Т.И. Булдакова
,
А.Ш. Джалолов
10
вить. В противном случае новые атаки будут игнорироваться ЭС,
прежние правила которой не описывают данную угрозу.
Использование нейросетевой базы знаний позволяет устранить
один из основных недостатков экспертных систем, основанных на
правилах, – невозможность оперирования с не вполне достоверной
информацией.
Более перспективным подходом для обнаружения атак является
объединение возможностей нейронных сетей и нечеткой логики, по-
скольку нечеткие ИНС объединяют достоинства ИНС и нечеткой ло-
гики, опирающейся на опыт экспертов в области ИБ. Именно нечет-
кая логика наилучшим образом дополняет нейронные сети, компен-
сируя две основные «непрозрачности» ИНС: в представлении знаний
и объяснений результатов работы интеллектуальной системы. Нечет-
кие ИНС позволяют решать не только отдельно взятые задачи иден-
тификации угроз, сопоставления поведения пользователей с имею-
щимися в системе шаблонами, но и автоматически формировать но-
вые правила при изменении угроз.
Нейро-нечеткая система для обнаружения вторжений в сеть.
Применение нечетких нейронных сетей в СОВ обеспечивает: функ-
циональную устойчивость; возможность классификации угроз; опи-
сание соответствия «угрозы – механизмы защиты» в виде системы
нечетких предикатных правил; адаптивность нейро-нечетких систем
защиты информации (системы нечетких правил).
Пусть существует неизвестная целевая зависимость – отображе-
ние
*
:
y X Y
→
, значения которой известны только на объектах обу-
чающей выборки
(
)
(
)
1 1
,
, ,
,
r
r r
X x y
x y
= ⎡
⎤
⎣
⎦
K
размерностью
r
. Приме-
нение нейро-нечеткой системы позволяет аппроксимировать неиз-
вестное отображение в виде алгоритма
:
а X Y
→
, способного иден-
тифицировать событие ИБ по вектору его признаков и определить
защитные действия. Для этого используется множество нечетких
правил
{
}
1
, ,
k
R R R
=
K
вида:
1
1
1
1 1
1
1
1
2
1 1
2
2
1
1
: если
и
, то есть ,
: если
и
, то есть ,
: если
и
, то есть ,
n
n
n
n
n
n
k
k
n k
m
R x A x A Y y
R
x A x A Y y
R
x A x A Y y
∈
∈
∈
∈
∈
∈
K
K
L
K
где
j
i
A
– соответствующие нечеткие множества,
1
, ,
n
k k k
=
K
.
Структурная модель СОВ, включающая нейро-нечеткую систему
для идентификации события ИБ, показана на рис. 5.
