автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.17, диссертация на тему:Представление информации в базе знаний адаптивной экспертной системы и оценка ее аппроксимирующих свойств

На правах рукописи

СВИРИН Илья Сергеевич

ПРЕДСТАВЛЕНИЕ ИНФОРМАЦИИ В БАЗЕ ЗНАНИЙ АДАПТИВНОЙ ЭКСПЕРТНОЙ СИСТЕМЫ И ОЦЕНКА ЕЕ АППРОКСИМИРУЮЩИХ СВОЙСТВ

Специальность 05 13 17 - Теоретические основы информатики

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Научный руководитель -доктор технических наук профессор В Н Голубкин

Москва - 2006

003067845

Работа выполнена на кафедре «Компьютерные системы и сети» (ИУ-6) факультета «Информатика и системы управления» (ИУ) Государственного образовательного учреждения высшего профессионального образования «Московский государственный технический университет имени Н Э Баумана»

(МГТУ имени Н Э Баумана)

Научный руководитель

доктор технических наук, профессор Голубкин Виктор Николаевич

Официальные оппоненты

доктор технических наук, профессор, заслуженный деятель науки РФ, член экспертного совета ВАК Костогрызов Андрей Иванович

кандидат технических наук, доцент Зубарев Игорь Витальевич

Ведущая организация

27 Центральный научно-исследовательский институт Министерства обороны Российской Федерации

Защита состоится «¿7/» 03 2007 г в /Счасов минут на заседании диссертационного совета Д 212 141 10 по защите диссертаций при Московском государственном техническом университете имени Н Э Баумана по адресу г Москва, ул 2-я Бауманская, 5

С диссертацией можно ознакомиться в библиотеке Московского государственного технического университета имени Н Э Баумана по адресу г Москва, ул 2-я Бауманская, 5

Просим Вас присылать отзыв, заверенный печатью учреждения по адресу 105005, г Москва, ул 2-я Бауманская, 5

Ученому секретарю диссертационного совета Д 212 141 10 Автореферат разослан «J¿?s> ¿7/ 2007 г

Ученый секретарь

диссертационного совета Д 212 141 10 кандидат технических наук, /?

доцент

Иванов С Р

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность Прогрессирующее влияние информационных технологий практически на все сферы жизнедеятельности современного общества свидетельствует о том, что принятие все более и более ответственных решений возлагается на автоматические системы принятия решения, в основе которых лежат экспертные системы Ввиду того, что исследуемые предметные области, как правило, плохо структурированы, а решаемые задачи зачастую не поддаются формализации в явном виде, экспертные системы проектируются с учетом необходимости автономной обработки поступающей информации и преобразования ее в знания в базах знаний для выявления закономерностей Таким образом, корректность и актуальность накопленных экспертной системой знаний определяют, в конечном счете, адекватность ее работы, а задача повышения достоверности принятия решения адаптивной экспертной системой является актуальной

Одной из современных областей применения адаптивных экспертных систем являются программные средства защиты программных систем, например, системы обнаружения компьютерных атак на программные системы В настоящее время разработано большое количество средств выявления компьютерных атак, различающихся по эффективности и области применения Однако практически все эти средства разработаны зарубежными производителями и не могут быть напрямую использованы при создании отечественной системы обнаружения компьютерных атак

Создание отечественной системы предупреждения и обнаружения компьютерных атак, обладающей достаточной эффективностью и уровнем доверенности, выделено как одно из приоритетных направлений государственной политики Российской Федерации в области информационной безопасности Об этом свидетельствует утвержденная в 2004 году Секретарем Совета Безопасности Российской Федерации «Концепция создания системы предупреждения и обнаружения компьютерных атак на критически важные сегменты информационной инфраструктуры Российской Федерации», разработанная межведомственной рабочей группой при ФСБ России

Одной из наиболее перспективных, но наименее проработанных технологий обнаружения компьютерных атак является технология обнаружения аномального поведения (anomaly detection), которая формирует и использует модели штатного поведения объектов контролируемой программной системы, интерпретируя отклонение от штатного поведения как потенциальное нарушение защиты Главное достоинство систем обнаружения аномального поведения

N

\

состоит в том, что они могут выявлять ранее неизвестные компьютерные атаки, но это достоинство сводится на «нет» большим количеством ложных тревог

Основной проблемой использования технологии обнаружения аномального поведения является необходимость построения модели штатного поведения объекта, что представляется трудно формализуемой и емкой задачей В настоящее время эта проблема решается применением искусственных нейронных сетей, которые не дают объяснения сделанному выводу о наличии или отсутствии компьютерной атаки и не предоставляют эксперту механизмов контроля ее полноты и непротиворечивости, и, как следствие - низкая достоверность обнаружения компьютерных атак Это существенно ограничивает применение технологии выявления аномальной деятельности в современных системах обнаружения компьютерных атак

Таким образом, разработка адаптивной модели представления знаний в базе знаний экспертной системы и метода извлечения знаний, накопленных в процессе ее обучения, имеет существенное практическое значение и решает важную научную задачу повышения достоверности принятия решения адаптивной экспертной системой

Цель работы Повышение достоверности принятия решения адаптивной экспертной системой на примере системы обнаружения компьютерных атак на программные системы

Общая научная задача обеспечение адаптивного представления информации в базе знаний экспертной системы с возможностью извлечения накопленных в процессе обучения знаний Для достижения поставленной цели выполнено

1 анализ современных способов представления знаний, методов формирования баз знаний и их применения для построения адаптивных экспертных систем,

2 разработка и исследование адаптивной модели представления знаний на основе нечеткой семантической векторной структуры и доказательство теоремы об ее аппроксимирующих свойствах,

3 разработка, реализация и экспериментальная проверка метода обучения нечеткой семантической векторной структуры,

4 разработка, реализация и экспериментальная проверка метода извлечения знаний, накопленных в процессе обучения адаптивной модели представления знаний,

5 разработка, исследование и экспериментальная проверка метода априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний

Предметом исследования являются вопросы обработки и преобразования информации в знания для накопления их в базах знаний адаптивных экспертных систем для выявления 2

закономерностей и расширения интеллектуальных возможностей программных средств защиты программных систем на примере системы обнаружения компьютерных атак

Методы исследования Теоретические исследования проведены с использованием методов теории информации, общей теории оптимизации, теории вероятностей, математического анализа и теории систем искусственного интеллекта Экспериментальная часть работы основана на численных методах машинного моделирования и вычислительного эксперимента с использованием языков программирования высокого уровня и системы математического моделирования МАТ1.АВ

Достоверность научных положений, выводов и практических рекомендаций подтверждается полнотой и корректностью исходных посылок, теоретическим обоснованием, основанным на использовании строгого математического аппарата, практически полным совпадением теоретических результатов с результатами выполненных экспериментов и внедрением полученных результатов

Научная новизна работы заключается в следующем

1 предложена новая адаптивная модель представления знаний в базах знаний экспертных систем и разработан алгоритм ее обучения,

2 разработан метод извлечения знаний, накопленных в процессе обучения адаптивной модели представления знаний, в формат доступный для анализа человеком-экспертом,

3 предложен метод априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний,

4 предложен новый подход к формированию модели штатного поведения программной системы на основе совокупности правил, описывающих зависимости между основными параметрами функционирования системы, и проработаны вопросы его применения для обнаружения компьютерных атак на программные системы

Практическая ценность Разработанная автором нечеткая семантическая векторная структура позволяет представлять знания в базах знаний адаптивных экспертных систем Практическая применимость разработанной адаптивной модели основана на доказанной автором теореме об ее аппроксимирующих свойствах

Предложенный подход к извлечению знаний из семантически непрозрачных аппроксимирующих структур позволит перевести существующие адаптивные экспертные системы, использующие математический аппарат искусственных нейронных сетей и др, на работу с системами принятия решения с прозрачной логикой, а также совместно использовать математический аппарат искусственных нейронных систем и систем принятия решения с прозрачной логикой В последнем случае искусственные нейронные

сети можно использовать для быстрого и эффективного формирования модели объекта предметной области, а систему принятия решения с прозрачной логикой для формализации накопленных нейронной сетью знаний в вид, понятный эксперту

Разработанный автором метод априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний позволяет проводить сравнительных анализ аппроксимирующих структур в принципиально иной плоскости, рассматривая качество аппроксимации, как математическое свойство, которое может быть оценено количественно без предварительного моделирования (тестового обучения) аппроксиматора

Особенность разработанного метода состоит в том, что в качестве оцениваемой величины выступает количество информации, которое может быть представлено аппроксимирующей структурой, а не ошибка аппроксимации конкретной функциональной зависимости Такой подход делает оценку инвариантной относительно метода обучения аппроксиматора, а следовательно, позволяет говорить о существовании предельных аппроксимирующих характеристик и оптимальных методов обучения, исследование которых выделяется автором, как предмет дальнейших исследований Отсутствие в настоящее время известных методов априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний, определяет практическую значимость разработанного и реализованного метода оценки

Кроме того, практическую значимость работы определяет следующее

-разработан и реализован в виде программного продукта аппроксиматор на базе нечеткой семантической векторной структуры (свидетельство Роспатента № 2006611864),

-разработан язык представления знаний в терминах нечетких множеств и его интерпретатор РиггуКегпе! (свидетельство Роспатента №2005611660),

-создан программный компонент адаптивной настройки параметров изображения для системы охранного телевидения (свидетельство Роспатента №2005611007, патент Российской Федерации на изобретение № 2282313)

Разработанные программные продукты могут быть применены при построении адаптивной экспертной системы, в том числе при создании программной системы обнаружения компьютерных атак на программные системы

Результаты диссертационной работы реализованы и внедрены в ряде продуктов, разработанных в интересах Минобороны Российской Федерации (имеются соответствующие акты о внедрении) 4

-Акт от 16 05 2006 г утвержденный Начальником Восьмого управления Генерального штаба Вооруженных Сил Российской Федерации (ГШ ВС РФ) свидетельствует о том, что в материалах проходящего сертификацию изделия ЦАВМ 30101-01, предназначенного для эксплуатации на объектах информатизации МО РФ реализованы научные результаты, полученные в кандидатской диссертации Свирина И С ,

-Акт от 19 05 2006 г утвержденный Начальником Восьмого управления ГШ ВС РФ свидетельствует о том, что на объектах информатизации МО РФ в составе изделий, разработанных в рамках опытно-конструкторской работы (ОКР) «Заслонка» и ряда других, а также в опытных образцах ОКР «Недуг» были проверены и реализованы научные результаты, полученные в кандидатской диссертации Свирина И С

Основные положения и результаты, выносимые на защиту

1 адаптивная модель представления знаний в базе знаний экспертной системы и метод ее обучения,

2 метод извлечения знаний, накопленных в процессе обучения адаптивных моделей представления знаний,

3 метод априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний,

4 подход к формированию модели штатного поведения программной системы на основе совокупности правил, описывающих зависимости между основными параметрами функционирования системы

Личный вклад автора Все основные научные результаты, адаптивная модель представления знаний, метод ее обучения, метод априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний, разработанные на их основе алгоритмы и программные средства, экспериментальные исследования, приведенные в диссертации, получены автором лично

Структура и объем работы Диссертация состоит из введения, 8 глав и заключения, изложенных на 254 страницах машинописного текста, иллюстрированного графиками и рисунками, библиографии, включающей 133 наименования

Апробация результатов работы По результатам диссертационных исследований опубликовано 15 печатных работ Среди них 8 статей, 2 труда в материалах конференций, 1 патент на изобретение, 4 свидетельства об официальной регистрации программ для ЭВМ

Основные положения диссертации докладывались и обсуждались

1 на XI конференции-выставке «Достижения и перспективы военной информатизации» - «Модуль-2006» (27 ЦНИИ МО РФ),

2 на XV общероссийской научно-технической конференции

«Методы и технические средства обеспечения безопасности информации»,

3 на научно-техническом совете Всероссийского научно-исследовательского института автоматизации управления в непромышленной сфере имени В В Соломатина (ОАО «ВНИИНС»)

КРАТКОЕ СОДЕРЖАНИЕ РАБОТЫ Во введении обосновывается важность и актуальность темы диссертации, определяются цель и задачи исследования, характеризуется научная новизна и практическая значимость работы, а также излагаются сведения по апробации и реализации полученных результатов

В первой главе выполняется анализ применения аппроксимирующих структур для представления информации в базах знаний адаптивных экспертных систем Выполняется анализ основных проблем повышения достоверности принятия решения адаптивными экспертными системами Выделяется три направления исследований

1 разработка адаптивной модели представления информации в базе знаний экспертной системы,

2 разработка метода оценки аппроксимирующих свойств адаптивных моделей представления знаний для выполнения обоснованного выбора аппроксимирующей структуры при построении базы знаний адаптивной экспертной системы,

3 разработка метода извлечения знаний, накопленных в базе знаний адаптивной экспертной системы в процессе ее обучения

Выполняется постановка задачи повышения достоверности принятия решения адаптивной экспертной системы

Рассматривается практическое использование адаптивных экспертных систем для построения программных средств защиты программных систем на примере системы обнаружения компьютерных атак Выполняется анализ современных систем обнаружения компьютерных атак Рассматривается типовая архитектура распределенной системы обнаружения компьютерных атак, методика и критерии сравнения систем обнаружения компьютерных атак Приводится сравнительный анализ современных систем обнаружения компьютерных атак в соответствии с рассмотренной методикой и критериями сравнения Задача повышения достоверности обнаружения компьютерных атак представляется как задача повышения достоверности принятия решения адаптивной экспертной системой, на основе которой строится система обнаружения компьютерных атак

Во второй главе разрабатывается адаптивная модель представления знаний на основе семантической векторной структуры

Знания описываются математической моделью вида (ч'к,о,и), где N - мерное евклидово пространство, о - множество объектов предметной области, представленных векторами в пространстве Щр„о})=/(г(р„о1)) - отношение между двумя объектами предметной области (термами) является функцией от расстояния между векторами, описывающими эти объекты в пространстве

Вводится понятие нечеткой семантической векторной структуры, в которой для связи векторов с объектами предметной области и осуществления вывода используется математический аппарат нечеткой логики

Последовательность вывода в нечеткой семантической векторной структуре такова

1 приведение к нечеткости - фаззификация ((иггуЯсаЬоп) -определение истинности входных термов с использованием обобщенной функции Гаусса,

2 определение истинности для каждого выходного терма в соответствии со значением функции отношения для каждого выходного терма,

3 приведение к четкости - дефаззификация ((Зе^ггуАса^оп) центроидным методом

| 1

с учетом обозначений в,(х,) = е ^ ' ,К(г1;) = е

В основе доказательства теоремы об аппроксимирующих свойствах нечеткой семантической векторной структуры лежит теорема об универсальном аппроксиматоре Стоуна-Вейерштрасса

Теорема об аппроксимирующих свойствах нечеткой семантической векторной структуры ■ Для каждой вещественной непрерывной функции g(х), заданной на компакте и, и для произвольного е>о существует нечеткая семантическая векторная структура, формирующая выходную функцию /О) такую, что вирЦ^м-Л*)!^, где ¡•¡] - символ принятого расстояния между функциями

Способность нечеткой семантической векторной структуры, характеризующейся рядом нелинейных функций от одной переменной, к аппроксимации нелинейной функции от многих переменных свидетельствует о возможностях практического применения нечетких семантических векторных структур, в т ч для построения баз знаний адаптивных экспертных систем

В третьей главе разрабатывается метод обучения нечеткой семантической векторной структуры, управляемыми параметрами которой являются параметры Гауссовых функций принадлежности термов (а„д,<т,) и координаты векторов, задающих термы в пространстве представления знаний {х,=(х% ,хгде N -размерность пространства представления знаний)

Задача обучения нечеткой семантической векторной структуры рассматривается, как требование минимизировать целевую функцию Е(г), для чего традиционно применяются градиентные алгоритмы, которые в теории оптимизации считаются наиболее эффективными

Искомый градиент поверхности ошибок определяется выражением

Величина коррекции с учетом нормы обучения ц определяется как

&г1т=-—п Для определения направления коррекции положения

Ъгы

вектора предлагается два метода

1 коррекция на базе направляющего вектора,

2 коррекция на основе вектора градиента по координатам терма Метод направляющего вектора предполагает коррекцию положения

вектора в одном из двух противоположных направлений, лежащих на прямой, соединяющей входной и выходной терм Введем вектор хАВ, определяющий направление от входного терма л к выходному в, как хлв = [х°в-х°, ,х"в -х") Направляющим вектором называется

у

нормированный вектор где глв- расстояние между термами л

и в Тогда вектор коррекции хл определяется выражением хл = Хав&лв . а новое положение входного терма А определяется как л' = л+хА

В методе коррекции на основе вектора градиента по координатам терма дополнительно определяются частные производные ошибки по координатам вектора, т е вычисляется вектор градиента поверхности ошибок по координатам терма в пространстве представления знаний

Для определения параметров функций принадлежности входных термов а„Д,сг,, а также центров дефаззификации с, также предлагается использовать алгоритм наискорейшего спуска Градиент поверхности ошибок по соответствующим параметрам Гауссовых

у

функций

да}*

ЕсД

8Е _ 5кОт{х,ЩЛ 1-3.)

да™

Ез

Т.*

(<хГ>Г '

3£ .ВДАМ-М

ЕСА

Е*/

Е*,

(*,-<*,'"'Г

еоК"

-У

Градиент поверхности ошибок по центрам дефаззификации выходных термов с„ определяется выражением

ае

Эс„

=

В работе получены выражения для определения значений всех управляемых параметров нечеткой семантической векторной структуры

В четвертой главе разрабатывается метод априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний, для чего применяются основные положения теории информации, а в качестве численной оценки использована энтропия нормированного частотного спектра

В качестве исходных посылок принимаются следующие тезисы -любая функциональная зависимость несет в себе некоторый объем информации,

-если функциональная зависимость задана с определенной точностью е и ограничена ее область определения, то количество информации, заключенное в такой функциональной зависимости конечно,

-любая аппроксимирующая структура представляет собой функциональную зависимость,

-любая аппроксимирующая структура с конечным числом структурных элементов с определенной точностью е и ограниченной областью определения может содержать (представлять) конечный объем информации

На основании изложенных тезисов утверждается - аппроксимирующая структура, которая содержит больший объем

информации, является лучшим аппроксиматором,

-функциональная зависимость может быть с заданной точностью представлена аппроксимирующей структурой, если информация, которую эта зависимость в себе несет, не превышает информации, которую может представить аппроксимирующая структура

В качестве инструмента, обеспечивающего анализ внутренней структуры функциональной зависимости, предлагается использовать преобразование Фурье, позволяющее вычислить частотный спектр исследуемой функциональной зависимости, а следовательно, выявить ее структурные внутренние компоненты

Алгоритм спектрального анализа количества информации в функциональной зависимости /(*) предполагает

1 определение верхней граничной частоты а, функциональной зависимости /(*),

2 выбор частоты дискретизации юд (т е шага дискретизации д*), в соответствии с теоремой Котепьникова ад>2т,,

3 выполнение дискретизацию исходной зависимости /(*) с шагом Дх и получение дискретной функции /(и),и=0,лг,

4 представление /(л) в частотной области,

5 нормирование частотного представления функциональной

1: (N

зависимости р(к) = „ , при этом £/>(£)=1.

6 вычисление количества информации, содержащегося

N

в функциональной зависимости //м=-£р(01°8Р(») Величина 1т

1=0

в теории информации называется энтропией и представляет собой численную характеристику степени упорядоченности (неопределенности) системы (в данном случае, функциональной зависимости)

Для обеспечения практического применения предложенного метода приводится доказательство равенства 1/(,)=1/1ах)=1ь/(1), где а,ъ -произвольные вещественные константы, отличные от нуля

Теорема 1 Количество информации, заключенное в функциональной зависимости Дх), и количество информации, заключенное в функциональной зависимости ъ/(х), равны (ъ -произвольная вещественная константа, отличная от нуля)

Теорема 2 Количество информации, заключенное в функциональной зависимости /(*), и количество информации, заключенное в функциональной зависимости /(ах), равны (а -произвольная вещественная константа, отличная от нуля)

Выделяется два аспекта практического применения разработанного метода оценки количества информации, заключенной в функциональной зависимости

-сравнительная оценка аппроксимирующих свойств различных аппроксиматоров,

-оценка возможности представления функциональной зависимости некоторого вида тем или иным аппроксиматором

Проводится экспериментальное исследование разработанного метода оценки количества информации с использованием системы математического моделирования МАТ1.АВ Результаты экспериментов свидетельствуют о возможности применения разработанного метода для выбора аппроксимирующей структуры для построения базы знаний адаптивной экспертной системы, например, программной системы обнаружения компьютерных атак с использованием технологии выявления аномальной деятельности

При работе адаптивной экспертной системы в режиме накопления знаний (обучения), исследуемая функция известна только частично, т е имеется некоторое ее приближение, аппроксимированное по множеству дискретных значений Для применения разработанного метода оценки количества информации требуется вычисление частотного спектра этого приближения Предлагается архитектура нейронной сети с базисными функциями Фурье, которая обеспечивает в процессе аппроксимации функциональной зависимости вычисление ее частотного спектра

В пятой главе разрабатывается метод извлечения знаний, накопленных в процессе обучения адаптивной моделью представления знаний, в т ч семантически непрозрачной (например, искусственная нейронная сеть), который предполагает

1 использование обученной семантически непрозрачной аппроксимирующей структуры в качестве модели объекта предметной области (заменить ее откликами реакции объекта),

2 выполнение обучения аппроксимирующей структуры, обеспечивающей механизмы последующего извлечения накопленных знаний (например, нечеткой семантической векторной структуры), на основе откликов семантически непрозрачной структуры,

3 представление извлеченных знаний в виде системы правил (например, в терминах нечетких множеств на языке формального описания знаний интерпретатора РиггуКегпе!)

Выделяются универсальные этапы извлечения знаний из любых аппроксимирующих структур

-упрощение аппроксимирующей структуры за счет исключения избыточных структурных элементов,

-наделение семантикой оставшихся после упрощения

структурных элементов

Предложенный алгоритм конкретизируется для решения задачи извлечения знаний из нечеткой семантической векторной структуры

Задача упрощения аппроксимирующей структуры ставится как задача исключения избыточных структурных элементов Вводится критерий избыточности структурного элемента, в соответствии с которым структурный элемент является избыточным, если его исключение из состава аппроксимирующей структуры не нарушает

преобразованной структуры от начальной, Е^ - среднее отклонение преобразованной структуры от начальной, |«| - расстояние между значениями аргументов, е„¿гг - положительные действительные числа, определяющие допустимые ошибки аппроксимации упрощаемой структуры Чем меньше заданы их значения, тем меньше будет погрешность аппроксимации, но тем больше структурных элементов останется в ее составе, а следовательно, больше правил получится в сформированном вербальном представлении Большое количество правил затрудняет восприятие человеком-экспертом, а малое количество правил приводит к потере существенной информации, важной с точки зрения исследуемого процесса

Процедура наделения семантикой оставшихся структурных элементов предполагает выполнение следующих операций

-формирование множества функций принадлежности для входных переменных (автоматически),

-формирование множества функций принадлежности для выходных переменных (автоматически),

-лингвистическое описание выделенных нечетких множеств в соответствии со сформированными функциями принадлежности (с участием эксперта),

- формирование системы нечетких правил (автоматически) Выполнение лингвистического описания выделенных нечетких множеств осуществляется с участием человека-эксперта Носителями семантики Гауссовых функций принадлежности являются их центры По значению центра назначается лингвистическое описание, например, «большой», «быстрый», «редкий», «медленный», «много» и др

В шестой главе проводится экспериментальное исследование свойств нечеткой семантической векторной структуры, которое подтверждает наличие аппроксимирующих свойств у нечеткой семантической векторной структуры Приводятся практические рекомендации по организации процесса обучения

Демонстрируется возможность упрощения нечеткой семантической

системы

где Е,

максимальное отклонение

векторной структуры за счет исключения избыточных структурных элементов в соответствии с предложенным алгоритмом упрощения, что позволяет применять ее для представления знаний с последующим извлечением.

В седьмой главе проводится экспериментальное исследование применения нечеткой семантической векторной структуры для формирования модели штатного поведения программной системы.

В качестве модели штатного поведения системы используется множество зависимостей между параметрами функционирования системы, в частности зависимость между количеством включенных рабочих станций и интенсивностью следования пакетов сетевого трафика. Полученная в результате обучения зависимость приведена на рисунке 1.

Отклонение реальной обстановки от выявленной зависимости более чем на заданную величину е — аномалия.

а) б)

Рис. 1. Зависимость интенсивности следования пакетов сетевого трафика {ось Т) от количества включенных компьютеров {ось X) и количества зарегистрированных пользователей (ось У}; а) в результате обучения; б) после упрощения семантической векторной структуры.

Формируется система правил, описывающих модель штатного поведения контролируемой системы:

-если количество включенных компьютеров зарегистрированных пользователей среднее, то следования пакетов сетевого трафика низкая;

-если количество включенных компьютеров зарегистрированных пользователей среднее, то следования пакетов сетевого трафика средняя;

-если количество включенных компьютеров зарегистрированных пользователей большое, то следования пакетов сетевого трафика высокая.

Анализ вербального представления модели штатного поведения системы показывает, что сформированная система правиг отвечает

и количество интенсивность

и количество интенсивность

и количество интенсивность

семантическим ожиданиям человека-эксперта

Положительный результат эксперимента свидетельствует о том, что семантическая векторная структура может быть эффективно использована для формирования модели штатного поведения программной системы с возможностью извлечения накопленных знаний для анализа их непротиворечивости и полноты человеком-экспертом

В восьмой главе описывается разработка системы обнаружения компьютерных атак на программные системы Демонстрируется решение прикладной задачи с использованием предложенных моделей и методов Разработанная система обнаружения компьютерных атак на программные системы успешно прошла государственные испытания, в настоящее время проходит сертификацию на соответствие требованиям безопасности Минобороны Российской Федерации

Система обнаружения компьютерных атак представляет собой многокомпонентный распределенный программный комплекс Объектом разработки и исследования данной диссертации являются компоненты, обеспечивающие обнаружение компьютерных атак с использованием технологии выявления аномальной деятельности

Основным отличием разработанной системы обнаружения компьютерных атак от существующих аналогов является наличие механизмов вербализации модели штатного поведения системы, которые обеспечивают формирование описания полученной модели в нотации, понятной человеку-эксперту Анализ вербального представления позволяет выявить и исключить некорректные компоненты модели

С использованием разработанного метода априорной оценки выполняется выбор нечеткой семантической векторной структуры в качестве аппроксимирующей структуры для построения базы знаний системы обнаружения компьютерных атак

Проводится исследование функционирования разработанной системы обнаружения компьютерных атак на реальной автоматизированной системе

В заключении формулируются основные результаты, полученные в работе

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

В диссертационной работе получено решение важной научно-технической задачи повышения достоверности принятия решения адаптивной экспертной системой на примере системы обнаружения компьютерных атак на программные системы

Основные результаты работы заключаются в следующем 1 разработана адаптивная модель представления знаний в базах знаний экспертный систем на основе нечеткой семантической векторной

структуры Доказательство теоремы об ее аппроксимирующих свойствах позволяет сделать вывод о возможности практического применения разработанной модели для построения базы знаний адаптивной экспертной системы,

2 разработан метод обучения нечеткой семантической векторной структуры Получены аналитические выражения для определения градиента поверхности ошибок по всем управляемым параметрам нечеткой семантической векторной структуры Это делает возможным применение нечеткой семантической векторной структуры для адаптивного формирования базы знаний экспертной системы,

3 разработан метод априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний в базах знаний экспертных систем Разработанный метод позволяет на этапе проектирования экспертной системы произвести и обосновать выбор аппроксимирующей структуры для построения базы знаний,

4 разработан метод извлечения знаний из адаптивных моделей представления знаний в базах знаний Предложено представлять извлеченные знания в виде программы для интерпретатора РиггуКегпе! (свидетельство Роспатента № 2005611660), что позволяет выполнить анализ накопленных в процессе обучения знаний человеком-экспертом и исключить из логики принятия решения некорректные компоненты модели, а следовательно повысить достоверность принятия решения,

5 предложен новый подход к формированию модели штатного поведения программной системы, основанный на использовании множества характерных зависимостей между параметрами функционирования контролируемой системы, что в отличие от традиционного подхода позволяет значительно повысить достоверность обнаружения компьютерных атак на программные системы,

6 разработана действующая система обнаружения компьютерных атак на программные системы, обладающая достаточным уровнем доверенности и эффективности для применения на объектах автоматизации Минобороны Российской Федерации Эксплуатация системы на опытных участках информационной инфраструктуры Министерства обороны Российской Федерации показала, что применение разработанных методов приводит к уменьшению числа ложных срабатываний на 30% без увеличения числа ложных пропусков

ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1 Свирин И С , Жуков И Ю Кластер построение отказоустойчивой распределенной серверной системы Часть 1 // Промышленные АСУ и контроллеры - 2003 - №2 - С 41-44

2 Свирин И С , Жуков И Ю Кластер построение отказоустойчивой распределенной серверной системы Часть 2 II Промышленные АСУ и контроллеры -2003 -№3 - С 40-42

3 Свирин И С, Нейросетевой подход построения системы обнаружения атак // Информатика и системы управления в XXI веке -М , 2003 - С 424 - 435

4 Свирин И С , Принципы построения и функционирования ложных информационных объектов в IP-сетях // Информатика и системы управления в XXI веке - М , 2003 - С 215 - 226

5 Патент на изобретение RU 2282313 С1 (РФ) Бюл №23 Способ автоматической настройки параметров изображения / И С Свирин -2006

6 Ас 2005611007 (РФ) ПрЭВМ NordavindCCTV/ И С Свирин-2005

7 Ас 2005611660 (РФ) ПрЭВМ FuzzyKernel/ И С Свирин-2005

8 Ас 2006611864 (РФ) ПрЭВМ UniAPP / И С Свирин-2005

9 Ас 2005611473 (РФ) ПрЭВМ NordavindVideoCluster/ И С Свирин-

2005

10 Свирин И С Обнаружение и предотвращение компьютерных атак в АС ВН // Достижения и перспективы военной информатизации Тезисы докладов XI конференции-выставки - М , 2006 - С 34-37

11 Свирин И С Методология построения и оценки адекватности модели штатного поведения системы II Методы и технические средства обеспечения безопасности информации Тезисы докладов XV общероссийской научно-технической конференции - СПб , 2006 -С 104

12 Свирин И С Аналитический метод оценки качества представления информации в модели штатного поведения системы // Проблемы информационной безопасности Компьютерные системы -2006 — №2 - С 45-49

13 Маняшин С М , Жуков И Ю , Свирин И С , Юраков Ю Д Защита информации в автоматизированных системах военного назначения в условиях современных угроз // Безопасность сетей и средств связи -

2006 — №1 -С 137-146

14 Свирин И С PDA для хакера сетевая атака из кармана' //Мобильные компьютеры -2002 -№6 - С 14-16

15 Свирин И С Вирусы для PDA Вирусная атака на карманные компьютеры миф или реальность? И Мобильные компьютеры - 2002 - №4 - С 18-20

Подписано в печать 22 01 2007 Формат 60x84 1/16 Услпечл1,05 Учиздл0,96 Бумага офсетная Тираж 100 экз Заказ №__

Отпечатано в Всероссийском научно-исследовательском институте автоматизации управления в непромышленной сфере им В В Соломатина 117638, г Москва, ул Сивашская, д 4/2

Введение.

Глава 1. Анализ предметной области и постановка задачи.

1.1. Введение в проблематику построения адаптивных экспертных систем на примере систем обнаружения компьютерных атак.

1.2. Анализ современных адаптивных экспертных систем на примере системы обнаружения компьютерных атак.

1.2.1. Типовая архитектура системы обнаружения атак.

1.2.2. Методика и критерии сравнения систем обнаружения компьютерных атак.

1.2.3. Сравнительный анализ современных систем обнаружения компьютерных атак.

1.3. Анализ применения аппроксимирующих структур для хранения информации в базах знаний экспертных систем на примере системы обнаружения компьютерных атак.

1.3.1. Технологии обнаружения атак на информацию.

1.3.2. Современные подходы к обнаружению атак на информацию.

1.3.3. Анализ проблемных направлений повышения достоверности обнаружения компьютерных атак.

1.4. Анализ проблемы хранения информации в базе знаний адаптивной экспертной системы.

1.4.1. Информация и знания с точки зрения систем искусственного интеллекта.

1.4.2. Обзор способов представления знаний.

1.4.3. Анализ методов формирования базы знаний.

1.5. Анализ проблемы оценки эффективности представления информации аппроксимирующими структурами.

1.5.1. Критерии оценки качества аппроксимирующих структур.

1.5.2. Апостериорные и априорные оценки аппроксимирующих свойств.

1.6. Анализ проблемы извлечения накопленных знаний.

1.6.1. Логическая прозрачность аппроксимирующих структур.

1.6.2. Применение аппроксимирующих механизмов для представления знаний.

1.6.3. Анализ существующих методов извлечения знаний.

1.7. Постановка задачи повышения достоверности принятия решения адаптивной экспертной системой.

1.8. Выводы.

Глава 2. Разработка математической модели представления знаний на основе семантической векторной структуры.

2.1. Описание математической модели.

2.2. Представление знаний в семантической векторной структуре.

2.3. Применение аппарата нечеткой логики для вывода в семантической векторной структуре.

2.3.1. Отношения между элементами нечеткой семантической векторной структуры.

2.3.2. Вывод в нечеткой семантической векторной структуре.

2.3.3. Анализ границ применимости нечеткой семантической векторной структуры при решении задачи обнаружения компьютерных атак.

2.4. Теорема об аппроксимирующих свойствах нечеткой семантической векторной структуры.

2.5. Выводы.

Глава 3. Разработка метода обучения нечеткой семантической векторной структуры.

3.1. Постановка задачи обучения нечеткой семантической векторной структуры.

3.2. Разработка градиентного метода определения взаимного расположения входных термов.

3.2.1. Общие положения.

3.2.2. Метод наискорейшего спуска.

3.2.3. Применение метода переменной метрики.

3.3. Разработка метода коррекции координат терма в пространстве представления знаний.

3.3.1. Метод направляющего вектора.

3.3.2. Метод градиента по координатам терма.

3.3.3. Принцип суперпозиции коррекции.

3.4. Разработка метода коррекции параметров функций принадлежности термов.

3.5. Подбор коэффициента обучения.

3.5.1. Безградиентный метод.

3.5.2. Градиентный метод.

3.6. Выводы.

Глава 4. Разработка метода априорной оценки качества аппроксимирующих структур.

4.1. Общие положения.

4.2. Оценка количества информации в функциональной зависимости методом временного анализа.

4.3. Оценка количества информации в функциональной зависимости методом спектрального анализа.

4.4. Проблема применения метода к линейной композиции функций.

4.5. Применение разработанного метода.

4.6. Экспериментальная проверка предложенного метода.

4.6.1. Эксперимент №1.

4.6.2. Эксперимент №2.

4.6.3. Эксперимент №3.

4.7. Разработка нейронной сети с базисными функциями Фурье для использования в методе оценки количества информации.

4.7.1. Разработка нейронной сети с базисными функциями Фурье.

4.7.2. Обучение нейронной сети с базисными функциями Фурье.

4.7.3. Исследование нейронной сети с базисными функциями Фурье.

4.8. Выводы.

Глава 5. Разработка метода извлечения знаний.

5.1. Разработка метода извлечения знаний из семантически непрозрачных аппроксимирующих структур.

5.2. Разработка метода извлечения знаний, накопленных в процессе обучения семантической векторной структуры.

5.2.1. Упрощение нечеткой семантической векторной структуры.

5.2.2. Наделение семантикой оставшихся после упрощения структурных элементов.

5.2.3. Автоматизированное формирование вербального представления извлеченных знаний.

5.3. Выводы.

Глава 6. Экспериментальное исследование аппроксимирующих свойств семантической векторной структуры.

6.1. Постановка задачи для выполнения эксперимента для исследования аппроксимирующих свойств семантической векторной структуры.

6.2. Описание эксперимента №1 «Сравнительный анализ аппроксимирующих свойств семантической векторной структуры и искусственной нейронной сети».

6.2.1. Моделирование работы семантической векторной структуры.

6.2.2. Моделирование работы искусственной нейронной сети.

6.2.3. Выводы по результатам эксперимента.

6.3. Описание эксперимента №2 «Анализ возможности упрощения семантической векторной структуры».

6.3.1. Выполнение эксперимента.

6.3.2. Выводы по результатам эксперимента.

6.4. Выводы.

Глава 7. Экспериментальное исследование применения семантической векторной структуры для формирования модели штатного поведения системы.

7.1. Разработка подхода к формированию модели штатного поведения системы.

7.2. Экспериментальное формирование и исследование модели штатного поведения системы на базе нечеткой семантической векторной структуры.

7.2.1. Описание эксперимента.

7.2.2. Работа аппроксиматора в режиме обучения.

7.2.3. Извлечение накопленных в процессе обучения знаний.

7.3. Выводы.

Глава 8. Разработка системы обнаружения компьютерных атак на базе технологии выявления аномальной деятельности.

8.1. Структурная схема системы обнаружения компьютерных атак.

8.1.1. Агентский модуль системы обнаружения компьютерных атак.

8.1.2. Серверный модуль системы обнаружения компьютерных атак.

8.1.3. Решатель системы обнаружения компьютерных атак.

8.1.4. Компоненты реагирования системы обнаружения компьютерных атак.

8.2. Объектная модель решателя системы обнаружения компьютерных атак.

8.3. Выбор аппроксимирующей структуры для представления знаний в базе знаний системы обнаружения компьютерных атак.

8.4. Экспериментальное исследование работы механизмов выявления аномальной деятельности системы обнаружения компьютерных атак.

8.5. Выводы.

Актуальностьработы. Прогрессирующее влияние информационных технологий практически на все сферы жизнедеятельности современного общества свидетельствует о том, что принятие все более и более ответственных решений возлагается на автоматические системы принятия решения, в основе которых лежат экспертные системы. Ввиду того, что исследуемые предметные области, как правило, плохо структурированы, а решаемые задачи зачастую не поддаются формализации в явном виде, экспертные системы проектируются с учетом необходимости автономной обработки поступающей информации и преобразования ее в знания в базах знаний для выявления закономерностей. Таким образом, корректность и актуальность накопленных экспертной системой знаний определяют, в конечном счете, адекватность ее работы, а задача повышения достоверности принятия решения адаптивной экспертной системой является актуальной.

Одной из современных областей применения адаптивных экспертных систем являются программные средства защиты программных систем, например, системы обнаружения компьютерных атак на программные системы. В настоящее время разработано большое количество средств выявления компьютерных атак, различающихся по эффективности и области применения. Однако практически все эти средства разработаны зарубежными производителями и не могут быть напрямую использованы при создании отечественной системы обнаружения компьютерных атак.

Создание отечественной системы предупреждения и обнаружения компьютерных атак, обладающей достаточной эффективностью и уровнем доверенности, выделено как одно из приоритетных направлений государственной политики Российской

Федерации в области информационной безопасности. Об этом свидетельствует утвержденная в 2004 году Секретарем Совета Безопасности Российской Федерации «Концепция создания системы предупреждения и обнаружения компьютерных атак на критически важные сегменты информационной инфраструктуры Российской Федерации», разработанная межведомственной рабочей группой при ФСБ России.

Одной из наиболее перспективных, но наименее проработанных технологий обнаружения компьютерных атак является технология обнаружения аномального поведения (anomaly detection), которая формирует и использует модели штатного поведения объектов контролируемой программной системы, интерпретируя отклонение от штатного поведения как потенциальное нарушение защиты. Главное достоинство систем обнаружения аномального поведения состоит в том, что они могут выявлять ранее неизвестные компьютерные атаки, но это достоинство сводится на «нет» большим количеством ложных тревог.

Основной проблемой использования технологии обнаружения аномального поведения является необходимость построения модели штатного поведения объекта, что представляется трудно формализуемой и емкой задачей. В настоящее время эта проблема решается применением искусственных нейронных сетей, которые не дают объяснения сделанному выводу о наличии или отсутствии компьютерной атаки и не предоставляют эксперту механизмов контроля ее полноты и непротиворечивости, и, как следствие - низкая достоверность обнаружения компьютерных атак. Это существенно ограничивает применение технологии выявления аномальной деятельности в современных системах обнаружения компьютерных атак.

Таким образом, разработка адаптивной модели представления знаний в базе знаний экспертной системы и метода извлечения знаний, накопленных в процессе ее обучения, имеет существенное практическое значение и решает важную научную задачу повышения достоверности принятия решения адаптивной экспертной системой.

Цель работы. Повышение достоверности принятия решения адаптивной экспертной системой на примере системы обнаружения компьютерных атак на программные системы.

Общая научная задача. Обеспечение адаптивного представления информации в базе знаний экспертной системы с возможностью извлечения накопленных в процессе обучения знаний.

Для достижения поставленной задачи выполнено:

1. анализ современных способов представления знаний, методов формирования баз знаний и их применения для построения адаптивных экспертных систем;

2. разработка и исследование адаптивной модели представления знаний на основе нечеткой семантической векторной структуры и доказательство теоремы об ее аппроксимирующих свойствах;

3. разработка, реализация и экспериментальная проверка метода обучения нечеткой семантической векторной структуры;

4. разработка, реализация и экспериментальная проверка метода извлечения знаний, накопленных в процессе обучения адаптивной модели представления знаний;

5. разработка, исследование и экспериментальная проверка метода априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний.

Предметом исследования являются вопросы обработки и преобразования информации в знания для накопления их в базах знаний адаптивных экспертных систем для выявления закономерностей и расширения интеллектуальных возможностей программных средств защиты программных систем на примере системы обнаружения компьютерных атак.

Методы исследования. Теоретические исследования проведены с использованием методов теории информации, общей теории оптимизации, теории вероятностей, математического анализа и теории систем искусственного интеллекта. Экспериментальная часть работы основана на численных методах машинного моделирования и вычислительного эксперимента с использованием языков программирования высокого уровня и системы математического моделирования MATLAB.

Достоверность научных положений, выводов и практических рекомендаций подтверждается полнотой и корректностью исходных посылок, теоретическим обоснованием, основанным на использовании строгого математического аппарата, практически полным совпадением теоретических результатов с результатами проведенных экспериментов и внедрением полученных результатов.

Научная новизна работы заключается в следующем:

1. предложена новая адаптивная модель представления знаний в базах знаний экспертных систем и разработан алгоритм ее обучения;

2. разработан метод извлечения знаний, накопленных в процессе обучения адаптивной модели представления знаний, в формат доступный для анализа человеком-экспертом;

3. предложен метод априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний;

4. предложен новый подход к формированию модели штатного поведения программной системы на основе совокупности правил, описывающих зависимости между основными параметрами функционирования системы, и проработаны вопросы его применения для обнаружения компьютерных атак на программные системы.

Практическая ценность. Разработанная автором нечеткая семантическая векторная структура позволяет представлять знания в базах знаний адаптивных экспертных систем. Практическая применимость разработанной адаптивной модели основана на доказанной автором теореме об ее аппроксимирующих свойствах.

Предложенный подход к извлечению знаний из семантически непрозрачных аппроксимирующих структур позволит перевести существующие адаптивные экспертные системы, использующие математический аппарат искусственных нейронных сетей и др., на работу с системами принятия решения с прозрачной логикой, а также совместно использовать математический аппарат искусственных нейронных систем и систем принятия решения с прозрачной логикой. В последнем случае искусственные нейронные сети можно использовать для быстрого и эффективного формирования модели объекта предметной области, а систему принятия решения с прозрачной логикой для формализации накопленных нейронной сетью знаний в вид, понятный эксперту.

Разработанный автором метод априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний позволяет проводить сравнительных анализ аппроксимирующих структур в принципиально иной плоскости, рассматривая качество аппроксимации, как математическое свойство, которое может быть оценено количественно без предварительного моделирования (тестового обучения) аппроксиматора.

Особенность разработанного метода состоит в том, что в качестве оцениваемой величины выступает количество информации, которое может быть представлено аппроксимирующей структурой, а не ошибка аппроксимации конкретной функциональной зависимости. Такой подход делает оценку инвариантной относительно метода обучения аппроксиматора, а следовательно, позволяет говорить о существовании предельных аппроксимирующих характеристик и оптимальных методов обучения, исследование которых выделяется автором, как предмет дальнейших исследований.

Отсутствие в настоящее время известных методов априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний, определяет практическую значимость разработанного и реализованного метода оценки.

Кроме того, практическую значимость работы определяет следующее:

-разработан и реализован в виде программного продукта универсальный аппроксиматор на базе нечеткой семантической векторной структуры (свидетельство Роспатента № 2006611864);

-разработан язык представления знаний в терминах нечетких множеств и его интерпретатор FuzzyKernel (свидетельство Роспатента № 2005611660);

-создан программный компонент адаптивной настройки параметров изображения для системы охранного телевидения (свидетельство Роспатента №2005611007, патент Российской Федерации на изобретение № 2282313).

Разработанные программные продукты могут быть применены при построении адаптивной экспертной системы, в том числе при создании программной системы обнаружения компьютерных атак на программные системы.

Результаты диссертационной работы реализованы и внедрены в ряде продуктов, разработанных в интересах Минобороны Российской Федерации (имеются соответствующие акты о внедрении).

Основные положения и результаты, выносимые на защиту:

1. адаптивная модель представления знаний в базе знаний экспертной системы и метод ее обучения;

2. метод извлечения знаний, накопленных в процессе обучения адаптивных моделей представления знаний;

3. метод априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний;

4. подход к формированию модели штатного поведения программной системы на основе совокупности правил, описывающих зависимости между основными параметрами функционирования системы.

Личный вклад автора. Все основные научные результаты, математическая модель представления знаний, метод ее обучения, метод оценки качества представления информации аппроксимирующими структурами, разработанные на их основе алгоритмы и программные средства, экспериментальные исследования, приведенные в диссертации, получены автором лично.

Структура и объем работы. Диссертация состоит из введения, 8 глав и заключения, изложенных на 254 страницах машинописного текста, иллюстрированного графиками и рисунками, библиографии, включающей 133 наименования.

Выводы и заключение

Решена научная задача повышения достоверности принятия решения адаптивными экспертными системами, имеющая существенное значение для развития научных основ современных информационных технологий на базе использования средств вычислительной техники. Основные результаты:

1. Обоснована актуальность задачи повышения достоверности принятия решения адаптивной экспертной системой на примере системы обнаружения компьютерных атак. Данная задача выделена как одно из приоритетных направлений государственной политики РФ в области информационной безопасности. Об этом свидетельствует утвержденная в 2004 году Секретарем Совета Безопасности РФ «Концепция создания системы предупреждения и обнаружения компьютерных атак на критически важные сегменты информационной инфраструктуры Российской Федерации», разработанная межведомственной рабочей группой при ФСБ России.

2. В результате анализа с использованием описанной методики и предложенными критериями сравнения систем обнаружения компьютерных атак выполнено сравнение 7 современных систем обнаружения компьютерных атак, в т.ч.: AAFID, ASAX, NetSTAT, Prelude, SHADOW, Snort, SnortNet. Сделан вывод о том, что ни одна из современных систем обнаружения компьютерных атак не обеспечивает прозрачного для оператора механизма принятия решения и механизма извлечения знаний, накопленных в процессе функционирования.

3. В результате анализа задачи повышения достоверности принятия решения адаптивными экспертными системами выделены следующие направления ее решения:

- разработка адаптивной модели представления информации в базе знаний;

- разработка метода оценки эффективности представления информации в базах знаний для выполнения обоснованного выбора аппроксимирующей структуры при построении базы знаний адаптивной экспертной системы;

- разработка метода извлечения знаний, накопленных в базе знаний адаптивной экспертной системы в процессе ее функционирования.

4. Разработана адаптивная модель представления знаний в базах знаний экспертных систем на основе нечеткой семантической векторной структуры. Доказательство теоремы об ее аппроксимирующих свойствах, основанное на теореме об универсальном аппроксиматоре Стоуна-Вейерштрасса, позволяет сделать вывод о возможности практического применения разработанной модели для построения баз знаний адаптивных экспертных систем, в т.ч. для реализации базы знаний системы обнаружения компьютерных атак, основанной на технологии выявления аномальной деятельности.

5. В результате разработки метода обучения нечеткой семантической векторной структуры на базе градиентных методов получены аналитические выражения для определения градиента поверхности ошибок по всем управляемым параметрам нечеткой семантической векторной структуры. Это делает возможным применение нечеткой семантической векторной структуры для адаптивного формирования базы знаний экспертной системы.

6. Разработан метод априорной оценки аппроксимирующих свойств адаптивных моделей представления знаний в базах знаний, использующий в качестве численной оценки значение энтропии. Разработанный метод позволяет на этапе проектирования адаптивной экспертной системы выполнить обоснованный выбор аппроксимирующей структуры для построения базы знаний.

7. Разработан метод извлечения знаний из адаптивных моделей представления знаний в базах знаний, который позволяет перевести существующие адаптивные экспертные системы, использующие семантически непрозрачные модели представления знаний, на использование структур с прозрачной логикой принятия решения. Предложено представлять извлеченные знания в виде программы для интерпретатора FuzzyKernel (авторское свидетельство об официальной регистрации программы для ЭВМ №2005611660 от 4 июля 2005 года), что позволяет выполнить анализ адекватности накопленных знаний, исключить из логики принятия решения некорректные компоненты, а следовательно, повысить достоверность принятия решения адаптивными экспертными системами. Исключение некорректных компонентов модели штатного поведения системы, сформированной в базе знаний системы обнаружения компьютерных атак, позволяет повысить достоверность обнаружения компьютерных атак.

8. Предложен новый подход к формированию модели штатного поведения системы. В качестве модели используется множество характерных зависимостей между параметрами функционирования контролируемой системы, что в отличие от традиционного подхода позволяет значительно повысить достоверность обнаружения компьютерных атак. Разработанный перечень типовых зависимостей между параметрами функционирования контролируемой системы может быть использован для построения модели ее штатного поведения в базе знаний системы обнаружения компьютерных атак.

9. Выполнена разработка системы обнаружения компьютерных атак. Разработанная система обнаружения компьютерных атак успешно прошла государственные и межведомственные испытания, в настоящее время проходит сертификацию на соответствие требованиям безопасности Министерства Обороны Российской

Федерации. Эксплуатация разработанной системы обнаружения компьютерных атак на опытных участках информационной инфраструктуры Министерства обороны Российской Федерации показало, что исключение некорректных компонентов модели штатного поведения системы из логики принятия решения позволяет уменьшить число ложных срабатываний на 30% без увеличения числа ложных пропусков, что свидетельствует о повышении достоверности обнаружения компьютерных атак.

1. Ярушкина Н.Г. Нечеткие нейронные сети // Новости искусственного интеллекта. 2001. - №2. - С. 7-9.

2. Шапиро Д.И. Принятие решений в системах организационного управления: использование расплывчатых категорий -М.: Энергоатомиздат, 1983. 187 с.

3. Круглов В.В., Дли М.И., Голунов Р.Ю. Нечеткая логика и искусственные нейронные сети М.: Наука, 1999. - 221 с.

4. Автоматизация поискового конструирования (искусственный интеллект в машинном проектировании) / А.И. Половинкин, Н.К. Бобков, Г.Я. Буш и др. М.: Радио и связь, 1981. - 344 с.

5. Божич В.И., Лебедев О.Б., Шницер Ю.Л. Разработка генетического алгоритма обучения нейронных сетей // Перспективные информационные технологии и интеллектуальные системы. 2001. -№1. - С. 12-16.

6. Фролов Ю.В. Интеллектуальные системы и управленческие решения М.: МГПУ, 2000. - 278 с.

7. Лукацкий А.В. Обнаружение атак СПб.: БХВ-Петербург, 2001. - 624 с.

8. Ричард К., Джованни В. Обнаружение вторжений: Краткая история и обзор // Открытые системы. 2002. - №6. - С. 18-21.

9. Тельнов Ю. Интеллектуальные информационные системы в экономике: Учебное пособие М.: СИНТЕГ, 1998. - 216 с.

10. Ярушкина Н.Г. Основы теории нечетких и гибридных систем -М.: Финансы и статистика, 2004. 320 с.

11. И.ПоповЭ.В. Экспертные системы: Решение неформализованных задач в диалоге с ЭВМ М.: Наука, 1987. - 288 с.

12. Оссовский С. Нейронные сети для обработки информации / Пер. с польского И.Д. Рудинского М.: Финансы и статистика, 2002. -344 с.

13. Плутенко А.Д., Остапенко А.А. Анализ методов управления доступом к локальным вычислительным сетям Благовещенск: Изд. АмГУ, 2001.-52 с.

14. Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий СПб.: БХВ-Петербург, 2000. - 320 с.

15. Джексон П. Введение в экспертные системы: Учебное пособие М.: Издательский дом Вильяме, 2001. - 624 с.

16. Вентцель Е.С. Теория вероятностей М.: Высшая школа, 1998.-576 с.

17. Сюзев В.В., Иванов И.П. Теоретические основы цифровых фильтров: Учебное пособие М.: МГТУ им. Н.Э.Баумана, 2001. - 72 с.

18. РабинерЛ., Гоулд Б. Теория и применение цифровой обработки сигналов М.: Мир, 1978. - 576 с.

19. Ильин В.А., ПознякЭ.Г. Основы математического анализа -М.: Физматлит, 2002. Часть 1.-648 с.

20. Грэхем Р., Кнут Д., ПаташникО. Конкретная математика. Основания информатики М.: Мир, 1998. - 703 с.

21. Тэрано Т., Асаи К., Сугэно М. Прикладные нечеткие системы -М.: Мир, 1993.-368 с.

22. Змитрович А.И. Интеллектуальные информационные системы Минск: НТООО ТетраСистемс, 1997. - 367 с.

23. Уоссерман Ф. Нейрокомпьютерная техника М.: Мир, 1992. -127 с.

24. ГорбаньА.Н., РоссиевД.А. Нейронные сети на персональном компьютере Новосибирск: Наука, 1996. - 275 с.

25. Круглов В.В., Борисов В.В. Искусственные нейронные сети. Теория и практика М.: Горячая линия-Телеком, 2001. - 382 с.

26. Аверин А.Н. Нечеткие множества в моделях управления и искусственного интеллекта / Под ред. Д.А. Поспелова М.: Наука, 1986.- 312 с.

27. Кофман А., Апуха X. Хил. Введение теории нечетких множеств в управление предприятием Минск: Высшая школа, 1992. -223 с.

28. Дли М.И. Локально-аппроксимационные модели сложных объектов-М.: Наука, 1999.-112 с.

29. Дли М.И., Круглов В.В., Осокин М.В. Локально-аппроксимационные модели социально-экономических систем и процессов М.: Наука, 2000. - 224 с.

30. Базы данных. Интеллектуальная обработка информации / В.В. Корнеев, А.Ф. Греев, С.В. Васютин, В.В. Райх М.: Нолидж, 2000.-352 с.

31. ГавриловаТ.А., Хорошевский В.Ф. Базы знаний интеллектуальных систем СПб.: Питер, 2001. - 384 с.

32. Представление и использование знаний / X. Уэно, Т. Кояма, Т. Окамото и др.; Под ред. X. Уэно, М. Исидзука М.: Мир, 1989. -220 с.

33. ЦикритзисД., Лоховски Ф. Модели данных М.: Финансы и статистика, 1985. - 344 с.

34. Башмаков А.И., Башмаков И.А. Механизмы наследования, выявления и разрешения противоречий в обобщенной модели представления предметной области. Часть 1 // Техническая кибернетика. 1994. - №5. - С. 14-27.

35. Кузнецов И.П. Расширенные семантические сети для представления и обработки знаний // Системы и средства информатики. 1993. - №4. - С.70-83.

36. Нечеткие множества в моделях управления и искусственного интеллекта / Под. ред. Д.А. Поспелова М.: Наука, 1986. - 312 с.

37. Осипов Г.С. Построение моделей предметных областей. Ч. 1. Неоднородные семантические сети // Известия РАН. Техническая кибернетика. 1990. - №5. - С.32-45.

38. Перминов И.А. Нечеткая объектно-ориентированная семантическая сеть // Доклады Международной конференции Информационные средства и технологии Международного форума информатизации МФИ-99. М., 1999. - Т.З. - С.37-40.

39. Перминов И.А. Объектно-ориентированный язык для оперирования семантическими сетями // Тезисы докладов Международной конференции Информационные средства и технологии Международного форума информатизации МФИ-2000. -М., 2000.-Т.2.-С. 212-215.

40. Вениаминов Е.М., Болдина Д.М. Система представления знаний Ontologua принципы и перспективы // Научно-техническая информация. Информационные процессы и системы. - 1999. - №10. -С. 26-32.

41. Гаврилова Т.А., Червинская К.Р. Извлечение и структурирование знаний для экспертных систем М.: Радио и связь, 1992.-200 с.

42. Непейвода Н.Н. Соотношение между правилами естественного вывода и операторами алгоритмических языков // ДАН СССР. 1978. - №4. - С. 526-529.

43. Б.Г. Тамм, М.Э. Пуусепп, P.P. Таваст Анализ и моделирование производственных систем М.: Финансы и статистика, 1987. - 191 с.

44. Агеев В.Н., Узилевский Г.Я. Человеко-компьютерное взаимодействие: концепции, процессы, модели М.: Мир книги, 1995. - 352 с.

45. Андрейчиков А.В., Андрейчикова О.Н. Компьютерная поддержка изобретательства (методы, системы, примеры применения) М.: Машиностроение, 1998. - 476 с.

46. Арбиб М. Метафорический мозг: Пер. с англ. М.: Мир, 1976. -382 с.

47. Берштейн Л.С., БоженюкА.В., Малышев Н.Г. Нечеткие модели для экспертных систем САПР М.: Энергоатомиздат, 1991. -364 с.

48. Берштейн Л.С., Мелехин В.Б. Планирование поведения интеллектуального робота М.: Энергоиздат, 1994. - 243 с.

49. Борисов А.Н., Алексеев А.В., КрумбергО.А. Модели принятия решений на основе лингвистической переменной Рига: Зинатне, 1989.-287 с.

50. Букатова И.Л. Эволюционное моделирование: идеи, основы теории, приложения М.: Знание, 1981.-204 с.

51. Букатова И.Л., Михасев Ю.И., Шаров A.M. Эвоинформатика. Теория и практика эволюционного моделирования М.: Наука, 1991. -167 с.

52. Варшавский В.И., Поспелов Д.А. Оркестр играет без дирижера М.: Наука, 1984. - 163 с.

53. Васильев В.И., Ильясов Б.Г. Интеллектуальные системы управления с использованием нечеткой логики: Учебное пособие -Уфа: УГАТУ, 1999.-283 с.

54. Гаазе-Рапопорт М.Г., Поспелов Д.А. Структура исследований в области искусственного интеллекта // Толковый словарь по искусственному интеллекту. М.: Радио и связь, 1992. - С. 5-20.

55. ГорбаньА.Н. Обучение нейронных сетей М.: Параграф, 1990.-159 с.

56. Башмаков A.M., Башмаков И.А. Интеллектуальные информационные технологии: Учебное пособие М.: Изд-во МГТУ им. Н.Э. Баумана, 2005. - 304 с.

57. Дьяконов В., Круглов В. Математические пакеты расширения МАТЛАБ: Специальный справочник СПб.: Питер, 2001. - 178 с.

58. Дьяконов В. MATHCAD 8/2000: Специальный справочник -СПб.: Питер, 2001.-291 с.

59. Дюбуа Д., ПрадА. Теория возможностей. Приложения к представлению знаний в информатике М.: Радио и связь, 1990. -473 с.

60. Емельянов В.В., Ясиновский С.И. Введение в интеллектуальное моделирование сложных дискретных систем и процессов. Язык РДО М.: Издательство АНВИК, 1998. - 398 с.

61. Заде Л.А. Основы нового подхода к анализу сложных систем и процессов принятия решений М.: Знание, 1974. - 243 с.

62. Заде Л.А. Понятие лингвистической переменной и его применение к принятию приближенных решений М.: Мир, 1976. -287 с.

63. Ивахненко А.Г., Юрачковский Ю.П. Моделирование сложных систем по экспериментальным данным М.: Радио и связь, 1987. -428 с.

64. Калмыков С.А., Шокин Ю.И., Юлдашев З.Х. Методы интервального анализа Новосибирск: Наука, 1986. - 132 с.

65. Кандрашина Е.Ю., Литвинцева Л.В., Поспелов Д.А. Представление знаний о времени и пространстве в интеллектуальных системах / Под ред. Д.А. Поспелова М.: Наука, 1989. - 328 с.

66. Кафаров В.В., Дорохов И.Н., Марков Е.П. Системный анализ процессов химической технологии. Применение метода нечетких множеств М.: Наука, 1986. - 354 с.

67. КлирДж. Системология. Автоматизация решения системных задач М.: Радио и связь, 1990. - 210 с.

68. Когаловский М.Р. Энциклопедия технологий баз данных М.: Финансы и статистика, 2002. - 800 с.

69. КофманА. Введение в теорию нечетких множеств М.: Радио и связь, 1982. - 356 с.

70. Когаловский М.Р. Перспективные технологии информационных систем М.: ДМК Пресс, 2003. - 288 с.

71. Круглов В.В., Борисов В.В. Искусственные нейронные сети. Теория и практика М.: Горячая линия-Телеком, 2002. - 587 с.

72. Кузин Л.Т. Основы кибернетических моделей: Учебное пособие: В 2-х т. М.: Энергия, 1979. - Т.2. - 271 с.

73. Кузнецов В.П. Интервальные статистические модели М.: Радио и связь, 1991.-438 с.

74. Кузьмин В.Б. Построение групповых решений в пространствах четких и нечетких бинарных отношений М.: Наука, 1982.-365 с.

75. Курейчик В.М. Генетические алгоритмы Таганрог: Издательство ТРГУ, 1998. - 402 с.

76. ЛюбищевА.А. Проблемы формы, систематики и эволюции организмов М.: Наука, 1982. - 342 с.

77. Мелихов А.Н., Берштейн Л.С., Коровин С.Я. Ситуационные советующие системы с нечеткой логикой М.: Наука, 1990. - 387 с.

78. Минский М., Пейперт С. Персептроны М.: Мир, 1971. -310 с.

79. Моисеев Н.Н. Алгоритмы развития М.: Наука, 1987.-287 с.

80. Негойце К. Применение теории систем к проблемам управления М.: Мир, 1981. - 622 с.

81. Орлов А.И. Задачи оптимизации и нечеткие переменные -М.: Знание, 1980.-291 с.

82. Орловский С.А. Проблемы принятия решений при нечеткой информации М.: Наука, 1981. - 208 с.

83. Поспелов Д.А. Логико-лингвистические модели в системах управления М.: Энергоиздат, 1981.-432 с.

84. Поспелов Д.А. Моделирование рассуждений М.: Радио и связь, 1989.-365 с.

85. Поспелов Д.А. Ситуационное управление: теория и практика -М.: Наука, 1986.-632 с.

86. Растригин Л.А. Статистические методы поиска М.: Наука, 1968.-421 с.

87. РозенблаттФ. Принципы нейродинамики. Перцептрон и теория механизмов мозга М.: Мир, 1965. - 824 с.

88. СарадисДж. Самоорганизующиеся стохастические системы управления М. Наука, 1980. - 521 с.

89. ГамаюновД.Ю. Современные некоммерческие средства обнаружения атак М.: МГУ ВМиК, 2002. - 20 с.

90. Словарь о знаниях и интенетике, http://artema.fopf.mipt.ru.

91. Толковый словарь русского языка: В 4 т. / Под ред. Д.Н. Ушакова, Репринтное издание М., 1995. - Т.2. - 642 с.

92. Энциклопедия Брокгауза и Эфрона, http://bref.nm.ru.

93. Большой энциклопедический словарь, http://www.voliks.ru.

94. Искусственный интеллект: междисциплинарный подход / Под ред. Д.И. Дубровского, В.А. Лекторского М.: ИИнтеЛЛ, 2006. - 448 с.

95. Миркес Е.М. Нейрокомпьютер. Проект стандарта Новосибирск: Наука, 1999. 305 с.

96. Царегородцев В.Г. Производство полуэмпирических знаний из таблиц данных с помощью обучаемых искусственных нейронных сетей Красноярск: Издательство КГТУ, 1988. - 205 с.

97. Галушкин А.И. Теория нейронных сетей М.: ИПРЖР, 2000. -416 с.

98. Горбань А.Н. Обобщенная аппроксимирующая теорема и вычислительные возможности нейронных сетей // Сиб. журнал вычислительной математики. 1998. - №1. - С.11-24.

99. Иванова Г.С. Технология программирования М.: МТГУ им. Н.Э. Баумана, 2002. - 319 с.

100. Буч Г. Объектно-ориентированное проектирование с примерами применения М.: Конкорд, 1992. - 519 с.

101. Боггс У., БоггсМ. UML и Rational Rose М.: Лори, 2000.580 с.

102. Силов В.Б. Принятие стратегических решений в нечеткой обстановке М.: ИНПРО-РЕС, 1995. - 452 с.

103. Трахтенгерц Э.А. Компьютерная поддержка принятия решений М.: СИНТЕГ, 1998. - 376 с.

104. Уоссермен Ф. Нейрокомпьютерная техника: теория и практика М.: Мир, 1992. - 487 с.

105. Фогель Л., Оуэне А., Уолш М. Искусственный интеллект и эволюционное моделирование М.: Мир, 1969. - 332 с.

106. Цыпкин Я.З. Адаптация и обучение в автоматических системах М.: Наука, 1968. - 572 с.

107. Ярушкина Н.Г. Гибридные системы, основанные на мягких вычислениях: определение, архитектура, возможности // Программные продукты и системы. 2002. - №3. - С. 12-16.

108. Ярушкина Н.Г. Методы нечетких экспертных систем в интеллектуальных САПР Саратов: Издательство Сарат. ун-та, 1997.-312 с.

109. Allan Punkins Wierstrass and Approximation Theory N.Y.: Academic Press, 1937. - P. 192-197.

110. Golub G., Van Loan C. Matrix computations N.Y.: Academic Press, 1991.-413 p.

111. Gill P., Murray W., Wright M. Practical Optimization N.Y.: Academic Press, 1981. - 52 p.

112. Demuth H., Beale M. Neural Network Toolbox for use with Matlab Natick: The MathWorks, 1992. - 421 p.

113. WidrowB., Stearns S. Adaptive signal processing N.Y.: Prentice Hall, 1985.-692 p.

114. Verbruggen H., Babuska R. Constracting Fuzzy Models by products space clustering // Fuzzy model identification. Berlin: Springer, 1998.-287 p.

115. Bothe H.-H. Fuzzy Neural Networks Prague: IFSA, 1997.317 p.

116. Deichelmann H. Linguistishe Systeme und ihre Anwendung. -Darmstadt: Fachhochshule Darmstadt, 1996. 182 s.

117. Fedrizzi M., Fuller R. Stability in possilistic linear programming with continuous fuzziy number parameters II Fuzzi sets and systems. -1996. V47. - P.28-34.

118. Goldberg D.E. Genetic Algorithms in Search, Optimization and Machine Learning N.Y.: Adisonwesley Publishing Company Inc., 1989. -202 p.

119. Herrera F., Magdalena L. Genetic fuzzy systems Prague: IFSA, 1997.-312 p.

120. Holland Y. Adaptation in Neural and Artificial Systems M.: University of Michegan, 1975.-412 p.

121. PawlakZ. Rough sets present state and futher prospects // Intellegent Automation and Soft Computing. 1996. - V2. - P.21-23.

122. Rummelhart D.E., Hilton G.E., Williams R.J. Learning representation by back-propogating Errors // Nature. 1986. - V.323. -P. 18-23.

123. SchweizerB., SklarA. Associative functions and abstract semigroups // Publ. Math. 1963. - №10. - P.45-49.

124. Zadeh L.A. Toward a theory of fuzzy information granulation and its centrality in human reasoning and fuzzy logic // Fuzzy sets and systems. 1997. - №2. - P. 32-38.

125. Архитектура, принципы построения и технической реализации распределенной программной системы обнаружения компьютерных атак на базе технологии выявления аномальной деятельности.

126. Применение технологии обнаружения аномальной деятельности для выявления вредоносных программ (компьютерных вирусов, сетевых червей и др.).

127. Председатель: Ci^ се Родионов В.Н.1. Члены комиссии:1. Рыков А.В. Спрогис И.А.июня 2006 г.

128. Начальник Восьмого управления Генерального штаба Вооруженных Сил Российской федфации1. Халанский1. АКТо реализации научных результатов кандидатской Свирина Ильи

129. Сергеевича на тему «Разработка способа представления"информации в базе знаний системы обнаружения атак и метода оценки эффективности еепредставления»

130. Архитектура, принципы построения и технической реализации распределенной программной системы обнаружения компьютерных атак на базе технологии выявления аномальной деятельности.

131. Применение технологии обнаружения аномальной деятельности для выявления вредоносных программ (компьютерных вирусов, сетевых червей и ДР-)

132. Рассмотрев представленные материалы в составе автореферат и текст кандидатской диссертации, научно-технический совет ОАО «ВНИИНС»1. РЕШИЛ:

133. Материалы представленной кандидатской диссертации оформлены в соответствии с ГОСТ 7.1-84 и соответствуют требованиям, предъявляемым к оформлению отчетов по научно-исследовательским работам.

134. Дать положительную оценку результатам, полученным в ходе разработки кандидатской диссертации.

135. Рекомендовать материалы кандидатской диссертации Свирина Ильииюля 2006 г.июля 2006 г. июля 2006 г. « S">> июля 2006 г. «2» июля 2006 г. июля 2006 г.

136. Сергеевича к представлению в диссертационный совет.1. Секретарь НТС:

137. Жуков И.Ю. Гнедина Г.Р. Соснин Ю.В. Монахов В.Е. Никоненко K.JI.1ртшшШшАш федшлрмщшшшшшшш IS1. НЛ ИЗОБРЕТЕНИЕ2282313

138. СПОСОБ АВТОМАТИЧЕСКОМ НАСТРОЙКИ ПАРАМЕТРОВ ИЗОБРАЖЕНИЯ

139. Патентообладателе л и): Свирин Илья Сергеевич (RU) Автор(ы): Свирин Илья Сергеевич (RU)1. Заявка№ 2005106044

140. Приоритет изобретения 04 марта 2005 г. Зарегистрировано в Государственном реестре изобретений Российской Федерации 20 августа 2006 г.

141. Срок действия патента истекает 04 марта 2025 г.

142. Руководитель Федеральной службы по интеллектуальной собственности, патентам и товарным знакам1. В.П. Симоновг1. ВШШЖСЕАЖ ФЩРРАЩШШ1. ШШ®ШШШ Ш"ш т тш &