Методы построения моделей штатной работы по и алгоритмы выявления аномального поведения по



Скачать 30.71 Kb.
Дата12.05.2016
Размер30.71 Kb.


С.Д. ЖИЛКИН

Московский инженерно-физический институт (государственный университет)
МЕТОДЫ ПОСТРОЕНИЯ МОДЕЛЕЙ ШТАТНОЙ РАБОТЫ ПО И АЛГОРИТМЫ ВЫЯВЛЕНИЯ АНОМАЛЬНОГО ПОВЕДЕНИЯ ПО
В данной работе предлагаются методы выявления аномальной работы программного обеспечения по средствам использования математического аппарата нейронных сетей. Предложен способ формирования эталонной модели поведения ПО набором нейронных сетей, описывающих различные фазы жизненного цикла ПО.
Среди нынешних задач сферы компьютерной безопасности остро стоит проблема выявления событий некорректной работы ПО. Выявление таких событий чаще всего осуществляется сравнением заранее заданной модели работы с реальным поведением ПО. В данной работе заранее заданная эталонная модель строится по характеристикам штатной работы ПО. Профиль поведения процесса определяется основными характеристиками реального функционирования этого процесса. После того, как эталонная модель поведения построена, все создаваемые в реальном времени профили работы ПО следует сравнивать с эталонной моделью. Расхождение реального профиля и эталонного модели ПО расценивается как аномальное поведение ПО.

Реальный профиль работы является набором количественных, логических и статистических характеристик работы процесса. Количественные характеристики включают в себя такие параметры, как число обращений к системным файлам, библиотекам и прочим ресурсам системы. Логические характеристики описывают общее поведение ПО: создавались ли сетевые соединения, порождались ли дополнительные процессы и прочее. Статистические характеристики показывают частоту выделения дополнительной памяти, обращений к жёсткому диску и прочие частотные параметры.

В данной работе предлагается задавать эталонную модель штатного поведения ПО нейронными сетями. На вход нейронной сети подаётся профиль реальной работы ПО. Параметры нейронной сети подобраны таким образом, чтобы её выход являлся вероятностью соответствия обработанного профиля той модели, которую данная нейронная сеть задаёт. Таким образом, в данном алгоритме основная задача состоит в построении эталонной модели поведения. Так как любое запущенное ПО проходит три фазы: 1) инициализация, 2) рабочий цикл и 3) завершение работы, модель поведения задаётся 3 нейросетями – по одной на каждую фазу. Поведение ПО во время фаз инициализации и завершения работы почти не отличается от запуска к запуску. Характерные черты этих двух фаз позволяют очень точно задать модель ПО, однако аномальное поведение может проявляться также во время фазы рабочего цикла. Так как рабочий цикл ПО может быть неограничен во времени, а ПО большую часть времени может находиться в режиме ожидания и ничего не делать, создавать нейронную сеть для всего рабочего цикла неэффективно. Поэтому ещё одним важным этапом данной работы является выполнение алгоритма выявления характерной черты рабочего цикла, как, например, работа с реестром или активное сетевое сообщение.

Автоматизированное построение таких моделей подразумевает обучение 3 нейронных сетей характеристиками ПО, полученных при штатной работе. Каждая сеть обучается (подвергается подборке коэффициентов и смещений нейронов) так, чтобы на профилях штатной работы выдавать вероятность, близкую к 1. Время обучения нейронной сети (с использованием методов ускорения) на поведение, например, офисных пакетов занимает до 5 часов [1]. Также возможно дополнительно ускорить время обучения [2]. Последующее обучение осуществляется корректировкой сети таким образом, чтобы на векторах схожих по своим возможностям ПО нейронная сеть выдавала вероятность, близкую к 0. Грамотное обучение нейронных сетей позволяет с высокой вероятностью (не ниже 0.95 [3]) определять заданное ПО, когда как побочное ПО на данной сети будет показывать очень низкую вероятность соответствия (не выше 0.05 [3]). Таким образом, любое аномальное поведение ПО, вызванное подменой или ошибкой работы, приведёт к резкому уменьшению вероятности соответствия эталонной модели и будет опознано. В отличие от обучения, проверка профиля реального поведения занимает очень короткое время (порядка 10-3 с), что позволяет одновременно следить за работой множества процессов.


Список литературы

1. В.А. Крисилов, Д.Н. Олешко, А.В. Лобода, Методы ускорения нейронных сетей. Вестник СевГТУ. Информатика, электроника, связь, вып. 32, с. 19, Одесса, 2001.



2. В.И. Дубровин, С.А. Субботин, Алгоритм ускоренного обучения персептронов. Сборник трудов IV всероссийской научно-технической конференции "Нейроинформатика-2002", Москва, МИФИ, 2002.

3. А.Н. Горбань, Обобщенная аппроксимационная теорема и вычислительные возможности нейронных сетей. Сибирский журнал вычислительной математики, Т.1, № 1. С. 12-24, 1998
Каталог: original
original -> Приложение к Русскому Богословию Исходные основы миропонимания устойчивого развития Жизни
original -> Центра исправления осужденных исправительного учреждения
original -> Как синтаксис языка, пригодного для описания картины мира, и структура гуманитарного знания
original -> Гбоу сош №648 оптические иллюзии
original -> Как были обнаружимы эти закономерности
original -> 10 класс, руководитель Легоцкая В. С., учитель русского языка и литературы Брянск


Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©dogmon.org 2019
обратиться к администрации

    Главная страница