Нейросетевые технологии в обработке и защите данных Защита информации иммунными нейронными сетями Лекция 15. Характеристика возможностей системы компьютерной математики MATLAB нейросетевой обработки и защиты данных 1 Характеристика пакета Fuzzy Logic Toolbox Пакет Fuzzy Logic Toolbox (пакет нечеткой логики) системы MATLAB – это совокупность прикладных программ, реализующих операции над нечеткими множествами и позволяющих конструировать так называемые нечеткие экспертные и / или управляющие системы. В пакете Fuzzy Logic Toolbox системы MATLAB гибридные нейронные сети реализованы в форме адаптивных систем нейро-нечеткого вывода ANFIS. 3 Характеристика пакета Fuzzy Logic Toolbox Разработка и исследование гибридных сетей оказываются возможными двояко : • в интерактивном режиме с помощью специального графического редактора адаптивных сетей ANFIS, позволяющего создавать и загружать конкретную модель адаптивной системы нейро-нечеткого вывода, выполнять ее обучение, визуализировать ее структуру, изменять и настраивать ее параметры, а также использовать настроенную сеть для получения результатов нечеткого вывода; • в режиме командной строки с помощью ввода имен соответствующих функций с необходимыми аргументами непосредственно в окно команд системы MATLAB. 3 Редактор ANFIS В редакторе системы нечеткого вывода становятся доступными: 1) редактор функций принадлежности (Membership Function Editor); 2) Редактор правил системы нечеткого вывода (Rule Editor); 3) Программа просмотра правил нечеткого вывода (Rule Viewer); 4) Программа просмотра поверхности системы нечеткого вывода (Surface Viewer ) 4 Основные особенности и свойства распределенных информационных систем (РИС) Крис Дейт сформулировал основные принципы создания и функционирования распределенных баз данных (Distributed Data Base - DDB). К их числу относятся: Локальная автономия (local autonomy); Независимость узлов (no reliance on central site) ; Непрерывные операции (continuous operation); Прозрачность расположения (location independence); 5. Прозрачная фрагментация (fragmentation independence); 1. 2. 3. 4. 5 6. Прозрачное тиражирование (replication independence); 7. Обработка распределенных запросов (distributed query processing); 8. Обработка распределенных транзакций (distributed transaction processing); 9. Независимость от оборудования (hardware independence); 10. Независимость от операционных систем (operationg system independence); 11. Прозрачность сети (network independence); 12. Независимость от баз данных (database independence). 6 Основные особенности и свойства распределенных информационных систем (РИС) В основе РИС лежат две основные идеи: • множество организационно и физически распределенных пользователей, одновременно работающих с общими данными — общей базой данных; • логически и физически распределенные данные, составляющие общую базу данных (отдельные таблицы, записи и даже поля могут располагаться на различных вычислительных ресурсах или входить в различные локальные базы данных). 7 Основные особенности и свойства распределенных информационных систем(РИС) Исходя из определения Дейта, можно рассматривать РИС как слабосвязанную сетевую структуру, узлы которой представляют собой локальные базы данных. Локальные базы данных автономны, независимы и самоопределены; доступ к ним обеспечиваются СУБД, в общем случае от различных поставщиков. Связи между узлами - это потоки тиражируемых данных.8 Характеристика Региональной распределенной информационной системы Региональная распределенная информационная система образования (РРИСО) предназначена для: 1. Ведение централизованной базы данных для обеспечения управления системой; 2. Интеграция неоднородных баз данных педагогической и управленческой информации; 3. Обеспечение единого интерфейса пользователя и формирования типовых документов; 9 4. Поддержка дистанционного обучения и независимого тестирования; 5. Совместное использование вычислительных ресурсов и оборудования; 6. Создание централизованной электронной библиотеки и поддержка работы учащихся, преподавателей с периферийными электронными библиотеками; 7. Автоматический обмен электронной информацией между учреждениями образования, автоматизация процессов создания, обработки и хранения информации; 10 8. Защита информации, размещенной в РРИСО, и авторских прав разработчиков БД, электронных учебных материалов и приложений; 9. Поддержка групповой работы при подготовке электронных учебных материалов, обучении, научных исследованиях; 10. Интеграция с аналогичными информационными системами зарубежных и отечественных компьютерных сетей. Объект автоматизации, цель которого мониторинг в сфере образования, имеет географически распределенную структуру. Он состоит из департамента образования региона, муниципальных органов управления образованием, районных органов управления образованием, образовательных учреждений. 11 Архитектура Региональной распределенной информационной системы образования 12 В системе регионального масштаба должна поддерживаться возможность распределенного хранения и распределенной обработки данных. Каждая подсистема работает со своей локальной базой данных, но единой моделью. Данные фрагментированы. Для реализации возможности передачи данных между базами банных (БД) подсистем используется компонент реплицирования данных. Все изменения, вносимые в модель данных при необходимости ее расширения, настройки на новые информационные потребности, передаются в те подсистемы, работу которых затрагивают обновления. 13 Характеристика Региональной распределенной информационной системы Интеграция подсистем РРИСО реализуется на основе технологии BizTalk Server. Программная платформа технологии – Microsoft .net. Программное обеспечение ИС гибко конфигурируется при установке: осуществляется настройка на выполнение функций подсистемы соответствующего уровня, на работу в учреждениях образования различных типов и видов, различные условия эксплуатации. 14 Характеристика Региональной распределенной информационной системы Пользователи имеют возможность осуществлять поиск и отбор документов, их просмотр (через компоненты управления документами). В системе поддерживаются функции автоматизации выполнения типовых операций, делопроизводства и документооборота (через компоненты управления бизнес-процессами). Изменения в БД вносятся только через выполнение соответствующих операций, в ходе которых изменяются первичные данные, создаются документы. 15 Иерархия уровней адаптивной СИБ Иерархические уровни адаптивной системы информационной безопасности (СИБ) включают нейронечеткие классификаторы угроз по признакам атак и механизм защиты по вектору угроз. Для реализации основных достоинств нейросетевой элементной базы, таких как адаптивность, функциональная устойчивость, распределенное избыточное хранение информации необходимо обеспечить избыточность информационных полей нейронечетких сетей. 16 Иерархия уровней адаптивной СИБ Каждый из иерархических уровней решает задачи кластеризации и классификации входных векторов: иммунный уровень, исходя из нечеткого вектора признаков атак, формирует нечеткий выходной вектор угроз информационной безопасности корпоративной сети, а рецепторный уровень, исходя из нечеткого вектора угроз – выходные векторы достоверности активности механизмов защиты и уровней СИБ. 17 Классификатор иерархического уровня адаптивной СИБ имеет иерархическую структуру интеллектуальных подуровней, содержащую: • систему нечетких правил, описывающих работу классификатора с учетом экспертных оценок; • нечеткую нейронную сеть (НС), в структуре которой отражена система нечетких правил; • четкую самообучаемую НС для решения задачи кластеризации входных векторов. 18 ЭЛЕМЕНТЫ ИММУННОЙ НЕЙРОННОЙ СЕТИ ДЛЯ ОБНАРУЖЕНИЯ АТАК НА РЕСУРСЫ РИС Одним из путей введения избыточности в информационные поля нейронечетких сетей является использование информации о состоянии СИБ в качестве одного из источников входных данных на нейронечетких классификаторах иерархических уровней адаптивной СИБ. Происходит увеличение размерности входных данных за счет добавления к входному вектору Х вектора Z текущего состояния СИБ 19 Коррекция иерархического уровня адаптивной СИБ 20 Коррекция иерархического уровня адаптивной СИБ Для учета текущего состояния СИБ необходима коррекция информационных полей НС адаптивной защиты, в частности, классификаторов иммунного и рецепторного иерархических уровней. Подобная коррекция структуры СИБ вызывает увеличение размерности входных данных классификатора и расширение системы нечетких правил логического вывода, которая учитывает не только координаты входного вектора Х, но и координаты вектора Z текущего состояния СИБ. 21 Коррекция иерархического уровня адаптивной СИБ В процессе работы классификатора формируется выходной вектор Y по векторам Х и Z и вектор С изменения состояния адаптивной СИБ. Для иммунного уровня защиты координаты вектора Z могут отражать системные характеристики информационно-коммуникационных сетей (ИКС), такие как: • тип установленного программного обеспечения и обновлений к нему; 22 • • • • работающие сервисы; поддержка многозадачности; поддержка многопользовательского режима; наличие в ИТ-системе таких устройств ввода/вывода информации, как дисководы, CD, DVD-приводы, USB-порты и пр.; • наличие устройств «горячей» замены, к примеру, RAID массивов, других средств резервного копирования информации; • возможность беспроводного доступа в систему; • прочие. 23 • • • • • • Для рецепторного уровня защиты координаты вектора Z могут отражать структурные характеристики СИБ, к примеру, такие как: множество используемых в СИБ механизмов защиты; распределение механизмов защиты (МЗ) по иерархии СИБ; активность уровней иерархии СИБ; активность используемых в СИБ механизмов защиты; комплекс показателей ИКС, включая оценки защищенности, экономические и рейтинговые показатели; прочие. 24 Наличие регистров состояния в составе иерархических уровней СИБ приводит к существенному возрастанию избыточности информационных полей СИБ как за счет увеличения размерности входных векторов классификаторов, так и последующего приведения формальной записи системы нечетких правил логического вывода к аналогу совершенной формы. Для реализации примера автоматизации обеспечения информационной безопасности РИС воспользуемся возможностями пакета Fuzzy Logic Toolbox системы MATLAB.25 Угрозы Вектор X – угрозы № Функция принадлежности 1 Отказ в обслуживании M1 2 Хищение информации M2 3 Присвоение личности M3 4 Модификация информации M4 5 Попытка взлома пароля пользователя M5 6 Вирусная атака 7 Поиск остаточной информации D1 8 Несанкционированный запуск программ D2 9 D3 10 Изменение конфигурации СЗИ Несанкционированное уничтожение данных 11 Несанкционированное открытие файлов D5 S D4 26 Состояние ИКС № 1 Вектор Z – состояние ИКС Установленное программное обеспечение и обновления к нему 2 Работающие сервисы 3 Система поддерживает многозадачность 4 Система поддерживает многопользовательский режим 5 В системе установлены устройства ввода/ вывода (CD Rom, DVD Rom, Floppy и т. д.) 6 Функция принадлежности M1 M2 M3 S D1 Наличие устройств горячей замены D2 Наличие внешних каналов связи D3 7 27 Механизмы защиты № Вектор Y – механизмы защиты Функция принадлежности 1 Идентификация и аутентификаци 2 Блокирование бесконтрольного доступа М2 3 Защита от вирусов М3 4 Контроль целостности данных 5 Уничтожение остаточных данных D1 6 Защита программ от исследования D2 7 Резервирование информации D3 8 Восстановление и самовосстановление D4 9 Проверка ЦП D5 10 Блокировка запуска программ D6 M1 S 28 Механизм нечеткого логического вывода позволяет использовать для предварительного обучения СИБ опыт экспертов конкретной предметной области, овеществленный в системах нечетких правил вывода. Системы нечетких правил вывода в адаптивной СИБ используются для описания процесса классификации, во-первых, угроз по признакам атак (классификатор иммунного уровня защиты) и, во-вторых, механизмов защиты на поле угроз (классификатор рецепторного уровня защиты). 29 Система нечетких правил логического вывода Условия № Заключения R3: IF (X1 = M1) AND (Z2 = M2) AND (Z7 = D3) IF (X2 = M2) AND (Z4 = S) AND (Z7 = D3) IF (X3 = M3) AND (Z4 = S) R4: IF (X4 = M4) AND (Z1 = M1) THEN Y = S R5: IF (X5 = M5) AND (Z3 = M3) THEN Y = D2 R6: IF (X6 = S) AND (Z1 = M1) THEN Y = M3 R7: IF (X7 = D1) AND (Z4 = S) AND (Z5 = D1) AND (Z6 = D2) AND (Z7 = D3) THEN Y = D1 R1: R2: THEN Y = M2 THEN Y = M2 THEN Y = D4 30 Условия № Заключения R8: IF (X8 = D2) AND(Z4 = S) THEN Y = M1 R9: IF (X9 = D3) AND (Z1 = M1) THEN Y = D4 R10: IF (X10 = D4) AND (Z5 = D1) THEN Y = D3 R11: IF (X11 = D5) AND (Z = S) AND (Z7 = D3) IF (X12 = D5) AND (Z5 = D1) THEN Y = M2 R13: IF (X13 = D5) AND (Z4 = S) AND (Z7 = D3) THEN Y = M2 R14: IF (X14 = M5) AND (Z7 = D3) THEN Y = M2 R12: THEN Y = D3 31 Реализация подсистемы нечеткого вывода Для создания подмодуля иммунной системы, обеспечивающей обнаружение атак на ресурсы распределенных систем из рассмотренных правил, рассмотрим механизмы защиты для выходной переменной Y, такие как: Y={«блокирование бесконтрольного доступа», «контроль целостности данных» }. Система нечеткого вывода будет включать две входных переменных: X={«отказ в обслуживании», «хищение информации», «модификация информации», «несанкционированное открытие файлов», «попытка взлома пароля»}; Y={«установленное ПО», «работающие сервисы», «многопользовательский режим», «наличие внешних каналов связи»}. 32 Реализация подсистемы нечеткого вывода Выходная переменная и две входные переменные задаются так: mexanizm = {«блокировка доступа», « целостность»}. ugroz = {«отказ», «хищение», «модификация», «открытие», «взлом»}; stateRIS = {«ПО», «сервисы», «режим», «внешние каналы»}. 33 Порядок создания нечетких систем в интерактивном режиме 1. Вызов редактора FIS набором в командной строке fuzzy; 2. Введение переменных: Edit>Add Variable…>Input; 3. Сохранение создаваемой модели нечеткого вывода обеспечивает команда меню: File > Export>To File; 34 4. Для определения термов и их функций принадлежности входных и выходных переменных необходимо выполнить: Edit>Membership Functions… 5. Для определения правил нечеткого вывода вызывается редактор правил: Edit>Rules… Три варианта действий возможны: Delete rule, Add rule, Change rule. 6. Значения входных переменных вводятся в поле ввода Input после вызова редактора правил: View> Rules… 35 Функции принадлежности Основная сложность при разработке иммунной системы нечеткого вывода состоит в обоснованном подборе функций принадлежности для термов анализируемых нечетких переменных. Для выбранных термов используются треугольные и трапецеидальные функции принадлежности с параметрами: X: [0 0 1 2], [1 2 3], [2 3 4], [3 4 5], [4 5 6]; Z: [0 0 1 2], [1 2 3], [2 3 4], [3 4 5]; Y: [0.2 0.4 1 1], [0.7 0.8 0.9]. 36 Реализация подсистемы нечеткого вывода Из рассмотренных правил выберем шесть для примера реализации. Эти правила в редакторе правил заносятся просто указанием соответствующих термов нечетких переменных, определенных ранее с заданными функциями принадлежности. Выполнение этапов агрегирования, активации, дефаззификации и просмотра поверхности осуществляется после задания входных данных в поле “input”. 37 38 Реализация подсистемы нечеткого вывода 39 40