Электронная библиотека диссертаций и авторефератов России
dslib.net
Библиотека диссертаций
Навигация
Каталог диссертаций России
Англоязычные диссертации
Диссертации бесплатно
Предстоящие защиты
Рецензии на автореферат
Отчисления авторам
Мой кабинет
Заказы: забрать, оплатить
Мой личный счет
Мой профиль
Мой авторский профиль
Подписки на рассылки



расширенный поиск

Модель и методика проектирования адаптивной системы обнаружения компьютерных атак с использованием нейросетевых средств Костин Андрей Александрович

Модель и методика проектирования адаптивной системы обнаружения компьютерных атак с использованием нейросетевых средств
<
Модель и методика проектирования адаптивной системы обнаружения компьютерных атак с использованием нейросетевых средств Модель и методика проектирования адаптивной системы обнаружения компьютерных атак с использованием нейросетевых средств Модель и методика проектирования адаптивной системы обнаружения компьютерных атак с использованием нейросетевых средств Модель и методика проектирования адаптивной системы обнаружения компьютерных атак с использованием нейросетевых средств Модель и методика проектирования адаптивной системы обнаружения компьютерных атак с использованием нейросетевых средств Модель и методика проектирования адаптивной системы обнаружения компьютерных атак с использованием нейросетевых средств Модель и методика проектирования адаптивной системы обнаружения компьютерных атак с использованием нейросетевых средств Модель и методика проектирования адаптивной системы обнаружения компьютерных атак с использованием нейросетевых средств Модель и методика проектирования адаптивной системы обнаружения компьютерных атак с использованием нейросетевых средств Модель и методика проектирования адаптивной системы обнаружения компьютерных атак с использованием нейросетевых средств
>

Данный автореферат диссертации должен поступить в библиотеки в ближайшее время
Уведомить о поступлении

Диссертация - 480 руб., доставка 10 минут, круглосуточно, без выходных и праздников

Автореферат - 240 руб., доставка 1-3 часа, с 10-19 (Московское время), кроме воскресенья

Костин Андрей Александрович. Модель и методика проектирования адаптивной системы обнаружения компьютерных атак с использованием нейросетевых средств : Дис. ... канд. техн. наук : 05.13.19 СПб., 2006 108 с. РГБ ОД, 61:06-5/2676

Содержание к диссертации

Введение

ГЛАВА 1 Анализ подходов к обнаружению компьютерных атак в локальных вычислительных сетях 11

1.1 Классификация средств обнаружения компьютерных атак 11

1.2 Интеллектуальный анализ данных в задачах обнаружения компьютерных атак 16

1.3 Нейросетевые средства обнаружения компьютерных атак 17

1.3.1 Многослойные НС 18

1.3.2 Самообучающиеся НС 19

13.3 НС для визуализации многомерных данных 21

1.3.4 НС встречного распространения 23

1.4 Гибридные средства обнаружения компьютерных атак 25

1.4.1 Нейро-экспертные системы в задачах обнаружения компьютерных атак 26

1.4.2 Нейро-нечеткие методы для обнаружения компьютерных атак 30

1.4.3 Мультиагентные методы обнаружения компьютерных атак 35

1.5 Анализ рынка систем обнаружения атак 36

1.5.1 Зарубежный рынок систем обнаружения атак 36

1.5.2 Российский рынок систем обнаружения атак 37

1.6 Оценки защищенности локальных сетей от атак 38

Выводы по главе 1 40

ГЛАВА 2 Разработка модели адаптивной системы обнаружения атак и методики проектирования защищенной локальной сети 43

2.1 Разработка методики проектирования защищенной локальной сети с использованием интеллектуальных средств 43

2.1.1 Принципы построения защищенных локальных сетей с использованием адаптивных средств для обнаружения компьютерных атак 44

2.1.2 Методика проектирования защищенной локальной сети от компьютерных атак 47

2.2 Разработка модели адаптивной системы обнаружения компьютерных атак на локальную сеть 49

2.2.1 Иерархия средств защиты для обнаружения компьютерных атак на ЛВС 50

2.2.2 Разработка показателей защищенности ЛВС от компьютерных атак 58

2.2.3 Модель адаптивной системы обнаружения компьютерных атак на ЛВС 64

Выводы по главе 2 »69

ГЛАВА 3 Разработка программных средств для моделирования адаптивной соа и проектирования защищенной ЛВС 73

3.1 Моделирование процессов адаптации нейро-нечетких классификаторов 73

3.2 Моделирование процессов оптимизации адаптивной системы обнаружения компьютерных атак 77

3.3 Методика применения программных средств для оптимизации адаптивной системы обнаружения компьютерных атак 86

Выводы по главе 3 90

Заключение 92

Список использованных источников

Введение к работе

Актуальность обеспечения информационной безопасности (ИБ) корпоративных сетей обусловлена высокими темпами роста (как качественного, так и количественного) компьютерных атак на локальные вычислительные сети (ЛВС) [1].

К традиционным средствам обеспечения ИБ корпоративных сетей относят антивирусы, детекторы уязвимостей, межсетевые экраны и детекторы вторжений [2, 3]. Функции подобных систем защиты информации (СЗИ) специфичны и решают отдельные задачи обеспечения ИБ корпоративной сети и, как правило, могут быть преодолены при командной работе квалифицированной группы нарушителей [4? 5]. Подобные группы осведомлены о возможностях средств защиты, используемых в корпоративной сети, реагируют на обновления базы уязвимостей широко применяемого программного обеспечения (ПО), публикуемые в специальных изданиях и Интернете, оперативно обмениваются результатами зондирования защиты атакуемой корпоративной сети и гибко изменяют тактику осуществления вторжения,

СЗИ, размещаемые на сетевых узлах, можно представить в виде иерархии уровней защиты, на которых размещены механизмы защиты (МЗ) [6 - 8]. Подобные СЗИ содержат такие МЗ, как: средства идентификации и аутентификации пользователей системы, антивирусные средства, средства контроля сетевого трафика [3]. Каждый из уровней защиты успешно нейтрализует известные угрозы безопасности системы, однако оказывается малоэффективным при расширении поля угроз или обнаружении новых уязвимостей системы. Кроме того, слабое взаимодействие уровней защиты не позволяет успешно противостоять комбинированным компьютерным атакам.

Информационная безопасность ЛВС все в большей степени обеспечивается за счет включения интеллектуальных средств в состав систем обнаружения компьютерных атак (СОА) [9 - 16]. Придание механизмам защиты СОА таких качеств, как адаптивность и самоорганизация, свидетельствует о

новом этапе в развитии СЗИ - автоматизации обеспечения информационной безопасности корпоративных сетей.

В работе предлагается задачу автоматизации обеспечения ИБ корпоративной сети от компьютерных атак решать за счет включения интеллектуальных средств в состав СЗИ, а систему обнаружения компьютерных атак организовывать в виде иерархии уровней адаптивной системы защиты [11, 12]. Объединение отдельных механизмов защиты в единый адаптивный комплекс, обладающий сведениями о состоянии защищаемой системы и происходящих в системе процессах, представляется актуальным.

В последнее время для снижения вероятности несанкционированного проникновения в корпоративную сеть используют средства автоматизации управления СЗИ, к которым относят корреляторы событий, системы обновлений, средства ЗА (аутентификации, авторизации и администрирования) и системы управления рисками [17]- Корреляторы событий по результатам анализа системных журналов выделяют признаки атак, системы обновления автоматизируют процедуру оперативного устранения выявленных ошибок и поиска скрытых уязвимостей ПО- Средства ЗА позволяют управлять идентификационной информацией и допуском пользователей к информационным ресурсам, а системы управления рисками — моделировать и оценивать ожидаемый ущерб атаки на корпоративную среду.

Известны примеры применения средств интеллектуальной защиты [15, 16, 18, 19], на которые в меньшей степени влияют тактические приемы нарушителей, т- к. работа подобных средств защиты основана на выявлении в анализируемой информации скрытых закономерностей — интеллектуальном анализе первичных (входных, «сырых») данных. Достоинством интеллектуальных средств защиты является наличие элементов самоорганизации и эволюции, которые используются для оперативных действий в СЗИ по классификации угроз и нейтрализации последствий вторжения.

Общей чертой большинства существующих систем защиты информа-

ции является наличие средств идентификации атак (задача классификации) и оперативной реакции на несанкционированные проникновения в корпоративную сеть, а общим недостатком - отсутствие в системах защиты функций накопления и обобщения опыта взаимодействия корпоративной сети с внешней средой и нейтрализацию угроз.

Для успешного решения проблемы автоматизации обеспечения ИБ корпоративной сети необходим комплексный подход и, прежде всего, иерархическая организация СЗИ с применением интеллектуальных средств для автоматической идентификации атак и накопления опыта нейтрализации угроз ИБ корпоративной сети.

При решении задач защиты информации интеллектуальные методы и средства позволяют учитывать профессиональный опыт экспертов ИБ? принимать решения в условиях неполной достоверности и искажения информации, адаптировать СЗИ к изменению угроз.

Решаемая в диссертации научно-техническая проблема — разработка и исследование модели адаптивной системы обнаружения атак в локальных вычислительных сетях на основе интеллектуальных средств и методики проектирования защищенных ЛВС.

Цель диссертационной работы

Целью диссертационной работы является разработка модели адаптивной системы обнаружения компьютерных атак на ЛВС и методики проектирования защищенных локальных вычислительных сетей, использующих интеллектуальные средства для оперативной и достоверной классификации атак на корпоративную информационную систему.

Задачи исследования

В диссертационном исследовании решаются следующие задачи; — разработка принципов построения защищенных локальных сетей с использованием адаптивных средств обнаружения компьютерных атак на ЛВС;

разработка модели адаптивной системы обнаружения компьютерных атак на локальную вычислительную сеть;

разработка методики проектирования защищенной локальной вычислительной сети от компьютерных атак на базе нейросетевых и нейро-иечетких средств классификации;

разработка программных средств для моделирования адаптивной системы обнаружения компьютерных атак на ЛВС и поддержки методики проектирования защищенной локальной вычислительной сети.

Объектом исследований являются локальные вычислительные сети и системы обнаружения компьютерных атак на ЛВС, а предметом исследования - адаптивные системы обнаружения атак на ЛВС, а также модели адаптивных систем обнаружения компьютерных атак и методики проектирования систем обнаружения компьютерных атак на ЛВС.

Методы исследований

Методы исследования, примененные в диссертации, включают в себя методы теории компьютерных сетей и информационной безопасности, теории нечетких множеств, нейронных сетей, математический аппарат линейной алгебры, теории графов, а также моделирование и исследование нейро-нечетких систем обнаружения атак на ЛВС.

Научная новизна исследований

По результатам исследований в диссертационной работе отражены следующие новые научные результаты:

сформулированы принципы построения защищенных локальных сетей;

разработана модель адаптивной системы обнаружения компьютерных атак на локальную вычислительную сеть, отличающаяся применением иерархии адаптивных средств для оперативного распознавания компьютерных атак и накопления опыта обнаружения атак на ЛВС;

разработана методика проектирования защищенной локальной сети от компьютерных атак, использующая адаптируемые экспертные оценки,

системы нечетких продукционных правил, нейросетевые и нейро-нечеткие средства для оперативной и достоверной классификации атак ЛВС-Практическая значимость

Практическая значимость полученных результатов состоит в следующем:

разработаны диалоговые программные средства для поддержки модели адаптивной системы обнаружения компьютерных атак на локальную сеть и методики проектирования защищенной локальной сети;

разработана методика использования диалоговых программных средств для оптимизации адаптивной системы обнаружения компьютерных атак на ЛВС.

Достоверность основных положений диссертационной работы подтверждается результатами проведенных исследований и компьютерным моделированием. Научные и практические результаты, отраженные в диссертации, использованы при выполнении научно-исследовательских работ, выполненных в НФ СЦПС «СПЕКТР» в период с 2002 по 2006 год, а также при разработке перспективных образцов СЗИ.

Основные положения, выносимые на защиту:

а) методика проектирования защищенной локальной вычислительной сети
от компьютерных атак, использующая экспертные оценки, системы не
четких продукционных правил, нейросетевые и нейро-нечеткие средства
для оперативной и достоверной классификации атак на корпоративную
информационную систему;

б) модель адаптивной системы обнаружения компьютерных атак на локаль
ную сеть, отличающаяся применением иерархии адаптивных средств для
оперативного распознавания компьютерных атак на корпоративную ин
формационную систему и накопления опыта обнаружения атак на ЛВС-
Апробация работы

Основные положения диссертационной работы докладывались, обсуждались и нашли одобрение научной общественности на восьми международных, всероссийских конференциях и семинарах.

Публикации

Результаты работы, полученные в диссертации, нашли отражение в 17 научных работах по теме диссертации.

Внедрение

Результаты диссертационной работы использованы в научно-исследовательских работах, выполненных в НФ СЦПС «СПЕКТР» для ряда организаций. Результаты также внедрены в учебном процессе СПбГУ ИТМО при подготовке студентов по специальности 075300 — «Организация и технология защиты информации».

Структура и объем работы

Диссертация состоит из введения, трех глав, заключения и приложений. Основное содержание изложено на 93 страницах, включая 30 рисунков и графиков, 6 таблиц. Список литературы содержит 84 наименования на 8 страницах. Общий объем диссертации — 108 страниц.

Интеллектуальный анализ данных в задачах обнаружения компьютерных атак

К основным задачам, решаемым методами интеллектуального анализа данных, относятся [32]:

а) классификация (посредством анализа уже классифицированных объектов и формулирования некоторого набора правил выявляются признаки, ха рактеризующие группу, к которой принадлежит тот или иной объект);

б) прогнозирование (анализ поведения временных рядов позволяет оценить будущие значения прогнозируемых переменных);

в) кластеризация (распределение объектов по различным группам с воз можность расширения перечня групп, т.е. число групп заранее не фикси ровано);

г) ассоциация (в результате анализа производится выделение структуры свя зей в ряде коррелированных событий);

д) последовательность (разновидность ассоциации, в которой необходимо учитывать порядок появления событий и временные промежутки между этими событиями);

е) визуализация данных (наглядное представление зависимостей, выявлен ных средствами интеллектуального анализа данных, в удобной форме двумерных или трехмерных графических объектов).

Первые две задачи из приведенного перечня решаются с использованием предсказательных моделей: по набору обучающих данных с заранее известными результатами создаются модели, которые в состоянии с большой долей уверенности предсказывать результаты для наборов реальных данных.

Последующие три задачи представляются описательными моделями: по зависимостям, выявленным в известных данных, создаются модели, которые используются в системах принятия решений [32],

Визуализация многопараметрической информации состоит в отображении многомерного пространства параметров задачи в пространства меньшей размерности (двумерные, трехмерные изображения), удобные для представления средствами современной компьютерной графики [33],

Вышеперечисленные методы могут быть использованы для обнаружения компьютерных атак на ЛВС и соответствуют традиционным областям применения экспертных систем, нейронных сетей вычислительных средств, систем нечеткой логики и гибридных интеллектуальных систем [19, 33 - 39]

Нейронные сети наиболее часто используются для интеллектуального анализа данных, т. к. обладают способностью консолидировать информацию за счет выявления значимых признаков и скрытых закономерностей в исходных массивах разнородных данных [32, 33, 40 - 43]. Большинство из перечисленных задач решаются с применением многослойных НС.

Многослойная нейронная сеть (рис. 1.2) [33] состоит из входного слоя (input layer), по крайней мере, одного скрытого слоя (hidden layer) и выходного слоя (output layer) НС- Входной слой НС играет роль репликатора входного вектора для обеспечения всех формальных нейронов (ФН) первого скрытого слоя НС соответствующей копией координат входных сигналов (input signals). Основная вычислительная нагрузка нейронной сети ложится на систему взвешенных межнейронных связей скрытых и выходного слоев НС.

Обученная НС фиксирует требуемое преобразование входного вектора в вектор выходных сигналов (output signals) в системе взвешенных межнейронных связей, которая образует избыточное распределенное информационное поле нейронной сети. Другими словами, скрытые и выходной слои НС запоминают в системе взвешенных межнейронных связей заданное функциональное преобразование входной информации в выходную.

Вычислительный процесс преобразования входного вектора в выходной выполняется за счет взаимодействия оперативной информации в виде входного и промежуточных векторов с долговременной информацией информационного поля НС, которое осуществляется во взвешенных межнейронных связях и нейронах последовательно расположенных слоев НС.

Доказано [44, 45], что нейронной сетью с одним скрытым слоем и прямыми полными связями можно представить любую непрерывную функцию входных сигналов, для чего достаточно в случае n-мерного входного вектора 2п+1 ФН скрытого слоя с ограниченными функциями активации.

В экспериментальных НС могут присутствовать 4 и более скрытых слоев, каждый из которых может включать до 10 нейронов, что обеспечивает большую избыточность распределенного информационного поля нейронной сети. Однако НС для коммерческих применений обычно содержат 1 или 2 скрытых слоя, которые может включать 10 — 103 нейронов [46, 47]. Ограничения по числу слоев и ФН связаны, в первую очередь, ростом по экспоненте вычислительных затрат при программной эмуляции НС [46]. Адаптация нейронных сетей с учителем Способность к обучению является фундаментальным свойством НС, не-обходимым для построения адаптивных средств обнаружения атак на ЛВС. Процесс обучения НС может рассматриваться как коррекция взвешенных межнейронных связей сети, образующих распределенное информационное поле НС? в соответствии с требуемой функциональной зависимостью выходного вектора от значений входного вектора НС [48 - 50], Коррекции подлежат веса взвешенных связей, топология НС или и то и другое.

Известны многочисленные алгоритмы адаптации информационного поля НС с учителем [46, 51]. Лучшие результаты получены при использовании алгоритмов локальной оптимизации в сочетании с процедурой преодоления локальных минимумов и увеличением числа формальных нейронов [51].

Гибридные средства обнаружения компьютерных атак

Можно выделить следующие варианты применения НС в системах обнаружения атак. Дополнение нейронной сетью существующих экспертных систем для снижения числа ложных срабатываний, присущих экспертной системе. Так как экспертная система получает от НС данные только о событиях, которые рассматриваются в качестве подозрительных, чувствительность системы возрастает. Если обученная НС получила возможность идентифицировать новые атаки, то экспертную систему также следует обновить. Иначе новые атаки будут игнорироваться экспертной системой, прежние правила которой не описывают данную угрозу.

Если НС представляет собой отдельную систему обнаружения атак, то она обрабатывает трафик и анализирует информацию на наличие в нем злоупотреблений. Любые случаи, которые идентифицируются с указанием на атаку, перенаправляются к администратору ИБ или используются системой автоматического реагирования на атаки. Этот подход обладает преимуществом в скорости по сравнению с предыдущим подходом, т.к. существует только один уровень анализа, а сама система обладает свойством адаптивности. НС применяют также в системах криптографической защиты информации для хранения криптографических ключей в распределенных сетях [59].

К основным недостаткам НС относят «непрозрачность» процесса формирования результатов [34]. Однако использование гибридных нейро-экспертных или нейро-нечетких систем позволяет явным образом отразить в структуре ПС систему нечетких правил вывода, которые автоматически корректируются в процессе обучения НС [33, 58].

Нейросетевые экспертные системы Нейронные сети и экспертные системы существенно различаются по способам представления и обработки информации.

НС ориентированы на распределенную параллельную обработку данных, в ходе которой сложно найти аналог рассуждений, процесс решения задачи логически «не прозрачен», а накопленные в процессе обучения знания распределены по всему информационному полю НС, что затрудняет объяснение их конкретного местоположения и делает трудновыполнимым отражение в информационное поле необученной нейронной сети априорного опыта квалифицированных специалистов информационной безопасности.

Априорный опыт в экспертных системах представляется в «прозрачной» для пользователя иерархии правил IFHEN, например, в виде дерева решений, а процесс логического вывода сходен с последовательным характером человеческих рассуждений. Известны методы организации цепочек рассуждений, управляемых данными (data-driven) и управляемых целью (goal-driven) [33]. В обоих случаях имеются предпосылки распараллеливания обработки высказываний.

В отличие от экспертных систем НС обладают свойством адаптивности, причем сам процесс обучения достаточно прост и формализуем. В то же время ШДйчй приобретения шшш ксищгтымм шсг мами в значительной мерс трудоемка т, к, оенившш на создании непротиворечивой системы логического вывода, осношнной на аячном опыте отдельных жсшртов 60] Кроме-того, ориентированная на четкие достоверные данные иерархия правил экснертаой системы не обладает гибкостью и элементами шмоорганизгщии. В -го время как биологический мозг и его модель - искусственная НС выявляют зависимости и летают выводы в условиях нші гределенноеш и неполной діостоверности данных.

Основанная на правилах экспертная система (рис. І „6) состоит т базы чнйтй (knowledge base), информационной базы (database), механизма логического вывода (inference engine), средств объяснения результатов (explati&tbn facilities) и пользовательского интерфейса (user interface) [33 61 J.

Знания в экспертной системе организованы в виде системы правил вида: J К (условие) THEN (следствие). Система логического вывода осуществляет йршшеяио данных из информационной Сгяш с нолем базы тштії и в случае четко иашхаденим агшвижруютея заданные нолем действия. Результаты работы жеиартмой енстемьї доступны пользователю через диалоговый интерфейс, шторми позволяет ознакомиться также с ходом логических «рассуждений» системы, повлекших получение давшого результата.

Принципы построения защищенных локальных сетей с использованием адаптивных средств для обнаружения компьютерных атак

Проведенный анализ [49 - 50, 79 - 81] показал, что основным принципом построения интеллектуальных средств для обнаружения атак является принцип подобия организации защиты в технических системах и биосистемах.

При организации интеллектуальных средств обнаружения компьютерных атак следует учитывать особую роль, которую играет в эволюции живых организмов нервная система как адаптивный инструмент взаимодействия со средой. Нервная система необходима для формирования рефлексов в ответ на возденет вия. Рефлексия - продукт верхнего уровня защиты биологической системы [81, 82].

Поведенческие реакции в биологической системе - качество нервной системы, свидетельствующее о развитии связи между воздействиями и реакцией организма. Отмечают [81] разделение информации между носителями различной природы: ДНК и нервными клетками - нейронами. Поведенческая информация формируется на основе механизмов, передаваемых через ДНК, и фиксируется в информационных полях нейронных сетей нервной системы. Биосистсмам свойственно накопление жизненного опыта и передача его потомкам через обучение.

Обеспечение безопасности ЛВС от компьютерных атак должно базироваться на следующих положениях [48 - 50, 78, 80]:

а) подобие в архитектуре информационно-коммуникационных систем и биосистем;

б) использование в ИКС известных механизмов защиты информации, свой ственных биологическим системам, таких как: - иерархия защиты информации; - на нижних уровнях иерархии осуществляется сохранение генетической информации, реализация механизма мутаций, преобразование информации, разделение информации по критерию «свой/чужой» и нейтрализация чужеродной информации; - на верхних уровнях иерархии реализована связь системы со средой через органы чувств и накопление опыта в информационных полях НС нервной системы; - изменение генетической информации связано с изменением не формы представления, а содержания информации исходя из жизненного опыта; - защита информации обеспечивается за счет адаптивности - приобретения жизненного опыта, позволяющего успешно оперировать смы еловыми ситуациями, в частности, распознавать своих и чужих, выбирать поведение биологической системы в изменяющейся обстановке; аналогия в организации средств защиты информации, используемых в системах обнаружения компьютерных атак на ЛВС: - информация в СОА должна храниться в виде структурированных информационных полей, в частности, информационного поля идентификации компьютерных атаки на ЛВС, предназначенного для накопления опыта классификации известных атак; - идентифицирующая информация - своя для каждой ЛВС и связана с формой, но не содержанием информации; - СОА в процессе эксплуатации и взаимодействия с внешней средой накапливает в информационном поле НС опыт классификации компьютерных атак на ЛВС; - перенос и наследование информации — передача информационных полей, сформированных в процессе жизненного цикла адаптивной СОА, в последующие реализации системы обнаружения компьютерных атак на ЛВС; применение адаптивных свойств НС, «прозрачности» систем нечеткой логики, возможности используемого в экспертных системах представления знаний в виде системы правил IFHEN для реализации функций обнаружения компьютерных атак на ЛВС: - возможность наследования ранее накопленного опыта адаптивной системы обнаружения компьютерных атак в виде информационных полей нейронных и нейро-нечетких сетей; - способность к кластеризации признаков атаки на ЛВС и обучения информационных полей иерархии адаптивной СОА; - способность к адаптации накопленного опыта ЛВС по обнаружению известных атак - коррекция и расширение системы нечетких правил IFHEN логического вывода, адаптация информационных полей СОА; - возможность анализа, коррекции и переноса (наследования) информации в подобные ЛВС,

Моделирование процессов оптимизации адаптивной системы обнаружения компьютерных атак

Интерактивная инструментальная среда (далее программа) реализуют систему оценок защищенности ЛВС [S, 84], которая в составе модели адаптивной системы обнаружения компьютерных атак на локальную сеть используется для придания средствам защиты эволюционных качеств, прежде всего, адаптации к изменению характера атак [78],

Рассмотрим методику использования программы для моделирования последствий компьютерных атак на ЛВС, позволяющая оптимизировать размещение датчиков атак в структуре ЛВС и сформулировать требования к ДКА, включение которых в систему обнаружения компьютерных атак предотвратит появление ущерба, превышающего допустимый для данного хозяйствующего субъекта уровень [14].

Программа активируются запуском файла Expert.exe, для работы которого необходим размещенный в том же каталоге файл defaultdic, содержащий списки известных угроз, ДКА и перечень уровней системы обнаружения атак»

При первом запуске программы открывается окно (рис, 3.8), предназначенное для формирования или корректировки списков известных атак, датчиков атак и уровней системы обнаружения атак. Выбор одного из списков Эшелоны, Атаки или Датчики активирует кнопки Добавить, Изменить и Удалить, после чего можно редактировать пункты соответствующего списка (рис. 3,9) и сохранять их (Сохранить списки) для последующего использования (Загрузить списки).

Если сформированный перечень списков сохранить с именем defaultdic, то последующие запуски проіраммьі приведут к отображению в окне программы последней сохраненной редакции списков.

Для дальнейших расчетов (для активации кнопки Далее) необходимо во всех списках отметить конкретные атаки (специфицированные для системы обнаружения атак), активированные ДКА и те эшелоны системы обнаружения атак, в которых использованы активированные ДКА.

Подобная отметка определяет размерность матриц экспертных оценок, заполняемых в последующих окнах программы. Кнопка Далее открывает последовательность диалоговых окон для формирования матриц экспертных оценок по достоверности активации (ДА), относительному потенциальному ущербу (ОПУ) и частоте активации угроз (ЧАУ) в разрезе «атаки-ДКА» и «атаки-эшелоны».

Возможно использование ранее введенных экспертами баз данных (выбор кнопки (Загрузить данные) из файла с расширением .sav.

Для формирования исходных матриц экспертных оценок необходимо в списке Исходные матрицы выбрать соответствующую из матриц достоверности активации «ДКА-атаки», «атаки-эшелоны» и осуществить ввод значений, сопровождаемый контекстными пояснениями вида: Столбец j: Атака; Строка і: Датчик атаки.

В верхней правой части окна следует также ввести экспертные оценки граничных значений для лингвистической переменной «Достоверность

Пороговые значення дли шіліш величины і

ірого&вде ШИВДШЇЯ для сртшт величины, задающее нечеткие ънтент «малая величнш» (па рис. ЗЛО окрашена в зеленый цвет), «средняя ведши-на» - коричневый цвет и и&ольшт тжічпт» - красный цвет,

Выбор кнопки Растет после завершения ввдда результатов э& оценок приводит к умножению матриц ДКА-ЇШШІ К ат&кн-зшаюшда. добпое преобразование позволяет сжать многомерное пространство компьютерных этак в пространство ДКА и эшелонов системы обнаружения атак.

При этом формируются матриим «ДКА-эшелоны» (рнс. ЗЛО), описывающие распределение ДА, ОУХХ, ЧАУ но дактчишю атак и эшелонам системы обнаружения атак.

Результаты расчетов матрицы «ДКА-эшслоны» сопровождаются выводом столбца и строки показателей значимости (на рис ЗЛО выделены синим цветом).

Похожие диссертации на Модель и методика проектирования адаптивной системы обнаружения компьютерных атак с использованием нейросетевых средств