М В Турти - Використання однозначної нечіткої логіки в системах технічного захисту інформації - страница 1

Страницы:
1  2 

Менеджер IDS контролює решту компонентів IDS, приймає рішення по підніманню тривоги і реалізації контрзаходів. Крім того, менеджер IDS зберігає конфігураційну інфор­мацію, ініціює сенсори і детектори, забезпечує їх критеріями виявлення і постійно оновлю­ється. Архітектура менеджера IDS наведена на рис.5.

Менеджер IDS реалізує як активні, так і пасивні контрзаходи. Як пасивні він виконує запис подій в системний журнал, повідомлення адміністратора за допомогою E-Mail, пей­джера, телефону, виведення повідомлень на консоль і запуск визначених програм. А активні дії можуть бути такими: обрив TCP-з'єднання, блокування системи, налаштування міжме-режевого екрану. [3, 4]

Висновки

Підсумовуючи особливості підходів виробників систем безпеки до виявлення атак, зазначимо, що усі виробники IDS застосовують схожі підходи - розподілені мережеві архі­тектури IDS. При цьому основну увагу виробники приділяють сенсорам системи виявлення атак і системам їх керування. Найбільша продуктивність досягається за рахунок викорис­тання спеціалізованих процесорів та спеціалізованого програмного забезпечення, яке вра­ховує особливості середовища, в якому воно функціонує (TippingPoint, 5000E, SourceFire IS 5800) або використання системи виявлення атак в запропонованій виробником архітектурі (Cisco Systems IDS 4200 Sensor Series, Cisco Systems IDSM-2, ISS Poventia M30 and M50 Se­ries, ISS Proventia A Series). [5]

Проектні аналітики, адміністратори безпеки, менеджери стикаються з проблемою ви­бору системи виявлення втручань, що задовольнятиме їхнім вимогам. За допомогою запро­понованого підходу, який дозволяє проаналізувати властивості IDS на основі розглянутої архітектури, можна зіставити наявні продукти і вибрати найбільш відповідний варіант.

Таким чином, запропонована архітектура узагальнює принципи роботи сучасних IDS і дозволяє порівняти їх функціональні можливості.

Список літератури

1. Paul Inella. The Evolution of Intrusion Detection Systems // SecurityFocus - 2001.

2. James Anderson. Computer Security Threat Monitoring and Surveillance // Fort Washington, Ра.

- 1980.

3. D. E. Denning. An intrusion-detection model // IEEE Transactions on Software Engineering. -1987. - Vol. SE-13(No. 2): 222-232.

4. G. A. Fink, B. L. Chappell, T. G. Turner, and K. F. O'Donoghue. A Metrics-Based Approach to Intrusion Detection System Evaluation for Distributed Real-Time Systems // Information Transfer Tech­nology Group, Code B35, Naval Surface Warfare Center, Dahlgren Division. WPDRTS. - Ft. Lauderdale,

Florida. - 2002.

4. Дуткевич Т.В., Піскозуб А. З. Особливості застосування систем виявлення та запобігання атак у високошвидкісних корпоративних мережах // Науково-технічний журнал «Захист інформації».

- № 4. - 2006. - с. 28-37.

УДК 004.56.021.2: 510.22 (045) Турти М.В.

ВИКОРИСТАННЯ ОДНОЗНАЧНОЇ НЕЧІТКОЇ ЛОГІКИ В СИСТЕМАХ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ

Робота присвячена порівняльному аналізу ефективності використання класичних методів нечіткої логіки в задачах технічного захисту інформації і однозначної нечіткої логіки. Ви­значені області доцільного використання розроблених засобів.

Вступ

Системи технічного захисту інформації є ієрархічними системами, що складаються із блоків, які різняться як за функціональним призначенням так і за технічною реалізацією.

Визначення міцності захисту інформації ускладнюється необхідністю багатокритеріального оцінювання різних засобів, наявністю ресурсних обмежень та імовірнісним характером впливових факторів.

Багато факторів мають нечіткий характер і підлягають обробці методами нечіткої ло­гіки. Нечіткі системи використовуються як системи ідентифікації, навігації, управління, систем виявлення уразливостей в початкових кодах тощо [1-6] внаслідок зручності враху­вання числових та якісних факторів, в тому числі визначених експертом на інтуїтивному рівні, однак в них наявний ряд недоліків, докладно проаналізованих в [7].

Постановка завдання

Розглянемо на прикладі задачі формування нечітких еталонів для систем виявлення уразливостей в початкових кодах, розв' язаної в [6] за допомогою класичних методів, один з аспектів нечітких систем - особливості визначення і використання функції належності (ФН) однозначної нечіткої логіки [7].

Основна частина

За класичною теорією нечітких систем функції належності (x) визначаються екс­пертом у вигляді математичних, табличних, графічних залежностей на рівні інтуїції з вра­хуванням їх взаємного впливу. Введені в [6] лінгвістичні змінні визначаються за рядом ета­пів, першим з яких полягає у формуванні базової терм-множини, що задається п' ятьма нечі-

5

тким термами = • Т СП = {"дуже малий" (ДМ), "малий" (М), "середній" (С), "вели­кий" (В), "дуже великий" (ДВ)}, які можуть бути відображені на універсальну множину ХСП є {0, max СП }. Множина термів Tcn відображується нечіткими числами (НЧ) ДМ ,

М , С~ , ГВ , ДВ , для яких на етапі 2 здійснюється формування ФН за допомогою методу

призначення параметрів (рис.1, [2]), де з практичної точки зору прийнято maxcn=48. На ета­пі 3 за [6] здійснюється формування нечітких еталонів, виходячи з вимог, „щоб V

було справедливе відношення порядку, наприклад, при i = 1, VXдм Xдмk < Xдм ".

е

Далі одержані подаються у приведеній формі ТСП і використовуються як еталонні значення: ДМе = {0/1; 0,5/1; 1/1; 1/2; 0,5/2,5; 0/3}; Ме = {0/2; 0,5/2,5; 1/3; 1/4; 0,5/5; 0/6};

е = {0/4; 0,5/5; 1/6; 1/8; 0,5/10; 0/12}; ГВе = {0/8; 0,5/10; 1/12; 1/16; 0,5/20; 0/24}; ДВе = {0/16; 0,5/20; 1/24; 1/32; 0,5/40; 0/48}. Як видно з рис.1, величини від x = 12 до

x = 16 з однаковим ступенем впевненості відносяться до терму „великий", величини з інте­рвалу x є [24 • 32] - до терму „дуже великий" тощо. Таким чином, наприклад терму „вели­кий" з однаковою ФН, яка дорівнює 1, належать всі числові значення з діапазону [12 • 16] і неможливий однозначний перехід від терму до числового значення.

Задачею однозначних нечітких систем за [7] є суттєве спрощення процедури визна­чення функцій належності та процесів фаззифікації та дефаззифікації. Згідно [7] для опису ТСП можна використовувати трикутні функції належності, які забезпечують однозначний перехід від лінгвістичного терму до числа і навпаки, оскільки для кожного терму існує єди­на точка числової шкали, в якій ФН дорівнює одиниці. Термін „однозначність" тут означає, що число та відповідний терм з ФН є синонімами, мають однакову однозначно визначену числову основу.

------------------------------------------------------------------------------------------------------------------ юс

Рис 1. Еталонні НЧ

Для переходу від класичних ФН (рис.1) до трикутних ФН (рис.2) можна використати два способи: прийняти на ділянках (x) = 1 = const середню точку даного числового інте­рвалу за єдину точку, в якій / (x) = 1 або ввести додаткові терми з одиничною функцією належності на кінцях ділянок, де / (x) = 1 = const .

Рис. 2. Перетворені еталонні НЧ

Згідно [7] при вилученні дубльованої інформації ФН рис.2 додатково спрощуються і набувають вигляд відрізків зростаючих прямих ліній (рис.3). Однак, з рис.3 випливає, що експерт може взагалі не визначати отримані прямі лінії ФН (ця процедура може реалізову-

ее

ватися простою функцією користувача на ЕОМ), а вказати лише точки ДМ , М ,

е е е

C    , В   , ДВ   (рис.4). Таким чином, замість складного опису ФН для різних a - рівнів

експерт може задати лише одну точку, а всі проміжні значення можуть бути визначені алге­браїчними розрахунками.

106

Рис 3. Зростаючі ділянки ФН для перетворених еталонних НЧ Автоматичне визначення значень ФН надає нові можливості аналізу нечітких систем, коли форма ФН не визначається експертом, експертом не складаються і не перев' язуються між собою правила бази знань (база знань являє собою опис заданих експертом терм-чисел, для яких ФН дорівнюють одиниці), та спрощується процес фаззифікації та дефаззифікації.

1

2 4 6 8

- -дм(

12 16 - -Ме 24

C )

32

48

■дв1

Рис 4. Числові еквіваленти лінгвістичних термів для перетворених еталонних НЧ При введенні додаткових термів з одиничною функцією належності на кінцях діля­нок, де / (x) = 1 = const після перетворень отримуємо рис. 5.

0

х

1

0,5

0

2 4 6 8     12    16 24 32 48 X

-#-дМе—Ме    СС е -))є-із^^-двє

Рис 5. Результати застосування додаткових термів

В обох варіантах (рис. 4 та рис. 5) ФН будуть відмінними від рис. 1 (див. для рис.4 таблицю 1, де tj = bi +Ci ; xmax A/l - значення х, що відповідає максимальній похибці на інтервалі). Причому для другого варіанту похибки спостерігатимуться тільки на відкритих інтервалах, де (x) = 1 = const і будуть мати максимум в точці tj, що дорівнює    —.

Позначення в табл.1 відповідають рис. 6.

Звичайно, оцінювання ФН ліпше зразу проводити за методом [7] для узгодженої гру­пою експертів множини термів. Тоді визначення числових еквівалентів лінгвістичних по­нять може проводитися простим арифметичним усередненням або усередненням з враху­ванням вагових коефіцієнтів, які враховують кваліфікацію експерта в даній предметній га­лузі. Але якщо експертні оцінки вже отримані, то можна здійснити перетворення ФН дові­льної форми до трикутної форми і застосувати спрощений механізм отримання висновку. При цьому, якщо похибки є прийнятними, то для ФН у вигляді трапецій можна розташову­вати терми в середині інтервалів / (x) = 1 = const , що дозволяє скоротити опис системи (з 6 точок для наведеного прикладу до однієї, що відповідає логічному центру терму) і тільки за рахунок цього прискорити процес обробки інформації при прийнятній точності. Якщо по­хибки для цього способу є неприйнятними, то шляхом введення термів в кутових точках вершин трапецоїдних ФН зменшується інтегральна похибка. При цьому одному первинно­------------------------------------------------------------------------------------------------------------------му терму відповідає два нових терми, між якими перерозподіляється змістовне навантажен­ня, і опис одного терму скорочується втричі. Якщо отримана точність є незадовільною, то додаткове введення термів можна продовжити. Аналогічний підхід можна рекомендувати не тільки для трапецій, а й для нелінійних залежностей, які визначаються термами, напри­клад, в точках зміни похідних. Виграш тоді забезпечується тільки за рахунок спрощеного порівняно з класичною теорією отримання висновку.

Таблиця 1.

Інтервал х

m (x )

m '(x)

Dm (x)

xmax Dm

[tiK ai ]

0

(x -1,-1) (ti - ti-1)

(x -1;-1)

(ti - ti-1)

ai

[a b ]

(x - a,) (b, - a,)

(x - ti-1) (ti - ti-1)

(x - ai) (x - ti-1)

(b, - a,)   (t, -1,-1)

b; або a;

[b , '   t ; ]

1

(x - ti-1)

(ti - ti-1)

1   (x -1;-1)    (t; - x) (t, -1,-1)   (t, -1,-1)

b;

[t/ '   С ]

1

(ti+1 - x) (ti+1 - ti)

1   (t;+1 - x)_ (x -1;) (ti+1 - ti)   (ti+1 - ti)

Страницы:
1  2 


Похожие статьи

М В Турти - Використання однозначної нечіткої логіки в системах технічного захисту інформації