- •І.А. Терейковський
- •2.1. Загальні положення 119
- •Список скорочень
- •Розділ 1. Теоретична оцінка ефективності застосування нейронних мереж в галузі захисту програмного забезпечення
- •1.1. Передумови застосування штучних нейронних мереж
- •1.2 Багатошаровий перспетрон.
- •1.3. Мережа з радіальними базисними функціями
- •1.4. Нейронні мережі, що самонавчаються
- •1.4.1. Базова модель
- •1.4.2. Топографічна карта Кохонена та її сучасні модифікації
- •1.5. Ймовірністні нейронні мережі
- •1.6. Рекурентні нейронні мережі
- •1.6.1. Загальні положення
- •1.6.2. Класичні асоціативні нейроні мережі
- •1.6.2.1. Мережа Хопфілда.
- •1.6.2.2. Мережа Хеммінга
- •1.6.2.3. Мережа Коско
- •1.6.2.4. Сфера використання, переваги та недоліки
- •1.7. Мережі адаптивної резонансної теорії
- •1.8. Мережі призначені для розпізнавання змісту тексту
- •1.9. Принципи розробки модельного програмного комплексу
- •1.10. Визначення доцільності застосування типу нейронної мережі
- •1.11. Перспективи практичного використання
- •Розділ 2. Практичне використання нейронних мереж в задачах захисту програмного забезпечення
- •2.1. Загальні положення
- •Розпізнавання вірусів та троянських програм створених за допомогою скриптових мов програмування.
- •Розпізнавання спаму.
- •2.2. Розпізнавання вірусів та троянських програм створених за допомогою скриптових мов програмування
- •2.2.1. Шляхи вдосконалення систем захисту від скриптових вірусів та троянських програм
- •2.2.2. Аналіз загальнопоширених методів розпізнавання
- •2.2.3. Формування множини вхідних параметрів
- •2.2.4. Особливості формування номенклатури вхідних параметрів при розпізнаванні скриптових троянів в фільмах Flash
- •2.2.5. Розробка архітектури та тестування нейронної мережі для розпізнавання скриптових поштових вірусів
- •2.3. Розпізнавання спаму
- •2.3.1. Визначення та загальна характеристика спаму
- •2.3.2. Недоліки сучасних методів розпізнавання спаму
- •2.3.3. Критерій фільтрації електронних листів
- •2.3.4. Задача порівняння рефератів за допомогою карти Кохонена та пружної карти
- •2.3.5. Використання мережі pnn для співставлення тематичної структури текстів електронних листів
- •2.3.6. Використання синаптичної нейронної мережі для підготовки вхідних даних
- •2.4. Використання нейронних мереж в системах активного захисту програмного забезпечення мережевих серверів
- •2.4.1. Концепція захисту програмного забезпечення Internet-серверів з використанням активної складової
- •2.4.2. Розробка архітектури нейронної мережі
- •Післямова
- •Список використаної літератури
2.4.2. Розробка архітектури нейронної мережі
Розглянемо механізм формування вхідних параметрів, яка є основою розробки архітектури більшості НМ [52, 53]. Очевидно, що вхідні параметри повинні характеризувати ознаки процесу НСД. В більшості випадків всі ідентифікаційні дані доступу до захищеного ресурсу зловмиснику невідомі. Крім того, зловмисник буде маскувати спроби зламу захисту. Тому процес НСД можна визначити за допомогою фіксації швидкої та багатократної передачі модифікованих ідентифікаційних даних з наступним аналізом отриманих результатів. При цьому в процесі передачі скоріше за все будуть змінюватись деякі параметри мережевих з'єднань. Таким чином ознаки процесу НСД доцільно розділити на наступні групи: параметри передачі ідентифікаційних даних, характеристики апаратного та ПЗ комп'ютера зловмисника, характеристики мережевих з'єднань при спробі доступу до захищеного ресурсу.
Конкретними вхідними параметрами НМ будуть технічні характеристики, що відповідають наведеним ознакам. Відповідність ознаки НСД вхідним параметрам НМ показана на рис. 2.14. Відзначимо, що процес НСД буде супроводжуватись зміною більшості перерахованих ознак. Інакше спроба НСД буде неефективною. Таким чином, приклади спроб НСД досить схожі та відповідно рис. 2.14 характеризуються відносно невеликою кількістю вхідних параметрів. Крім того, якщо деструктивні дії активного додатку не надто жорсткі (завантаження центрального процесору або розрив мережевого з'єднання), то ціна помилки НМ типу “хибна тривога” буде достатньо низькою. По цим причинам, вимоги до “інтелектуальних” можливостей НМ можуть бути не надто високими, що дає змогу використати відносно прості типи мереж. Разом з тим, специфікою НМ призначеної для використання в активних додатках є жорстке обмеження обсягу програмної реалізації, неможливість складної попередньої обробки вхідних даних, недоцільність навчання в процесі функціонування та недоцільність вербалізації мережі. Відповідно висновків п.1.10 можливо застосувати БШП, PNN та асоціативні НМ.
Рис. 2.14 Вхідні параметри НМ, призначеної для розпізнавання спроби НСД
Зазначимо, що БШП можливо використовувати тільки при розділенні програмного коду, що відповідає за функціонування від коду, що відповідає за навчання мережі. На поточному етапі досліджень досить обмежитись використанням НМ типу PNN, структура якої показана на рис. 2.15, алгоритм функціонування визначений виразами (1.70-1.81), а перелік вхідних параметрів представлений на рис. 2.14. Мережа повинна навчатись в лабораторних умовах на прикладах, що відповідають спробам НСД та штатним умовам експлуатації. Відповідно рекомендацій [17, 24, 29, 34, 68], кількість прикладів нормальної експлуатації та здійснення атак повинна бути однакова. В прикладах штатних умов експлуатації повинні бути представлені випадки: користувач відразу правильно вводить ідентифікаційні дані, користувач помиляється при вводі ідентифікаційних даних, користувач правильно вводить дані, але відбувається помилка мережевого з'єднання.
1...K вхідні нейрони, 1...N нейрони шару образів, PA образи атак, PB образи нормальної експлуатації, А, В нейрони, що відповідають класам атак та нормальної експлуатації, Q вихідний елемент
Рис. 2.15 Структура мережі PNN, призначеної для розпізнавання спроб НСД
Вихідний сигнал мережі відповідає ймовірності проведення атаки з метою НСД. Якщо величина вихідного сигналу перевищую певну граничну межу, то активний додаток повинен виконати певний деструктивний вплив, спрямовані на зменшення ефективності атаки. Перелік деструктивних впливів може бути приведений у відповідність до ймовірності здійснення атаки. Наприклад, при перевищені вихідним сигналом величини 0,2 активний додаток розірве мережеве з'єднання та покаже користувачеві повідомлення про неправильне введення ідентифікаційних даних, а при перевищенні величини 0,8 передасть на сервер інформацію про атаку та вимкне комп'ютер розпізнаного зловмисника. Однак, через можливі помилки НМ та особливості законодавства, деструктивні дії повинні обмежитися часом проведення атаки і не призводити до катастрофічних наслідків. Наприклад, не слід форматувати жорсткий диск комп'ютера зловмисника. Реалізація активного додатку з вбудованою мережею PNN повинна стати об'єктом подальших досліджень. Крім того, необхідно розглянути можливість використання інших типів НМ та розробити методику захисту активних додатків від вивчення та зламу.