2.4.2. Розробка архітектури нейронної мережі

Розглянемо механізм формування вхідних параметрів, яка є основою розробки архітектури більшості НМ [52, 53]. Очевидно, що вхідні параметри повинні характеризувати ознаки процесу НСД. В більшості випадків всі ідентифікаційні дані доступу до захищеного ресурсу зловмиснику невідомі. Крім того, зловмисник буде маскувати спроби зламу захисту. Тому процес НСД можна визначити за допомогою фіксації швидкої та багатократної передачі модифікованих ідентифікаційних даних з наступним аналізом отриманих результатів. При цьому в процесі передачі скоріше за все будуть змінюватись деякі параметри мережевих з'єднань. Таким чином ознаки процесу НСД доцільно розділити на наступні групи: параметри передачі ідентифікаційних даних, характеристики апаратного та ПЗ комп'ютера зловмисника, характеристики мережевих з'єднань при спробі доступу до захищеного ресурсу.

Конкретними вхідними параметрами НМ будуть технічні характеристики, що відповідають наведеним ознакам. Відповідність ознаки НСД вхідним параметрам НМ показана на рис. 2.14. Відзначимо, що процес НСД буде супроводжуватись зміною більшості перерахованих ознак. Інакше спроба НСД буде неефективною. Таким чином, приклади спроб НСД досить схожі та відповідно рис. 2.14 характеризуються відносно невеликою кількістю вхідних параметрів. Крім того, якщо деструктивні дії активного додатку не надто жорсткі (завантаження центрального процесору або розрив мережевого з'єднання), то ціна помилки НМ типу “хибна тривога” буде достатньо низькою. По цим причинам, вимоги до “інтелектуальних” можливостей НМ можуть бути не надто високими, що дає змогу використати відносно прості типи мереж. Разом з тим, специфікою НМ призначеної для використання в активних додатках є жорстке обмеження обсягу програмної реалізації, неможливість складної попередньої обробки вхідних даних, недоцільність навчання в процесі функціонування та недоцільність вербалізації мережі. Відповідно висновків п.1.10 можливо застосувати БШП, PNN та асоціативні НМ.

Рис. 2.14 Вхідні параметри НМ, призначеної для розпізнавання спроби НСД

Зазначимо, що БШП можливо використовувати тільки при розділенні програмного коду, що відповідає за функціонування від коду, що відповідає за навчання мережі. На поточному етапі досліджень досить обмежитись використанням НМ типу PNN, структура якої показана на рис. 2.15, алгоритм функціонування визначений виразами (1.70-1.81), а перелік вхідних параметрів представлений на рис. 2.14. Мережа повинна навчатись в лабораторних умовах на прикладах, що відповідають спробам НСД та штатним умовам експлуатації. Відповідно рекомендацій [17, 24, 29, 34, 68], кількість прикладів нормальної експлуатації та здійснення атак повинна бути однакова. В прикладах штатних умов експлуатації повинні бути представлені випадки: користувач відразу правильно вводить ідентифікаційні дані, користувач помиляється при вводі ідентифікаційних даних, користувач правильно вводить дані, але відбувається помилка мережевого з'єднання.

1...K  вхідні нейрони, 1...N  нейрони шару образів, P_A  образи атак, P_B  образи нормальної експлуатації, А, В  нейрони, що відповідають класам атак та нормальної експлуатації, Q  вихідний елемент

Рис. 2.15 Структура мережі PNN, призначеної для розпізнавання спроб НСД

Вихідний сигнал мережі відповідає ймовірності проведення атаки з метою НСД. Якщо величина вихідного сигналу перевищую певну граничну межу, то активний додаток повинен виконати певний деструктивний вплив, спрямовані на зменшення ефективності атаки. Перелік деструктивних впливів може бути приведений у відповідність до ймовірності здійснення атаки. Наприклад, при перевищені вихідним сигналом величини 0,2 активний додаток розірве мережеве з'єднання та покаже користувачеві повідомлення про неправильне введення ідентифікаційних даних, а при перевищенні величини 0,8 передасть на сервер інформацію про атаку та вимкне комп'ютер розпізнаного зловмисника. Однак, через можливі помилки НМ та особливості законодавства, деструктивні дії повинні обмежитися часом проведення атаки і не призводити до катастрофічних наслідків. Наприклад, не слід форматувати жорсткий диск комп'ютера зловмисника. Реалізація активного додатку з вбудованою мережею PNN повинна стати об'єктом подальших досліджень. Крім того, необхідно розглянути можливість використання інших типів НМ та розробити методику захисту активних додатків від вивчення та зламу.