EN / RU

ПРИМЕНЕНИЕ НЕЧЕТКОЙ ЛОГИКИ В КОМПЛЕКСНЫХ ДВУХУРОВНЕВЫХ СИСТЕМАХ ЗАЩИТЫ ИНФОРМАЦИИ



Современные защитные средства, размещаемые на сетевых узлах локальных или глобальных сетей можно подразделять на три большие группы:

1) Средства идентификации и аутентификации локальных пользователей системы.
2) Антивирусные средства.
3) Средства, контролирующие сетевой трафик (файерволы, межсетевые экраны, экспертные системы защитного направления и т. д.)

Последняя категория защитных средств в общем случае может быть комбинированной и включать в себя элементы антивирусной защиты или средства аутентификации удаленных пользователей. Таким образом систему защиты сетевых узлов можно представить многослойной схемой, в которой все слои защиты являются относительно автономными и равноправными.


Рис 1. Общие принципы организации защиты сетевых узлов.

Как показывает практика каждый из рассматриваемых слоев в пределах своей сферы компетенции неплохо справляется с известными и хорошо изученными угрозами безопасности системы, однако оказывается полностью беспомощным при возникновении ранее неизвестных угроз или обнаружении новых, ранее незамеченных уязвимостей системы. Кроме того, во многих случаях вся совокупность защитных средств системы оказывается неспособной противостоять сложным комбинированным атакам, сочетающим в себе синхронизированные по времени атаки разных типов [1]. Таким образом, наиболее вероятным путем дальнейшего усовершенствования защитных систем представляется объединение отдельных разнородных защитных модулей в единый защитный комплекс, обладающий сведениями о состоянии защищаемой системы и происходящих в системе процессах. Данный защитный комплекс должен принимать сложные интеллектуальные решения, опираясь не только на базу знаний, сформированную экспертами, но так же на собственный опыт обучения, полученный в процессе функционирования системы. Исходя из вышеизложенного целесообразно представление подобного защитного комплекса в виде двухуровневой интеллектуальной системы. Нижний уровень подобной системы должен быть связан с датчиками происходящих в системе процессов, и отвечает за распознавание конкретных угроз безопасности, а верхний уровень принимает интеллектуальные решения на основе данных о состоянии защищаемой системы и данных, предоставляемых ему подсистемами нижнего уровня.


Рис 2. Двухуровневая модель организации защиты.

В качестве примера рассмотрим нейросетевую реализацию уровня принятия решений, основанную на нечеткой логике. На вход системы будут подаваться два вектора:

1) Вектор Х, отражающий результат работы уровня распознавания угроз.
2) Вектор Z, характеризующий состояние защищаемой системы

Система принимает решение, формируя на выходе вектор Y. Вектора Х, Z и Y формируются на основании таблицы наиболее распространенных угроз и типичных способов защиты.


Вектор Х (угрозы): 1. Отказ в обслуживании. -M1 2. Хищение информации. -M2 3. Присвоение личности. -M3 4. Модификация информации. -M4 5. Попытка взлома пароля пользователя. -M5 6. Вирусная атака. -S 7. Поиск остаточной информации. -D1 8. Несанкционированный запуск программ. -D2 9. Изменение конфигурации СЗИ -D3 10. Несанкционированное уничтожение данных. -D4 11. Несанкционированное открытие файлов. -D5 Вектор Z (состояние системы): 1. Установленное программное обеспечение и обновления к нему.-M1 2. Работающие сервисы. -M2 3. Система поддерживает многозадачность. -M3 4. Система поддерживает многопользовательский режим. -S 5. В системе установлены устройства ввода - вывода (CD-Rom, DVD-Rom, Floppy и. т. д.) -D1 6. Наличие устройств горячей замены. -D2 7. Наличие внешних каналов связи. -D3 Вектор Y (защита): 1. Идентификация и аутентификация -M1 2. Блокирование бесконтрольного доступа. -M2 3. Защита от вирусов. -M3 4. Контроль целостности данных -S 5. Уничтожение остаточных данных. -D1 6. Защита программ от исследования. -D2 7. Резервирование информации. -D3 8. Восстановление и самовосстановление. -D4 9. Проверка ЦП. -D5 10. Блокировка запуска программ. -D6
Чтобы сформировать базу знаний проектируемой нейронечеткой системы для каждого из векторов строятся функции принадлежности.

Рис 3. Функции принадлежности для выходного и входных векторов.

В данном случае используются треугольные функции принадлежности, но можно без потери качества заменить их функциями Гаусса. Рис 4. База знаний нечеткой системы верхнего уровня. Используя полученную базу знаний, можно записать систему правил для нейронечеткой системы.

R1  : IF ( X1 = M1 AND Z2 = M2 AND Z7 = D3) THEN Y = M2
R2  : IF ( X2 = M2 AND Z4 = S  AND Z7 = D3) THEN Y = M2
R3  : IF ( X3 = M3 AND Z4 = S) THEN Y =  D4
R4  : IF ( X4 = M4 AND Z1 = M1) THEN Y =  S
R5  : IF ( X5 = M5 AND Z3 = M3)	THEN Y =  D2
R6  : IF ( X6 = S  AND Z1 = M1)	THEN Y =  M3
R7: IF( X7 = D1 AND Z4 = S AND Z5 = D1 AND Z6=D2 AND Z7=D3)THEN Y=D1
R8  : IF ( X8 = D2 AND Z4 = S)  THEN Y=M1
R9  : IF ( X = D3  AND Z1 = M1) THEN Y=D4
R10 : IF ( X10 = D4 AND Z5 = D1) THEN  Y = D3
R11 : IF ( X11 = D5 AND Z4 = S  AND Z7 = D3) THEN Y = M2
R12 : IF ( X11 = D5 AND Z5 = D1) THEN Y = D3
R13 : IF ( X11 = D5 AND Z4 = S   AND Z7 = D3) THEN Y = M2
R14 : IF ( X5 = M5  AND Z7 = D3) THEN Y = M2

Пользуясь полученной системой правил и рекомендациями, данными в [1], можно постройть нейронечеткую систему управления системой защиты информации, используя следующие параметры нейронных слоев:

L1 = n * N = 2*14 = 28 нейронов в слое 1,
где n – количество входных переменных, N – количество нечетких правил.
L2 = N = 14 нейронов в слое 2.
L3 = 2 нейрона.
L4 = 1 нейрон.

Заключение.

Задача защиты сетевых узлов является существенно нелинейной и многопараметрической. Кроме того, постоянные изменения, происходящие в этой сфере, появление новых угроз и изменения в структуре и возможностях программного обеспечения делают затруднительным использование в этой сфере изолированных сетей кохонена, традиционный недостаток которых – длительный и неустойчивый процесс обучения, несмотря на многочисленные усовершенствования, не преодолен до сих пор. Поэтому предлагаемая двухуровневая схема системы защиты с использованием нечеткой сети в качестве контроллера верхнего уровня представляется более перспективной в практической реализации, так как обладает значительно большей гибкостью, прозрачностью логической структуры и возможностью быстрой модификации поведения путем введения оператором новых правил в базу знаний. Разумеется такой подход не исключает использование сетей Кохонена в качестве анализаторов угроз среднего уровня предлагаемой системы.

Литература.

1. Д. Рутковская, М. Пилиньский, Л. Рутковский. Нейронные сети, генетические алгоритмы и нечеткие системы. М: Горячая линия –Телеком, 2004г.

kennobi 2005г.



Добавить комментарий:

Имя:   
Текст:




Внимание! При перепечатке эта ссылка обязательна!