Алгоритм принятия решения на основе искусственной нейронной сети

В рассматриваемом методе анализа состояния объекта защиты применяется ИНС. Основной причиной выбора ИНС в качестве метода обработки данных о состоянии объекта защиты является возможность прогнозирования итоговых событий, таких как атаки, на основе предварительных, т.е. предшествующих атаке, событий. ИНС нейронная сеть проводит анализ информации и предоставляет возможность оценить, согласуются ли данные с характеристиками, которые она научена распознавать. В то время как степень соответствия нейросетевого представления может достигать 100 %, достоверность выбора полностью зависит от качества системы в анализе примеров поставленной задачи. Сначала нейросеть обучают правильной идентификации на предварительно подобранной выборке примеров предметной области. Реакция нейросети анализируется и система настраивается таким образом, чтобы достичь удовлетворительных результатов. В дополнение к начальному периоду обучения, нейросеть набирается опыта с течением времени, по мере того, как она проводит анализ данных, связанных с предметной областью.

Важным преимуществом нейронных сетей при обнаружении злоупотреблений является их способность «изучать» характеристики умышленных атак и идентифицировать элементы, которые не похожи на те, что наблюдались в сети прежде. Однако использование исключительно нейронную сеть дает возможность ошибки двух родов:

1) принятие действий авторизованных пользователей за враждебные;

2) нераспознавание враждебных действий злоумышленников принятие их за допустимые действия авторизованных пользователей.

Многие действия авторизированных пользователей и процессов схожи по своим характеристикам с элементами различны атак. Для увеличения объективности оценки происходящих событий используется дополнительный механизм оценки полученных на базе принятия решений на основе статистического метода.

Прежде всего, необходимо разделить процессы обучения нейронной сети и использования обученной сети. При использовании обученной сети происходит только решение сетью определенной задачи. При этом синаптическая карта сети остается неизменной. Работа сети при решении задачи- это прямое функционирование.

При обучении нейронных сетей методом обратного распространения ошибки нейронная сеть (и каждый составляющий ее элемент) должна уметь выполнять обратное функционирование. Обратное функционирование - процесс работы сети, когда на вход двойственной сети подаются определенные сигналы, которые далее распространяются по связям двойственной сети.

При прохождении сигналов обратного функционирования через элемент, двойственный элементу с обучаемыми параметрами, вычислим поправки к параметрам элемента. Набор из m точек{x^p} в n-мерном пространстве. Разобьем на множество точек {x^p} на k классов близких в смысле квадрата евклидова расстояния. Для этого необходимо найти k точек aⁱ таких, что, минимально;

Существует множество различных алгоритмов решения этой задачи. Рассмотрим наиболее эффективный из них.

1. Зададимся некоторым набором начальных точек aⁱ.

2. Разобьем множество точек {x^p} на k классов по правилу .

1. По полученному разбиению вычислим новые точки aⁱ из условия минимальности

Обозначив через P_i число точек в i-ом классе, решение задачи, поставленной на третьем шаге алгоритма, можно записать в виде

Второй и третий шаги алгоритма будем повторять до тех пор, пока набор точек aⁱ не перестанет изменяться. После окончания обучения получаем нейронную сеть, способную для произвольной точки x вычислить квадраты евклидовых расстояний от этой точки до всех точек aⁱ и, тем самым, отнести ее к одному из k классов. Ответом является номер нейрона, выдавшего минимальный сигнал.

Теперь рассмотрим сетевую реализацию. Во первых, вычисление квадрата евклидова расстояния достаточно сложно реализовать в виде сети (рис. 2). Однако заметим, что нет необходимости вычислять квадрат расстояния полностью. Действительно,

Помимо первоначальной обучаемости в дальнейшем модификация параметров выполняется по изображенному на рис. 2 принципу

Рис. 2. Модификация параметров

Исходя из выше сказанного получаем алгоритм обучения нейронной сети:

1) На входе происходит получение 3 параметров: состояние межсетевого экрана, состояние антивируса, коэффициент ценности ресурса

2) Происходит вычисление «идеальной» гипотезы при этих начальных условиях методом обратного распространения ошибок при отсутствии атаки системы

3) Создается база «идеальных» гипотез различных начальных условий при отсутствии атаки системы

4) Происходит вычисление «идеальной» гипотезы при этих начальных условиях методом обратного распространения ошибок при наличии атаки системы

5) Создается база «идеальных» гипотез различных начальных условий при наличии атаки системы.

6) На основании двух баз формируется база коэффициентов соответствия.

⇐ Назад

Далее ⇒