть только входными дая ОВ v и vc вершинами ОД.

Утверждение 4. В 1ТНП операторные вершнньг с и »■, относящиеся к одному кластеру совместности, являются разделяемыми вершинами,%(г, іс).

Утверждение 5. В 1ШП разделяемые вершины Sh(v,\r) при параллельной трансформации P(N,Fi) отмечаются меткой de только в случае асинхронного срабатывания всех вершин кластера совместности.

Утверждение 6. Влияние трансформации LT(N,v) на разметку ПИП N ограничивается локальной областью трансформации L4r(i\'v).

Утверждение 7. Взаимное влияние трансформаций LT(Kv) и LT{N,w) от одновременного срабашвашія операторных вершин улс Є J'p ,v ф w , возможно только на пересечении их локальных областей трансформаций LAJ\N,v) и IAT{N,w).

Утверждение 8. Разделяемая вершина х Є Sh{v,w) для любой пары ОВ, входящих в кластер совместности, а также в списки важности обеих ОВ, .г Є Imp(v) n Imp(vc) может быть связана с вершинами v и к- только дугами с пометкой t,.

Утверждение 9. Сетевые трансформации в виде частных трансформаций ТІ, связанные с обновлением информационного содержания отдельных полей в записях информационного поля нейросетевых средств МБ, не приводят к частным трансформациям 72 - изменениям структуры ориентированного графа Л'.

Утверждение 10. Сетевые трансформации в виде частных трансформаций 74, связанные с добавлением/удалением отдельных записей информационного поля нейронной сети, соответствующих долговременным вершинам ОД некоторого слоя НС, приводят к частным трансформациям 74, заключающимся в добавлении/удалении отдельного поля в записи информационного поля НС, соответствующие долговременным вершинам ОД последующего слоя НС.

Утверждение 11. Сетевые трансформации в виде частных трансформаций 7'1,

связанные с добавлением/удалением отдельных записей или включением/изъятием отдельных полей из .записей нечеткого адаптивного информационного поля пейросетевых средств МБ.. соответствующих долговременным вершинам ОД некоторого слоя НС, приводят' к частным трансформациям 72 и 7"3, заключающимся в изменении стру кту ры и разметок графа N в данном и последующем слоях НС.

Утверждение 12. Если па некотором шаге /' процесса РС(КМ0) для ПИП Л;, множество Я 0 . то ГПТГ1А', ^ будет тождественно равна ПИП .V,.

Утверждение 13. Для нормального завершения ненросегевого процесса РС(М. Л'о), соответствующего ППП /V, необходимо и достаточно, чтобы на некотором шаге I процесса параллельная трансформация Р(М, Р1) вызывала настугшетю события при условии, что дшожество./? пусто.

Утверждение 14. При параллельной трансформации ГП1П отсутствуют коллизии, связанные с активацией разделяемых вер!ттн графа.

Утверждение 15. В модели ГШП все кластеры совместности ОВ функционируют асинхронно.

Утверждение 16. В модели ПНП совокупность пакетных пейросетевых программ функционирует асинхронно.

В третьей главе, на основе биосистемной аналогии предложены технология создания и модель адаптивной системы мониторинга безопасности, необходимая дня проектирования защищенных КИС с использованием интеллектуальных средств экспертных систем, нейронных сетей ii нечеткой логики.

Предложено структуру КИС представлять в виде иерархии топологий, выполненных с различной, степенью детализации, что позволяет производить анализ и запит- информационных потоков па различных уровнях иерархии КИС (рис. 2).

Разработана модель адаптивной защиты КИС - иерархическая многоуровневая модель, содержащая адаптивные средства классификации на каждом из уровней системы МБ (рис. 3). Моделирование адаптивных средств МБ может производиться как но отдельным уровням иерархии, так и для системы МБ в целом с оптимизацией распределения механизмов защиты по критерию «стоимость/защищенность».

Рис. 2. Иерархии адаптивной системы мониторинга безопасности

3S Езшздавй ста

Рис. 3. Модель адаптивной системы MB

Уровням иерархии защиты поставлены в соответствие информационные поля, позволяющие придать системе защиты эволюционный характер, а именно: информационные поля системы МБ можно передавать в последующие версии системы (наследование), коррелировать при изменении условий эксплуатации, множества угроз и перечли механизмов защиты (адаптация и развитие), осуществлять оптимизацию, как структуры системы МБ. так и информационных полей в соответствии с целевой функцией (отбор).

Выделены основные механизмы реализации адаптивных свойств средств МБ:

а) нечеткий логический вывод, который позволяет использовать опыт экспертов информационной безопасности для предварительного обучения нечетких НС;

б) способность НС к классификации и кластеризации;

в) способность распределенного информационного ноля нейросетевой системы МБ к накоплению знаний в процессе обучения .

Разработаны система показателей, инструментальные средства и методика оценки защищенности, обеспечивающие близкое к оптимальному соотношение «стоимость/эффективность» системы МБ за счет постепенного наполнения модели адаптивной защиты, начиная с минимального (специфицированного) числа механизмов защиты (далее - МЗ), только теш МЗ, которые активируются, если интегральные оценки, учитывающие текущие значения потенциального ущерба, частоты проведения атак и достоверности нейтрализации угроз конкретным МЗ, превышают пороговые уровни.

Результаты экспертных оценок и последующего обучения нечетких НС следует представить в виде матрицы достоверности «угрозы - МЗ» Л/Е:

'теи теи теь,л

щ,,, = те., те.. те2п

Л,

где т - число механизмов защита, п - число уровней системы МБ.

Активность уровня системы МБ по нейтрализации угроз, входящих в базу знаний в качестве посылок, определяется, например, строкой показателей значимости

1?т Г»-7

уровня системы МБ Х/ . ~ || теу, 7 = 1,...,/?/, паи Х( = ,

нормированных, например, по значению максимального из л-„ или по значению

ш

суммы элементов строки показателей значимости ^Л-., / = 1,...,11.

ы

Сопоставление показателей значимости в пределах строки позволяет выявить наиболее задействованные уровни системы МБ по нейтрализации множества угроз.

Аналогично по матрице достоверности «угрозы - МЗ» определяется столбец показателей значимости отдельного мехшшзма защиты во всех уровнях системы МБ

пг-

для нейтрализации последствий множества угроз Х/ - ' = 1,...,/», / -

V ■/=>

Гп Г

1,..., м юти = »- . Сопоставление показателей значимости позволяет

V >=1

выявить интенсивно используемые МЗ.

Кластеризация МЗ и последующая адаптация нечетких НС на обучающей выборке векторов известных угроз позволяю т в результате анализа информационных полей НС сформировать спецификацию на разработку отсутствующих МЗ, способных нейтрализовать угрозу с высоким у ровнем потенциального ущерба.

При разработке перспективных средств МБ преследовалась цель - на основе биоаналогии перенести механизмы защиты информационных процессов и ресурсов биосистем в искусственные системы. Основным средством интеллектуального анализа данных являются нейронные сети, решающие классификационную задачу разделения информации по скрытым в массивах данных закономерностям.

Проведенный анализ применения различных нейросетевых подходов для решения задачи классификации для средств МБ показал, что НС на базе арифметических формальных нейронов (далее - ФН) характеризуются информационной избыточностью и, как следствие, высокой функциональной устойчивостью и защищенностью.

Предложены квазилогические НС, сочетающие информационную избыточность НС с арифметическими нейронами и доступность для анализа нейроиечетких сетей. Показано, что квазилогический подход позволяет при

сохранении специфики операций конъюнкции и дизъюнкции реализовать распределенной хранение знаний специалистов ИБ в информационных нолях нейро-нечетких средств МБ.

Поведенные исследования показали, что классификация и кластеризация являются основными задачами, решаемыми интеллектуальными средствами № в условиях динамики среды.

Показано, что НС семейства «ART», ориентированные на задачи классификации и кластеризации многомерных векторов, способны инкрементно обучаться с высокой точностью за один проход без эффекта «катастрофического забывания», что позволяет отдать предпочтение данному типу НС дія решения поставленной задачи.

Разработаны средства моделирования и проведено исследование ряда НС адаптивного резонанса, которые позволили обосновать выбор нейронной сети «Fuzzy ARTMAP» в качестве базовой для организации адаптивных средств классификации в составе системы МБ (рис. 4).

Рис. 4. Архитектура нейронной сети «Fuzzy ARTMAP»

Разработана нейросетевая система аудита событий ОС «MS Windows» с использованием нейросетевых средств классификации на базе сетей семейства «ART» с комплементарным кодированием входных данных.

¡¡¿ія тестирования системы был создан шаблон, описывающий параметры, входящие во входной вектор, аналогичный приведенному в табл. 2.

Таблица 2

; Шт»ЄКГ Ушеш Ш Є СООІІТПЯ Неудачные события

* htm Открытие; Захрьгпіе; Удаление Открытие; Закрытие; Удаление

* ;?.it Открытие; Закрытие Огкршие; Закрытие

*.asp Открытие; Закрытие Открытие: Закрытие

*.ехе Запуск:. Завершение Запуск; Завершение

C:'WINNT-Hdp'usHdp'common:400itm Открытке -

C:\\\lNirrHelp'iisKelp'camnion'i401-Lhtm Открытие -

С f.WINNPHelp'ii sHeip common'401 -2.him Открытие -

C:''WINNT'Help'iisHdp'Comiaon'''.502iiim Открытие -

Перед тестированием задавался список адресов страниц, к которым виртуальные клиенты выполняют обращение. Для соответствия функционированию реального веб-сервера в список адресов были включены адреса несуществующих страниц. Максимальное число виртуальных клиентов было установлено равным 50. Время тестирования было установлено равным 20 часам.

Для получения данных аудита, соответствующих аномальному функционировагапо, использован сканер безопасности «Nessus». Была создана политика сканирования, включающая модули, проверяюаще безопасность веб-серверов. Затем машина, на которой был установлен веб-сервер «118», была опрошена сканером безопасности «Nessus;».

Данные аудита нормального функционирования были разделены на два множества: данные дія обучения и данные для тестирования НС. После обучения на вход сета были поданы входные векторы, соответствующие как нормальному, так и аномальному поведению.

В процессе испытаний системы аудита событий ОС «MS Windows» не было отмечено ложных срабатываний нейросетевых средств классификации входных векторов, образованных из значений статистических параметров отслеживаемых событий.

В четвертой главе для верификации основных результатов проведенного исследования была разработана инструментальная среда «Ыеиго-Риггу» для моделирования средств МБ информационных ресурсов и процессов, свойственных

КИС.

Основу модели интеллектуальных средств классификации для КИС составляют адаптивные уровни классификаторов, использующие достоинства нейронных сетей, систем нечеткой логики, экспертных систем.

Разработаны инструментальные средства мониторинга безопасности КИС. Диалоговые программные средства позволяют:

сформировать базу знаний квалифицированных специалистов информационной безопасности в виде системы правил «ІҐ-Tlien»;

S отразил, систему правил «If-Then» в структуре нейронечеткого юіассификатора;

^ выбрать алгоритм обучения нейронной сети;

S обучить нейронечеткий классификатор на множестве пар векторов обучающие выборки;

■S проанализировать информационное поле нейронечеткого классификатора после завершения процесса обучения;

откорректировать исходную базу знаний специалистов информационной безопасности по результатам адаптации информационного поля нейронечеткого классификатора.

Задача моделирования адаптивных средств классификации для системы МБ решается с привлечением программных модулей, взаимосвязанных посредством файлов с результатами ранее проведенных преобразований.

Модуль «RnlesEditor» позволяет формировать исходную базу знаний экспертной системы в виде системы правил «If-Then», производить загрузку из файла и коррекцию ранее сформированной базы знаний, преобразовать систему правил «If-Then» в топологию нейронечеткого классификатора, сохранять топологию нейронечеткого классификатора в виде файла для дальнейших исследований.

Модуль «NeuralNetworkBuilder» предназначен для формирования топологии нейронных и нейронечегких сетей посредством редактора топологии НС исходя из сходства с топологией четкой нейронной сети или системы правил нечеткого логического вывода.

Модуль «Forecast» позволяет загрузить из файла топологию нейронной или нейронечеткой сети, провести адаггощгао информационного поля НС посредством исследуемых генетических алгоритмов с возможностью визуализации динамики процесса адаптации информационного поля НС.

Для обучения нейронечеткого классификатора использованы метод обратного распространения ошибки, а также генетические алгоритмы, согласно которым

отыскивается решение математической задачи многопарамечрической оптимизации целевой функции - ошибки обучения НС, для которой необходимо найти глобальный минимум с заданной точностью.

Отмечено, что обучение нейронечеткого классификатора не требует выполнения сложных математических расчетов для коррекции значений весов связей и параметров нелинейных преобразователей в составе ФН, что позволяет снизить трудоемкость решения задачи обучения адаптивных средств МБ.

Проведено моделирование процессов обучения нейронных и нейронечетких сетей в составе интеллектуальных средств классификации для адаптивных систем МБ КИС при различном сочетании числа формальных нейронов в слоях логического вывода и композиции нейропечеткон сети. Показано, что лучшая динамика обучения получена при использовании генетических алгоритмов.

Проведено моделирование процессов обучения нейронных сетей на базе квазилогических ФН по методу обратного распространения ошибки. Показано, что НС с прямыми и инверсными связями обучаются быстрее (почти на порядок), чем НС только с прямыми связями, а, как известно, оперативность обучения и возможность последующего анализа информационного поля НС являются первостепенными атрибутами адаптивной системы МБ.

В заключении отмечено, что в диссертационной работе решается научно-техническая задача разработки модели и метода построения адаптивной системы мониторинга безопасности, дія которой характерно использование средств интеллектуального анализа данных, методики проведения анализа и интерактивных инструментальных средств для исследования и поддержки принятия решения о модификации адаптивной системы мониторинга безопасности.

Основные резуль таты работы

Основные научные и практические результаты диссертационной работы состоят в следующем:

1) Разработана формальная модель процессов работы и обучения нейросетевых средств МБ, отличающаяся адекватным отражением формальными методами специфики различных подходов к организации нейросетевых распределенных вычислений для адаптивных систем защиты информации посредством ПНП, значимость которой связана с формализацией процессов, характерных для режимов обучения и работы различных типов нейронных сетей в составе адаптивной систехмы мониторинга безопасности, достоверность которой

вытекает ш хорошей корреляции результатов аналитического исследования функциональной устойчивости нейроїшьіх сетей с известной по научно-техническим источникам информацией.

2) Разработан метод адаптации нейросетевых средств МБ, отличающийся представлением информации в виде нечеткого адаптивного распределенного информационного поля, основным достоинством которого является представление информационного поля нейронной сети в виде системы комплементарных связей, обеспечивающее простоту процесса адаптации и снижение времени обучения нейросетевых средств МБ, достоверность которого подтверждена аналитическими исследованиями и сравнением полученных результатов с известными методами обучения нейронной сети.

3) Разработаны инструмепгальные средства поддержания методологии мониторинга безопасности ІШС. Диалоговые программные средства позволяют:

^ сформировать базу знаний квалифицированных специалистов информационной безопасности в виде системы правіш «И-ТЪеп»;

^ отразить систему правил «ІҐ-Т1іеп» в структуре нейропечеткого классификатора;

^ выбыть алгоритм обучения нейронной сети;

^ обучить нейронечеткий классификатор на множестве пар векторов обучающие выборки;

^ проанализировать ішформациошюе поле нейропечеткого классификатора после завершения процесса обучения;

^ откорректировать исходную базу знаний специалистов информационной безопасности по результатам адаптации информационного поля нейропечеткого классификатора.

Список опубликованных работ

По материалам /диссертации опубликовало 10 научных работ:

1. Андропов A.B., Аксенов А.Н. Интеллектуальные средства защнш Ш1формации для решения задач классификации в информационных системах // Журнал научных публикаций аспирантов и докторантов, № 2, 2010 г.. с. 204-207;

2. Андронов A.B., Андрианов В.И. Эволюционные методы в задачах обеспечения безопасности автоматизированных систем // Журнал научных публикаций аспирантов и докторантов, № 9, 2010 г., с. 36-15;

3. Андронов A.B. Информационная защищенность нейросетевого базиса// XV 1-я международная научно - практическая конференция «Теория и технология программироватхя и защиты информации», 2010 г., г. Санкт - Петербург, сборник научных трудов, с. 15-18;

4. Андронов A.B. Моделирование адаптивных средств мониторинга безопасности информационных систем // XVII-я международная хюучио -практическая копферешщя «Теория и технология программировать! и защиты информации», 2011 г., г. Санкт-Петербург, сборник научных трудов, с. 36-45;

5. Андронов A.B. Автоматизированные средства обеспечения информационной безопасности ипформациошю-телекоммупикаадюшшх систем // Научный

обозреватель, № 10,2011 г., с. 23-27;

6. Андропов A.B. Системы согласованных полуформальных моделей стандартов информационной безопасности // Научный обозреватель, № 10,2011 г., с. 27-32;

7. Андронов A.B. Применение графо-аналитических моделей при верификации прсмраммиых продуктов // Журнал научных публикаций аспирантов и докторантов, № 11(65), 2011 г., с. 83-85;

8. Андронов A.B. Адаптивные модели нейросетевых классификаторов систем мошггоринга безопасности // Журнал научных публикаций аспирантов и докторантов, № 11(65), 2011 г., с. 86-91;

9. Суханов A.B.. Андронов A.B., Крылов А.И. Качественные пока отели безопасности информационных ресурсов // Информация и космос, № 4, 20И г.. с.36-39:

10. Андронов A.B. Методологические вопросы проектирования защищенных интеллектуальных информационных систем // Информация и космос, № 4, 2011 г., с.46-51.

Тиражирование и брошюровка выполнены в Центре «Университетские телекоммуникации». 197101, Санкт-Петербург, ул. Саблинская., 14. Тел. (812) 233-46-69 1,5 п л. Тираж 100 жз.

Текст работы Андронов, Алексей Викторович, диссертация по теме Методы и системы защиты информации, информационная безопасность

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

«САНКТ-ПЕТЕРБУРГСКИЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И ОПТИКИ»

61 12-5/3797

На правах рукописи

АНДРОНОВ АЛЕКСЕЙ ВИКТОРОВИЧ

ФОРМАЛЬНАЯ МОДЕЛЬ ПРОЦЕССОВ РАБОТЫ И МЕТОД АДАПТАЦИИ НЕЙРОСЕТЕВЫХ СРЕДСТВ МОНИТОРИНГА

БЕЗОПАСНОСТИ

Специальность: 05.13.19 - «Методы и системы защиты информации,

информационная безопасность»

ДИССЕРТАЦИЯ

на соискание ученой степени кандидата технических наук

Научный руководитель:

д.т.н., доцент Суханов Андрей Вячеславович

Санкт - Петербург 2012 год

Содержание

Стр.

Список используемых сокращений........................................ 5

Бведение....................................................................... 6

Глава 1 Программное обеспечение для моделированя интеллектуальных средств мониторинга безопасности критических информационных систем.............................. 12

1.1 Инструментальные средства интеллектуального анализа данных 12

1.1.1 Инструментальные средства нечеткого логического вывода...... 13

1.1.2 Инструментальные средства проектирования баз знаний........... 18

1.1.3 Инструментальные средства моделирования нейронных сетей ... 21

1.1.4 Инструментальные средства эволюционных вычислений........... 39

1.2 Программное обеспечение для гибридных средств интеллектуального анализа данных...................................... 42

1.2.1 Извлечение нечетких правил из баз данных........................... 45

1.2.2 Использование эволюционных алгоритмов в гибридных системах........................................................................ 49

1.2.3 Использование эволюционных алгоритмов в нейросетевых

системах........................................................................ 52

Выводы по главе 1 ............................................................ 60

Глава 2 Модель процессов работы и метод адаптации нейросетевых средств в контексте существующей методологии мониторинга безопасности критических информационных систем.......................................................................... 63

2.1 Системный подход и обеспечение информационной безопасности критических информационных систем................ 63

2.2 Иерархический подход представления структуры критических информационных систем................................................... 64

2.2.1 Представление информационной структуры критической информационной системы в виде топологии........................... 64

2.2.2 Описание информационной структуры критической информационной системы пакетной нейросетевой программой ... 65

2.2.3 Представление информационной структуры критической информационной системы с разной степенью детализации......... 66

2.2.4 Формализация описания топологии критической информационной системы с использованием теории графов...... 66

2.2.5 Моделирование критической информационной системы и адаптивной системы мониторинга безопасности с

использованием нейронных сетей........................................ 68

2.2.6 Применение стандартных средств защиты информации при передаче сообщений......................................................... 68

2.2.7 Использование различных средств защиты информации и мониторинга безопасности в зависимости от детализации структуры критической информационной системы.................. 68

2.2.8 Использование механизмов иммунной защиты ........................ 69

2.3 Средства описания структуры критических информационных систем........................................................................... 69

2.3.1 Язык для описания структуры критических информационных систем........................................................................... 69

2.3.2 Представление структуры критических информационных систем

в формализованном виде................................................... 70

2.4 Модель информационных процессов в структуре критических информационных систем................................................... 74

2.4.1 Формализация процессов в адаптивных средствах мониторинга безопасности.................................................................. 75

2.4.2 Формальная модель нейросетевых процессов........................ 77

2.4.3 Процесс активации операторных вершин.............................. 83

2.5 Метод адаптации нейросетевых средств мониторинга безопасности.................................................................. 89

2.5.1 Параллельная обработка операторных вершин........................ 89

2.5.2 Процесс в модели пакетной нейросетевой программы............... 96

2.5.3 Свойства модели нейросетевых процессов............................. 102

Выводы по главе 2............................................................ 107

Глава 3 Моделирование адаптивных средств мониторинга

безопасности критических информационных систем............. 109

3.1 Основы технологии разработки адаптивных систем мониторинга безопасности.................................................................. 110

3.1.1 Основные этапы разработки адаптивных систем мониторинга

безопасности.................................................................. 111

3.2 Модель адаптивной системы мониторинга безопасности критической информационной системы................................. 112

3.2.1 Основные положения модели адаптивной системы мониторинга безопасности.................................................................. 112

3.2.2 Механизмы реализации модели адаптивной системы мониторинга безопасности................................................. 116

3.2.3 Модель адаптивной системы мониторинга безопасности........... 120

3.3 Реализация и исследование модели адаптивной защиты с использованием квазилогических нейронных сетей.................. 127

3.3.1 Разработка нейросетевых средств классификации для адаптивной системы мониторинга безопасности..................... 128

3.3.2 Квазилогические нейронные сети для решения задачи классификации в системах мониторинга безопасности.............. 136

3.4 Реализация и исследование модели адаптивной системы мониторинга безопасности с использованием сетей адаптивного резонанса....................................................................... 144

3.4.1 Нейронные сети теории адаптивного резонанса....................... 144

3.4.2 Разработка архитектуры адаптивных средств классификации..... 151

3.4.3 Разработка программных моделей адаптивных средств классификации и их алгоритмическая интерпретация............... 156

3.4.4 Аудит событий в операционной системе «MS Windows»............ 159

Выводы по главе 3............................................................ 164

Глава 4 Программная поддержка процесса моделирования

адаптивных систем мониторинга безопасности................... 168

4.1 Моделирование классификаторов адаптивных уровней системы

мониторинга безопасности................................................. 168

4.1.1 Представление знаний для средств классификации в составе средств мониторинга безопасности........................................... 169

4.1.2 Разработка квазилогических классификаторов для системы мониторинга безопасности................................................. 172

4.1.3 Разработка инструментальной среды.................................... 173

4.1.4 Моделирование адаптивных средств мониторинга безопасности критических информационных систем.................................. 181

4.2. Исследование классификаторов адаптивных уровней системы

мониторинга безопасности................................................. 185

Выводы по главе 4............................................................ 188

Заключение...................................................................... 190

Перечень использованных источников................................... 192

Список используемых сокращений

..............1 " I........... , § 5

АСК адаптивное средство классификации

БД база данных

БЗ база знаний

ДА достоверность активации

ДНФ дизъюнктивная нормальная форма

ИБ информационная безопасность

ИТ информационная технология

КИС критическая информационная система

СЗИ средство защиты информации

КНФ конъюнктивная нормальная форма

кп командный пакет

лп лингвистическая переменная

МБ мониторинг безопасности

МРВС многофункциональные регулярные вычислительные структуры

мз механизм защиты

нл нечеткая логика

нм нечеткое множество

ни нечеткая переменная

НС нейронная система

НСД несанкционированный доступ

ОПУ относительный потенциальный ущерб

ОС операционная система

ПД пакет данных

пни пакетная нейросетевая программа

по программное обеспечение

УПД управлением потоком данных

ФН формальный нейрон

СБИС сверхбольшая интегральная схема

СППР система поддержки принятия решений

ЧАУ частота активации угроз

эм эволюционная методика

эс экспертная система

ВВЕДЕНИЕ

Актуальность темы исследования. Рынок средств обеспечения информационной безопасности (далее - ИБ) информационных технологий (далее - ИТ) представляет динамичную сферу капиталовложений, которая приносит немалую прибыль: рост рынка средств обнаружения компьютерных атак в 2010 г. составил $520 млн. [1]. Прогнозируются следующие тенденции развития систем обеспечения информационной безопасности (далее - ИБ):

интеллектуализация средств обеспечения ИБ и их интеграция с иными средствами защиты с целью всестороннего анализа состояния защищенности информационных систем для критических сфер применения (далее - КИС);

•S переход на защищенные платформы, объединяющие защищенную операционную систему и предварительно настроенную системы обнаружения атак;

S рост числа организаций, занимающихся аутсорсингом средств защиты.

Согласно прогнозам «Gartner», 85% крупнейших международных компаний с вероятностью 0,8 воспользуются к 2010 году функциями современных систем обнаружения аномалий. Обнаружение аномалий относится к наиболее актуальным проблемам различных федеральных целевых программ в области защиты информации. В разработанном научно-техническим советом НАТО ранжированном списке из 11 важнейших технических задач на период до 2010 г. три первые ориентированы на разработку аппаратных и аппаратно-программных систем обнаружения аномалий вычислительных процессов в современных и перспективных распределенных вычислительных системах на основе «TCP/IP». Актуальность задачи объясняется тем, что существующие системы обнаружения вторжений ежедневно обнаруживают до 600 попыток несанкционированного автоматического вторжения, что, по мнению экспертов, не более 17% от общего числа реально осуществляемых атак [1].

В этой связи научные и научно-технические издания обсуждают необходимость придания средствам защиты информации (далее - СЗИ) эволюционных качеств, присущих биосистемам, таких как возможность развития и адаптивность [2]. Известные производители программного обеспечения (далее - ПО), например, «Microsoft», заявляют о применении «технологии активной защиты» [3], основанной на оценке поведения программ с точки зрения их потенциальной опасности. В частности, СЗИ корректируют средства защиты компьютера при изменении его статуса или блокируют его, если возникает подозрение в заражении вирусом или проникновении злоумышленника [4].

Постановка задачи разработки технологии создания адаптивных средств мониторинга безопасности (далее - МБ) носит комплексный характер и использует биосистемную аналогию, начиная с формы представления информации,

программирования информационных процессов и заканчивая архитектурой КИС с встроенными механизмами обеспечения безопасности [5, 6].

Эволюция средств обработки информации осуществляется в направлении создания КИС с элементами самоорганизации, в которых присутствуют процессы зарождения, приспособления и развития [7]. На названных процессах основаны биологические системы, для которых характерны высокая защищенность, накопление опыта эволюции, селективный отбор. Заимствование архитектурных принципов биосистем привело к разработке теорий нейронных сетей (далее - НС), нечетких множеств (далее - НМ), эволюционных методик (далее - ЭМ), лежащих в основе искусственных интеллектуальных систем.

Как известно [8], биосистемы обладают многоуровневой иерархической системой жизнеобеспечения, реализованной с использованием комплекса механизмов информационной избыточности, защиты и иммунитета. Механизмы обеспечения ИБ современных КИС по возможностям далеки от биологических прототипов, в связи с чем разработка методологии создания адаптивных КИС с встроенными функциями жизнеобеспечения и защиты, основанных на биосистемной аналогии, представляется актуальной.

Основным направлением развития КИС, удовлетворяющим требованиям информационной безопасности, можно считать создание адаптивных средств МБ, удобных для технической реализации с привлечением современных наноэлектронных технологий [9] в виде сверхбольших интегральных схем (далее - СБИС), ориентированных на высоконадежные механизмы жизнеобеспечения и информационной защиты биосистем.

Высокая производительность КИС при решении задач, характеризующихся нечеткой, недостоверной информацией, нерегулярными процессами обработки с изменяющимися в процессе эксплуатации системы составом и взаимосвязями компонентов, может обеспечиваться параллелизмом нейросетевых вычислений и управлением потоком данных (далее - УПД). Подобные вычисления необходимы в задачах управления и обеспечения ИБ сложных комплексов на основе адаптивных КИС с защищенными процессами обработки и хранения больших объемов конфиденциальной информации.

Важным принципом биосистемной аналогии является представление жизненно важных функций и информации в форме топологии, например, генетического кода биологического вида [10]. Подход УПД описывает топологию КИС в виде совокупности командных пакетов (далее - КП), каждый из которых соответствует отдельному фрагменту топологии и определяет реализуемую фрагментом функцию, а также местоположение источников исходных данных и приемников результатов [11].

Пакеты данных (далее - ПД) предназначены для передачи результатов обработки информации от одних КП (источников) другим КП (приемникам).

Методология разработки адаптивных КИС с встроенными функциями информационной безопасности, предложенная в работах A.B. Суханова, в частности [12], представлена рядом этапов:

S представление структуры КИС в виде иерархии топологий, выполненных с различной степенью детализации;

S функциональным блокам структуры КИС соответствуют КП, информационным потокам - ПД;

S использование для представления информационных потоков, соответствующих различным уровням детализации, различное кодирование при представлении ПД;

S описание информационной структуры КИС с помощью графического языка;

S формирование структуры средств МБ в соответствии с топологий КИС;

S размещение уровней адаптивных классификаторов в структуре средств МБ;

S формирование базы знаний (далее - БЗ) экспертной системы (далее - ЭС) в виде правил логического вывода для каждого из уровней адаптивных классификаторов структуры средств МБ;

•S формирование базы данных (далее - БД) в виде экспертных или статистических оценок для каждого уровня адаптивных классификаторов в составе средств МБ;

V расчет интегрального показателя качества адаптивной системы МБ - целевой функции для оптимизации структуры средств МБ и топологии КИС;

•S коррекция БЗ и БД в процессе функционирования КИС с использованием механизмов адаптации нейросетевых средств;

■S оптимизация топологии КИС и адаптивной системы МБ в соответствии с критерием не убывания интегрального показателя качества системы МБ.

Известные технологии не ориентированы на разработку КИС, предназначенных для решения нечетких неформализуемых задач, где применимы нечеткие и нейросетевые средства, не учитывают специфику процессов, свойственных средствам интеллектуального анализа данных в составе средств МБ. Не разработаны конкретные модели и методы адаптации нейросетевых средств мониторинга безопасности КИС, способных приспосабливаться к изменению условий эксплуатации и множества угроз.

Целью диссертационной работы является разработка формальной модели процессов работы и метода адаптации нейросетевых средств, в составе систем МБ КИС, учитывающих изменение множества угроз, условий эксплуатации и ориентированных на специфику процессов, свойственных средствам интеллектуального анализа данных в режимах функционирования и обучения.

Задачи исследования. Основным объектом исследований являются КИС с встроенными функциями ИБ, а предметом исследований - формальная модель

процессов работы и метод адаптации средств интеллектуального анализа данных (средств МБ) в составе адаптивных систем МБ.

Основными задачами, решаемыми в настоящем исследовании, являются:

^ разработка формальной модели процессов работы и адаптации нейросетевых средств МБ;

^ работка метода адаптации нейросетевых средств мониторинга безопасности;

^ создание инструментального программного комплекса и методики его применения для исследования адаптивных средств МБ.

Методы исследований, примененные в диссертации, включают в себя методы теории информационной безопасности систем, теории нейронных сетей, теории нечетких множеств, теории схем программ, теории параллельных вычислительных систем, теории программирования, а также моделирование и исследование средств интеллектуального анализа данных в составе адаптивных систем МБ.

Научная новизна исследований. В результате исследований в диссертационной работе получены следующие новые научные результаты:

1) Разр�