SWorld – 17-29 March 2015

SWorld – 17-29 March 2015
http://www.sworld.education/index.php/ru/conference/the-content-of-conferences/archives-of-individual-conferences/march-2015
MODERN DIRECTIONS OF THEORETICAL AND APPLIED RESEARCHES ‘2015
Технические науки – Информатика, вычислительная техника и автоматизация
УДК 004.942+004.021
Нечволода Л.В., Колодько Д.А.
МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ ПОВЕДЕНИЯ
ПОЛЬЗОВАТЕЛЕЙ КАК МЕТОД ПОВЫШЕНИЯ ЗАЩИЩЕННОСТИ
ИНФОРМАЦИОННЫХ СИСТЕМ
Донбасская государственная машиностроительная академия,
Краматорск, Шкадинова 72, 84313
Nechvoloda L.V., Kolodko D. A.
MATHEMATICAL MODELING OF USER BEHAVIOR AS A METHOD
TO REDUCE VULNERABILITY OF INFORMATION SYSTEMS
Donbass State Engineering Academy,
Kramatorsk, Shkadinova 72, 84313
Аннотация. В работе рассмотрен процесс моделирования поведения
пользователей
на
основании
сессионной
статистики
использования
информационной системы. Предложен подход, позволяющий повысить
защищенность
систему
информационных
модуля
моделирования
систем
внедрения
поведения
в
информационную
пользователя.
Приведена
математическая модель моделирования поведения пользователя и выявления
отклонений от этой модели.
Ключевые слова: моделирование поведения, нейронная сеть, защита
информации, информационные системы.
Abstract. In this paper, we consider the simulation of user behavior based on
the statistics of a session usage of an information system. Suggested an approach that
allows increasing the security of information systems by including user behavior
module into the information system. Given a mathematical model for the simulation
of user behavior and detect deviations from this model.
Keywords: modelling of behaviour, neural network, information security,
information systems.
Вступление.
С каждым годом все больше предприятий переходят на использование
автоматизированных
информационных.
Автоматизация
производственных
процессов приносит ряд преимуществ, но также и вносит ряд уязвимостей
способных привести к утечке информации. Основной уязвимостью являются
пользователи
АСУ,
осуществляющая
а
доступ
также
к
функциональность
системе
на
основе
информационных
предоставления
идентификационных данных пользователя.
Обзор литературы.
Проблема машинной имитации человеческих мыслей воодушевляет
ученых уже несколько столетий. Более 50 лет назад были созданы первые
электронные модели нервных клеток. Кроме того, появлялись много работ по
новым математическим моделям и обучающим алгоритмам, в частности таких
авторов как Скакун С.В., Куссуль Н.Н., Калан Р., Хайкин С., Осовский С.,
Тархов Д.А., Рутковская Д., Рутковский Л., Пилиньский М. и многие другие.
Сегодня так называемые нейронные сети представляют наибольший интерес в
этой области. Они используют множество простых вычислительных элементов,
называемых нейронами, каждый из которых имитирует поведение отдельной
клетки человеческого мозга.
Входные данные и методы.
Каждый нейрон биологической нейронной сети (рис.1) состоит из тела
клетки, которое содержит ядро. От тела клетки ответвляется множество
коротких волокон, называемых дендритами. Длинные дендриты называются
аксонами.
Аксоны
растягиваются
на
большие
расстояния,
намного
превышающее то, что показано в масштабе этого рисунка. Обычно аксоны
имеют длину 1 см (что превышает в 100 раз диаметр тела клетки), но могут
достигать и 1 метра.
Рис. 1. Биологическая нейронная сеть
Каждый нейрон в нейронной сети осуществляет преобразование входных
сигналов в выходной сигнал и связан с другими нейронами. Входные нейроны
формируют так называемый интерфейс нейронной сети. Нейронная сеть (рис.2)
имеет слой, принимающий входные сигналы, и слой, генерирующий выходные
сигналы. Информация вводится в нейронную сеть через входной слой. Все слои
нейронной сети обрабатывают эти сигналы до тех пор, пока они не достигнут
выходного слоя.
Рис. 2. Базовая структура нейронной сети
Задача нейронной сети – преобразование информации требуемым
образом.
Для
этого
сеть
предварительно
обучается.
При
обучении
используются идеальные (эталонные) значения пар «входы-выходы» или
«учитель», который оценивает поведение нейронной сети. Для обучения
используется так называемый обучающий алгоритм. Ненастроенная нейронная
сеть не способна отображать желаемого поведения. Обучающий алгоритм
модифицирует отдельные нейроны сети и веса ее связей таким образом, чтобы
поведение сети соответствовало желаемому поведению.
Существует множество способов построения нейронных сетей. Они
различаются своей архитектурой и методами обучения.
Первый шаг в проектировании нейронной сети состоит в ее обучении
желаемому поведению. Это - фаза обучения. Для этого используется так
называемая
обучающая
выборка
или
учитель.
Учитель
–
это
либо
математическая функция, либо лицо, которое оценивает качество поведения
нейронной сети. Поскольку нейронные сети в основном используются в
сложных применениях, где нет хороших математических моделей, то обучения
производится с помощью обучающей выборки, то есть эталонных пар «входывыходы».
После завершения обучения нейронная сеть готова к использованию. Это
– рабочая фаза. В результате обучения нейронная сеть будет вычислять
выходные сигналы, близкие к эталонным данным при соответствующих
входных
сигналах.
При
промежуточных
входных
сигналах
сеть
аппроксимирует необходимые выходные величины. Поведение нейронной сети
в рабочей фазе детерминировано, то есть для каждой комбинации входных
сигналов на выходе всегда будут одни и те же сигналы. На протяжение рабочей
фазы нейронная сеть не обучается. Это очень важно для большинства
технических
применений,
поскольку
система
не
будет
стремиться
к
экстремальному поведению.
Сущность
применения
математического
моделирования
поведения
пользователя в системах безопасности заключается в выявлении отклонения
поведения пользователя от ранее определенной модели и дальнейшем
реагировании
системы
в
соответствии
с
заданным
алгоритмом
для
блокирования потенциально опасных для системы пользователей.
Комплексная
модель
пользователя,
учитывает,
как
динамические
(интерактивная часть), так и статистические (сеансовая часть) свойства
поведения пользователей. Исходя из этого разрабатываемая модель должна
учитывать изменения в поведении пользователя – другими словами обучаться
распознавать пользователя, имитировать его поведение.
В основу разработанной модели положена нейронная сеть прямого
распространения, которая состоит из входного, выходного и одного или
нескольких скрытых слоев нейронов. Выход нейрона в слое n определяется
следующим (1) отношением:
(1)
где n – номер слоя (n ∈ [1, p]); p – количество слоев в нейронной сети; j –
индекс нейрона (j ∈ [1, Nn]); Nn – число нейронов в слое; f – активационная
функция слоя (в нашем случае для скрытых слоев используется сигмоидальная
активационная функция (2), а для выходного слоя – линейная (3));
(2)
(3)
– выход j-го нейрона слоя;
– постсинаптический потенциал j-го
нейрона слоя, который вычисляется согласно следующим (4) формулам:
(4)
(5)
где
– весовой коэффициент связи k-гo нейрона слоя n;
k-го нейрона слоя n − 1 ;
– выход
– расширенный вектор с учетом bias-нейрона;
– порог (bias-нейрона) j-го нейрона слоя n. Вход и выход нейронной сети будут
определяться, соответственно, следующими (6) соотношениями:
(6)
Интерактивная
модель
используется
для
выявления
аномальной
деятельности во время работы пользователя. Для каждого пользователя
компьютерной системы строится и обучается нейронная сеть таким образом,
чтобы прогнозировать следующую команду на основе предыдущих.
При этом результат работы нейронной сети в момент времени t
определяется зависимостью (7)
(7)
Где F – нелинейное преобразование, осуществляемое нейронной сетью
согласно формулам 1, 4, 5, 6, 7;
– t-тая команда сеанса; m – количество
команд, на основе которых происходит прогнозирование следующей (глубина
прогнозирования).
Результаты. Обсуждение и анализ.
На основе количества команд, которые были правильно спрогнозированы
нейронной сетью, делается вывод, соответствует ли текущее поведение
пользователя ранее построенной модели. При этом необходимо учитывать, что
пользователям свойственно изменять поведение с течением времени. Поэтому с
целью обеспечения адаптации к их поведению нейронную сеть следует
периодически доучивать.
Выход нейронной сети может принимать два значения: 1 – для
нормального поведения пользователя и 0 – для аномального. В случае если на
выходе нейронной сети система получит 0, система сможет распознать
аномальное поведение пользователя и применить необходимые меры по
блокированию пользователя, работающего с системой.
Заключение и выводы.
В статье представлена математическая модель определения пользователя
информационной системы на основе сессионной статистики пользователя
информационной системы. Данный математический аппарат для решения
поставленной задачи использует нейронную сеть прямого распределения на
вход которой поступают данные о активности пользователя в течение сессии, а
на выход поступает результат проверки на соответствие заявленного поведения
пользователя
обычному
поведению
описанного
математического
данного
аппарата
пользователя.
является
Применение
целесообразным
в
информационных системах с повышенными требованиями к безопасности, а
также в системах часто подвергающимся хакерским атакам или имеющим
слабые механизмы защиты информации.
Литература:
1. Куссуль Н., Соколов А. Адаптивное обнаружение аномалий в
поведении пользователей компьютерных систем с помощью марковских цепей
переменного порядка. Ч. 2: Методы обнаружения аномалий и результаты
экспериментов // Проблемы управления и информатики. – 2003. – № 4. – С. 83 –
88.
2. Manavoglu E., Pavlov D., Lee Giles C. Probabilistic User Behavior Models
// Proc. of the 3rd IEEE International Conf. on Data Mining (ICDM 2003). –
Melbourne, Florida (USA). – 2003. – P. 203 – 210. 3. Davison B. D., Hirsh H.
Probabilistic Online Action Prediction // Working Notes of the AAAI Spring
Symposium on Intelligent Environments. – 1998. – P. 148 –154.
3. Скакун С.В., Куссуль Н.Н. Нейросетевая модель пользователей
компьютерных систем // Кибернетика и вычислительная техника. – 2004. –
Вып. 143. – С. 55 – 68.
4. Haykin S. Neural Networks: a comprehensive foundation. – Upper Saddle
River, New Jersey: Prentice Hall, 1999. – 842 p.
Научный руководитель: ст. преподаватель, к.т.н., Нечволода Л.В.
Статья отправлена: 08.03.2015г.
© Колодько Д.А.