В основу ряда перспективных разработок в сфере информационных технологий положен принцип бионики, подразумевающий заимствование и моделирование защитных алгоритмов, присущих живым организмам. Наибольшее распространение в этой области получили такие интеллектуальные решения, как экспертные системы (ЭС), функционирующие на базе логических правил, механизмы вероятностного вывода, аппарат нечеткой логики (НЛ), а также технологии искусственных нейронных сетей (НС).

Экспертные системы в СЗИ

Сильной стороной экспертных систем считается их способность представлять опыт ИБ-специалистов в наиболее наглядной и структурированной форме. Знания в них раскладываются на элементарные составляющие: правила If-Then или деревья решений. Такая организация делает процесс рассуждений системы прозрачным, поскольку он копирует привычную для человека последовательность умозаключений [1].

Ранее исследования на эту тему проводили Андрианов В.И., Романов Г.Г., Штеренберг С. И, мнение которых я взяла за основу в своей работе.

Механизм формализации умозаключений посредством правил If-Then реализуется в двух основных напралениях: прямой и обратный вывод.

При прямом выводе, функционирующем по принципу управления данными, определяющим фактором выступает готовность исходных посылок. Как только все условия в части If выполняются, правило активируется, генерируя заключение из части Then. Сильной стороной такого подхода считается принципиальная возможность параллельной обработки: поиск активированных правил может вестись одновременно по всей базе знаний. Недостаток — нерациональное использование вычислительных ресурсов, поскольку система обрабатывает все доступные правила, не фильтруя их относительно целевой задачи.

Обратный вывод, напротив, следует логике управления запросами. Здесь первоначально осуществляется сужение области поиска путем распространения целевых запросов, и только затем отобранное подмножество правил обрабатывается, например, по тому же принципу управления данными.

Основанная на системе правил экспертная система состоит из базы знаний — knowledge base, базы данных — database, механизма логического вывода — inference engine, средств объяснения результатов — explanation facilities и пользовательского интерфейса — user interface. Знания в экспертной системе организованы в виде иерархической системы правил вида: If (условие) Then (следствие).

В сфере информационной безопасности ЭС зарекомендовали себя как эффективный инструмент детекции несанкционированных действий (НСД). Стратегии обнаружения при этом подразделяются на два класса: сигнатурный (обнаружение злоупотреблений) и поведенческий (обнаружение аномалий). Первый подход ориентирован на фиксацию попыток эксплуатации известных уязвимостей системы. Здесь деятельность субъекта сопоставляется с прецедентами хакерской активности — используются правила, формализующие сценарии атак. Второй подход фокусируется на выявлении отклонений от эталонного поведения. Для этого формируется база профилей, описывающих типичные паттерны действий как отдельных пользователей, так и целых групп. Механизм обнаружения срабатывает, когда текущая активность не вписывается в установленные шаблоны, сигнализируя о потенциальной аномалии. Большинство систем обнаружения злоупотреблений и аномалий основаны на модели, которая поддерживает набор профилей легальных пользователей, согласовывает записи подсистемы аудита с соответствующим профилем, обновляет профиль и сообщает об обнаруженных аномалиях. Поведение пользователя может быть представлено как модель на основе правил, в терминах прогнозируемых шаблонов анализа изменения состояния, а для выявления факта атаки используют методы сопоставления с образцом.

Существенным ограничением экспертных систем выступает высокая сложность формирования и последующей актуализации базы знаний. Синтез непротиворечивой системы логических правил, агрегирующей личный опыт множества специалистов, требует значительных трудозатрат. Помимо этого, архитектура ЭС, ориентированная на оперирование исключительно четкими и достоверными данными, оказывается ригидной: иерархия правил лишена адаптивности и не способна к самоорганизации в условиях неопределенности [2].

Интеллектуальные средства обеспечения безопасности ИТ в условиях неопределенности

Более гибким инструментом для большинства задач защиты информации становятся интеллектуальные системы, способные функционировать на базе неполных или неточных исходных данных. Эта возможность реализуется в архитектурах, поддерживающих недостоверное управление и вероятностные рассуждения. Такие системы устойчивы к противоречиям в исходной информации, агрегируют мнения разных экспертов и успешно обрабатывают как числовые данные, так и качественные оценки. В числе наиболее востребованных подходов к организации вероятностного вывода выделяются байесовские методы и механизм факторов уверенности

База знаний, представленная в виде системы правил If-Then, дополняется значениями условной вероятности наступления события Н (гипотеза) при условии, что произошли события Е, перечисленные в части If правила: IfE is true Then His true {with probability p}.

Вероятностные рассуждения по методу Байеса дают достоверные оценки ожидаемых событий, однако нуждаются в статистических сведениях в объеме, достаточном для расчетов значений условных вероятностей событий, фигурирующих в правилах базы знаний [3].

В ситуациях, когда статистическая база для расчета условных вероятностей по методу Байеса отсутствует, эффективной альтернативой выступают факторы уверенности (certainty factors). Данный механизм оперирует экспертными оценками, выраженными, как правило, в диапазоне [-1, 1]. Крайние значения шкалы имеют четкую интерпретацию: +1 сигнализирует об абсолютной истинности утверждения, тогда как -1 однозначно указывает на его ложность. Таким образом, формируется семантическая шкала, ставящая в соответствие качественным экспертным понятиям количественные значения достоверности. На основе этой градации впоследствии производится оценка каждого продукционного правила в базе знаний. If E is true Then H is true {cf}.

И рассуждения Байеса и метод факторов уверенности обладают общим недостатком, связанным с необходимостью привлечения специалистов высокой квалификации, способных достоверно определить качество значительного числа правил базы знаний экспертной системы, оперирующих с большим объемом разнородной и качественной информации.

Системы нечеткой логики в системах безопасности ИТ

Нечеткая логика, введенная в научный обиход Л. Заде, стала инструментом преодоления разрыва между формальными математическими моделями и гибкостью человеческого мышления. Оперируя лингвистическими переменными, она позволяет описывать качественные понятия и обрабатывать высказывания, истинность которых варьируется в непрерывном диапазоне [0, 1]. Связующим звеном между абстрактным термином и конкретным числом выступает нечеткое множество и его функция принадлежности µх, ставящая в соответствие каждому элементу х степень его включения в множество. На сегодняшний день накоплена обширная база публикаций, демонстрирующих эффективность применения нечеткой логики в сфере информационной безопасности [4].

Системы нечеткой логики обладают важным преимуществом: их база знаний, построенная на множестве, правил If-Then, сохраняет строгость логического вывода, но при этом позволяет оперировать качественными категориями при описании предметной области. Гибкость таких систем проявляется и в возможности адаптации — путем настройки параметров функций принадлежности в процессе обучения. Однако сама процедура обучения остается трудоемкой. Решение проблемы видится в трансформации базы знаний в топологию нейронной сети. Нейросетевая архитектура открывает доступ к эффективным алгоритмам обучения, позволяя автоматически корректировать информационное поле без участия человека.

Применение НС в системах обеспечения безопасности ИТ

Нейронные сети являются базой для организации интеллектуальных СЗИ.

Нейронные сети интегрируются в экспертные системы преимущественно для фильтрации входного потока событий и минимизации ложных срабатываний. Но такое тандемное использование порождает проблему синхронизации знаний: после того как НС в результате обучения научилась детектировать новые типы атак, база правил ЭС должна быть оперативно актуализирована. В противном случае экспертный компонент системы, опираясь на прежние, неполные правила, будет пропускать угрозы, уже выявляемые нейросетевым фильтром.

Если СЗИ организована на базе НС, то она способна обрабатывать трафик и анализировать на наличие злоупотреблений поступающую информацию. Любые случаи, которые идентифицируются с указанием на НСД, перенаправляются к администратору безопасности или автоматически обрабатываются системой защиты информации ИТ. Этот подход более оперативен по сравнению с предыдущим подходом, т.к. существует единственный уровень обработки и СЗИ обладает свойством адаптивности.

Основным недостатком НС считают «непрозрачность» формирования результатов анализа. Однако использование гибридных нейро-экспертных или нейро-нечетких систем позволяет явным образом отразить в структуре НС систему правил If-Then, которые автоматически корректируются в процессе обучения НС. Свойство адаптивности НС позволяет решать не только задачи идентификации угроз, сопоставления поведения пользователей с имеющимися в системе шаблонами, но и автоматически формировать новые правила при изменении поля угроз, а также реализовать систему защиты информации технической системы в целом [5].