Разработка формальной модели исследования программ интеллектуального анализа событий информационной системы

DOI:

По статистике, количество образцов новых атак, совершаемых в отношении информационных систем, растет (см. рисунок).

Неспособность обнаруживать новые образцы атак – недостаток современных систем обнаружения атак. Чтобы устранить данный недостаток внедряются интеллектуальные подходы к анализу данных для обнаружения атак [1].

Существует множество программ интеллектуального анализа данных, поэтому актуальным является выбор наилучшей программы.

В данной статье будет рассмотрено 5 программ, работающих с интеллектуальным анализом данных, а именно:

• 1.    STATISTICA Automated Neural Networks (SANN) – программный пакет для создания и обучения нейронных сетей, который решает большой спектр задач [2].

• 2.    Deductor Studio – это аналитическая платформа, которая позволяет на базе единой архитектуры пройти все этапы построения аналитической системы: от консолидации данных до построения моделей и визуализации полученных результатов [3].

• 3.    Neural network toolbox (NNTool) – пакет расширения MATLAB, содержащий средства для проектирования, моделирования, разработки и визуализации нейронных сетей [2].

• 4.    MemBrain Neural Network – представляет собой мощный графический редактор и симулятор нейронных сетей, поддерживающий нейронные сети различных архитектур любого размера.

• 5.    NeuroSolutions – сверхсовременный программный пакет; совмещает модульный, с иконным представлением, интерфейс разработки нейронной сети, с реализацией усовершенствованных процедур обучения.

Чтобы оценить качество программ, предложены критерии для их оценки:

К1. Скорость обучения нейронной сети – один из наиболее важных параметров, оценивающий эффективность программы. Он определяет величину изменения весовых коэффициентов связей между нейронами на каждом шаге обучения. Чтобы обеспечить наилучшую сходимость, шаг обучения нейронной сети должен стремиться к 0. Если выбирать шаг обучения очень маленький, то и время обучения возрастет. И наоборот: большой шаг займет хоть и небольшое количество времени, но нейронная сеть не будет сходиться. Поэтому некоторые разработчики внедряют в программу динамическую скорость обучения. Шаг зависит от определенных процессов и определяется системой.

• К₂. Понятный графический интерфейс – нужно обеспечить удобный интерфейс пользо-

• вателю, чтобы он смог легко определить, какие данные ему необходимы и куда их необходимо ввести. При этом интерфейс не должен содержать большое количество информации, так как это делает его более сложным для восприятия.

К3. Наглядность информации – программа должна по окончании обучения и моделирования нейронной сети предлагать построить графики, диаграммы и другие варианты представления информации. Этот критерий тесно связан со вторым критерием, так как для пользователя важно представление конечной информации. От этого будет зависеть правильное восприятие информации и интерпретация результатов работы нейронной сети.

К4. Реализация основных видов нейронных сетей и алгоритмов обучения – в процессе создания программы разработчик должен добавить возможность пользователю выбирать, каким видом нейронной сети он будет пользоваться и какой алгоритм обучения будет использован. Важной особенностью является реализация как можно большего числа стандартных видов нейронных сетей и алгоритмов для последующего обучения.

К5. Создание своих структур нейронных сетей – должна предоставляться возможность создания своих нейронных сетей, позволяющая указывать такие параметры, как: тип сети,

Source McAfee Libs. 2017.

Количество новых типов атак за 2015–2016 гг.

количество и размер скрытых слоев, алгоритм обучения нейронной сети и т.д.

К6. Использование собственных алгоритмов – программа должна обладать возможностью подключения своих собственных алгоритмов обучения в виде программных модулей. Это функция делает программу более гибкой для разработчика.

К7. Автоматическое формирование нейронной сети – такой критерий будет означать, что программа проводит анализ и подбирает наилучшие параметры автоматически, что облегчает использование такой программы.

К8. Процедура импорта результатов – импорт полученных результатов должен предусматривать возможность сохранения результатов в различные файлы и приложения, что делает программу более удобной.

К9. Генератор исходного кода – генератор кода может сгенерировать исходный системный программный код нейросетевых моделей на различных языках. Эта функция позволяет разработчику после создания и обучения сети генерировать код и встраивать его во внешние приложения.

К10. Взаимосвязь (корреляция) событий – показывает, может ли программа строить и обучать нейронные сети, которые учитывают то, как события связаны между собой. Если в программе предусмотрена такая функция, то это позволяет обнаруживать атаки, которые состоят из нескольких шагов.

В таблице приведены значения критериев для выделенных программ.

Так как ни одна из программ не обладает наилучшим набором значений критериев, необходимо разработать подход к оценке программы интеллектуального анализа событий информационной системы для выбора из них наиболее рациональной.

Для этого нужно разработать математическую модель, реализующую эту оценку.

Сформируем вектор критериев

К = (К1, К2, К3, К4, К5, К6, К7, К8, К9, К10), где К1 – скорость обучения – принимает следующие значения:

0, низкая

К 1 = ^ 0.5, средняя

1, высокая

К₂ – понятный графический интерфейс – принимает следующие значения:

К =

0, нет

1, да

К3 – наглядность информации – принимает следующие значения:

K =

0, низкая

, средняя

• 1,    высокая

К4 – реализация основных видов нейронных сетей и алгоритмов обучения – принимает значения:

0, низкая

К =

, средняя

1, высокая

К5 – создание своих структур нейронных сетей – принимает значения:

0, нет

К =1/

• 11,    да

Качественные значения критериев оценки программ интеллектуального анализа данных

Нейросетевые программы	Критерии оценки
	К 1	К 2	К 3	К 4	К 5	К 6	К 7	К 8	К 9	К 10
STATISTICA Automated Neural Networks	Высокая	Да	Средняя	Высокая	Да	Да	Да	Средняя	Да	Да
Deductor Studio	Высокая	Да	Высокая	Средняя	Нет	Нет	Нет	Высокая	Нет	Да
Neural network toolbox	Низкая	Нет	Низкая	Средняя	Нет	Нет	Нет	Низкая	Нет	Да
MemBrain Neural Network	Высокая	Нет	Низкая	Низкая	Да	Да	Да	Средняя	Да	Нет
NeuroSolutions	Средняя	Нет	Средняя	Средняя	Да	Да	Нет	Средняя	Да	Нет

К₆ – использование собственных алгоритмов – принимает значения:

K

0, нет

1, да

К₇ – автоматическое формирование нейронной сети – принимает значения:

K =

0, нет

1, да

К₈ – процедура импорта результатов – принимает значения:

0, низкая

K

, средняя

1, высокая

К₉ – генератор исходного кода – принимает значения:

K =

0, нет

1, да

К₁₀ – взаимосвязь (корреляция) событий – принимает значения:

^K10 =

0,нет

1, да

Существует наилучший вектор К*, в котором все значения критериев соответствуют максимальным значениям. Для всех критериев это значение 1.

K * = ( 1,1,1,1,1,1,1,1,1,1).

Для оценки качества программ вводится скалярная величина, равная Эвклидову расстоянию между наилучшим вектором и вектором критериев, полученным для i -й оцениваемой программы:

K i iiiiiiiiii

^{( K} 1 , ^K 2 , ^K 3 , ^K 4 , ^K 5 , ^K 6 , ^K 7 , ^K 8 , ^K 9 , ^K 10 )

Эвклидово расстояние для i -й программы рассчитывается по формуле (1).

P i = V     ( k *

4 ^ j = 1 j

—

^K ; ■)’

Программу, для которой расстояние до наилучшего вектора окажется наименьшим, можно считать наиболее рациональной программой для интеллектуального анализа данных.

Предложенная формальная модель поможет выбрать наилучшую программу интеллектуального анализа событий. Если требования к анализируемым программам изменятся, то изменив значения в наилучшем векторе К ^* , можно также прийти к верному решению. Таким образом, разработанная формальная модель оценки является универсальной и эффективной.