НАЦІОНАЛЬНЕ КОСМІЧНЕ АГЕНТСТВО УКРАЇНИ

ІНСТИТУТ КОСМІЧНИХ ДОСЛІДЖЕНЬ

Скакун Сергій Васильович

УДК 681.3

Комплексний аналіз поведінки користувачів комп’ютерних систем на основі
нейромережевих моделей

01.05.04 – системний аналіз і теорія оптимальних рішень

А В Т О Р Е Ф Е Р А Т

дисертації на здобуття наукового ступеня

кандидата технічних наук

Київ – 2005

Дисертацією є рукопис.

обота виконана в Інституті космічних досліджень Національної академії наук України і Національного космічного агентства України.

ауковий керівник: доктор технічних наук, старший науковий співробітник
Куссуль Наталія Миколаївна,
Інститут космічних досліджень Національної академії наук України і Національного космічного агентства України, завідувач відділу космічних інформаційних
технологій та систем

Офіційні опоненти: доктор технічних наук, старший науковий співробітник
Зєлик Ярема Ігоревич,Інститут космічних досліджень Національної академії наук України і Національного космічного агентства України, провідний науковий співробітник

андидат технічних наук
Сичов Олександр Сергійович,
Інститут проблем математичних машин і систем Національної академії наук України, науковий співробітник

Провідна установа: Інститут кібернетики ім. Глушкова Національної академії наук України, відділ математичних методів і програмних засобів прикладної інформатики, м. Київ

ахист відбудеться "_05_" _жовтня_ р. о 1400 годині на засіданні спеціалізованої вченої ради Д .205.01 в Інституті космічних досліджень Національної академії наук України і Національного космічного агентства України за адресою: 03187, Україна, м. Київ, пр. Глушкова, .

З дисертацією можна ознайомитись у бібліотеці Інституту космічних досліджень НАН України і НКА України.

Автореферат розісланий "02" __09__ 5р.

.о. вченого секретаря
спеціалізованої вченої ради Л.І. Самойленко

АГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ

Актуальність теми. Масштабне використання комп’ютерних технологій практично в усіх сферах людської діяльності призводить до все більшої уваги до самого користувача. Знання про те, які дії він виконує (або повинен виконувати), може використовуватись у різних сферах. Наприклад, в системах спостереження за персоналом (Personal Security Programs), системах безпеки, при створенні персоналізованих середовищ для користувачів, в Web-додатках тощо. Тому розробка методів аналізу та моделей поведінки користувачів комп’ютерних систем є актуальною задачею.

Значний внесок в розв’язання задач моделювання поведінки користувачів зробили В.М. Глушков, А.М. Довгялло, Т.А. Гаврилова, В.І. Дрякін та інші. Однак існуючі методи та підходи до аналізу поведінки користувачів комп’ютерних систем недостатньо враховують всі аспекти його роботи, що обумовлено складністю людинно-машинної взаємодії. Так, в деяких роботах враховуються лише динамічні властивості поведінки користувачів, але ніяк не аналізується статистична інформація про його діяльність. І навпаки, існують роботи, в яких модель поведінки користувачів базується на використанні статистичних даних, але при цьому аналіз його роботи в режимі реального часу не здійснюється. В більшості робіт ніяк не враховуються можливі тренди поведінки користувачів.

Оскільки поведінка користувачів комп’ютерних систем являє собою складний процес, наразі актуальною є розробка ефективних методів та моделей комплексного аналізу поведінки користувачів. Розв’язанню саме цієї задачі присвячена дана дисертаційна робота.

Зв’язок роботи з науковими програмами, планами, темами. Дисертаційна робота виконана в Інституті космічних досліджень НАНУ-НКАУ в рамках НДР “Розробка методів прийняття рішень, ідентифікації та адаптивного керування в умовах невизначеності” (0104U003973) та гранта Президента України для підтримки наукових досліджень молодих вчених № Ф8/323, "Прототип інтелектуальної мультиагентної системи комп’ютерної безпеки" (0105U001279).

Мета і задачі дослідження. Мета роботи — розробка ефективних методів і моделей аналізу поведінки користувачів комп’ютерних систем та їх застосування в системах моніторингу і виявлення аномальної діяльності.

Для досягнення поставленої мети в дисертаційній роботі необхідно вирішити наступні задачі:

-

-

-

-

-

-

Об’єкт дослідження — процеси людино-машинної взаємодії.

Предмет дослідження — методи і засоби аналізу поведінки користувачів комп’ютерних систем.

Методи дослідження — для розв’язання поставлених задач використані методи системного аналізу складних взаємопов’язаних процесів, нейромережевий підхід, статистичне моделювання, об’єктно-орієнтований підхід до моделювання і розробки складних систем; агентна парадигма, методи чисельного експерименту.

Наукова новизна отриманих результатів полягає в наступному:

-

-

-

-

-

Результати роботи були використані при виконанні наукової роботи “Розробка інтелектуальної мультиагентної системи безпеки комп’ютерних систем”, за яку було отримано премію Національної академії наук України для студентів вищих навчальних закладів (2003 р.).

Практична значимість отриманих результатів полягає в наступному:

-

-

-

Результати роботи були використані при виконанні проекту “Інтелектуальна система моніторингу діяльності користувачів комп’ютерних систем”, за який було отримано спеціальний приз Special Award Certificate на конкурсі “День молодих вчених”, організованому компанією Samsung (1-2 червня, 2005, Київ).

Результати роботи впроваджено в локальній мережі ТОВ “Кітка-Лтд” та у декількох провідних навчальних закладах України.

Особистий внесок здобувача. Всі основні результати дисертаційної роботи отримані автором самостійно. У наукових працях, опублікованих у співавторстві, авторові належать наступні результати. В роботах [, ] — проведення експериментів на реальних даних, що підтверджують ефективність застосування нейромережевої інтерактивної моделі в системах виявлення аномалій, реалізація нейромережевої інтерактивної моделі користувачів в мультиагентній системі безпеки; [, ] — розробка шаблону інтелектуального агента, що інкапсулює нейромережеву інтерактивну модель користувача; [, ] — побудова нейромережевої інтерактивної моделі користувачів комп’ютерних систем; [, ] — проведення експериментів щодо визначення оптимальної архітектури та значень параметрів навчання нейронної мережі для інтерактивної моделі; [] — дослідження існуючих підходів до побудови моделей користувачів в системах виявлення аномалій; [] — розробка комплексної моделі користувачів, що враховує динамічні та статистичні властивості роботи користувачів, побудова нейромережевої сеансової моделі користувачів комп’ютерних систем, проведення експериментів щодо визначення оптимальної архітектури та значень параметрів навчання нейронної мережі для сеансової моделі; [] — реалізація компонентів комплексної нейромережевої моделі користувачів комп’ютерних систем; [, , ] — проведення експериментів на реальних даних, що підтверджують ефективність застосування комплексної нейромережевої моделі користувачів в системах моніторингу та виявлення аномалій; [, ] — побудова генеративної моделі користувачів комп’ютерних систем; [, ] — структурна та параметрична ідентифікація комплексної нейромережевої моделі користувачів.

Апробація результатів дисертації. Основні результати роботи доповідалися і обговорювалися на наукових конференціях і молодіжних школах-семінарах для молодих вчених: на міжнародній конференції IJCNN-2004 (м. Будапешт, Угорщина, 2004), на X і XI міжнародних конференціях “Knowledge-Dialogue-Solution” (м. Варна, Болгарія, 2003, 2005), міжнародній конференції IDAACS-2003 (м. Львів, 2003), міжнародних конференціях з автоматичного керування Автоматика-2003 (м. Севастополь), Автоматика-2004 (м. Київ) і Автоматика-2005 (м. Харків), школах-семінарах для молодих учених “Наукові космічні дослідження” (м. Київ, 2003, , ), міжнародній науково-практичній конференції “Єдиний інформаційний простір” (м. Дніпропетровськ, 2004), І Всеукраїнської науково-практичній конференції студентів, аспірантів і молодих вчених “Технології безпеки інформації” (м. Київ, 2003), IX міжнародній науково-практичній конференції “Інформаційні технології в економіці, менеджменті і бізнесі: проблеми науки, практики й утворення” (Київ, 2003), VII міжнародній молодіжній науково-практичній конференції "Людина і Космос" (м. Дніпропетровськ, 2005) (диплом за кращу доповідь).

Публікації. Основні результати дисертаційної роботи опубліковано у 22 друкованих працях, з яких 5 статей у журналах і збірниках наукових праць, що входять до переліку фахових видань, затверджених ВАК України (1 з них без співавторів), одна стаття в міжнародному журналі, що видається в Болгарії, 16 робіт — у матеріалах семінарів і конференцій (в тому числі міжнародних).

Структура й обсяг дисертації. Дисертація складається зі вступу, 5 розділів, висновків, списку літератури і 2 додатків. Загальний обсяг дисертації складає 150 сторінок, у тому числі: 126 сторінок основного тексту, 30 рисунків, список літературних джерел з 101 найменування, додатків на 20 сторінках.

СНОВНИЙ ЗМІСТ РОБОТИ

У вступі обґрунтована актуальність теми і наукових задач; сформульована мета дисертаційної роботи; визначені об’єкт та предмет досліджень, наукова новизна і практична значимість отриманих результатів; зазначений особистий внесок здобувача, дані про реалізацію, апробацію та публікацію результатів досліджень.

В першому розділі описано області застосування моделей поведінки користувачів комп’ютерних систем, проаналізовано різні підходи до їхньої побудови, зазначені їх переваги і недоліки.

Моделі поведінки користувачів широко застосовуються в системах безпеки з метою виявлення аномальної діяльності. Це обумовлено тим, що близько 80-90% атак ініціюється саме користувачами всередині комп’ютерної системи. Подібні моделі знаходять своє застосування в системах спостереження за персоналом, що використовуються в основному комерційними компаніями для спостереження за роботою своїх співробітників. Моделі поведінки користувачів активно використовуються при створенні так званих персоналізованих середовищ користувачів з метою автоматичної адаптації середовища до поведінки користувача, у Web-додатках, в системах дистанційного навчання, а також при виявленні шахрайства, пов’язаного з кредитними картками.

Для аналізу поведінки користувачів комп’ютерних систем застосовуються різноманітні методи і підходи. Практично всі вони базуються на аналізі і виявленні закономірностей в діях користувачів з метою розв’язання задач автоматизації, прогнозування, класифікації тощо. Зокрема, розглянуто методи, що основані на побудові шаблонів дій, що часто виконуються користувачами (наприклад, в операційній системі, Web-броузері або інших програмних продуктах), а також методи, основані на застосуванні марковських ланцюгів і нейронних мереж. Проаналізовано переваги і недоліки запропонованих методів і підходів.

Потрібно відзначити, що існуючі підходи не дозволяють описати всі аспекти поведінки користувачів комп’ютерних систем. Тому важливою задачею є розробка ефективних методів системного аналізу і моделей поведінки користувачів комп’ютерних систем, що будуть враховувати як динамічні, так і статичні властивості поведінки користувачів, а також можливі тренди його поведінки.

В другому розділі для адекватного опису поведінки користувачів комп’ютерних систем запропоновано використовувати комплексний підхід, що включає три компоненти:

-

-

-

Інтерактивна складова забезпечує прогнозування дій користувача на основі попередніх команд, тим самим описуючи динамічні властивості поведінки користувача. В її основу покладено нейронну мережу прямого поширення.

Нехай st (де t{1, , …} номер сеансу) — деякий сеанс роботи користувача, для якого маємо наступну послідовність виконуваних команд:

(1)

де  — кількість команд, введених за сеанс st;

А — десятковий номер i-ої команди сеансу st;

А — алфавіт команд.

Перш ніж подати послідовність з m команд на вхід нейронної мережі, застосовується бінарне кодування. Це зроблено з метою збільшення інформаційної ємності вхідних образів. Для кожної команди її десятковий номер перетворюється в двійкове число, що складається з q біт. Тобто кожній команді ставиться у відповідність бінарний вектор ( ). Після цього послідовність з m команд кодується шляхом об’єднання (конкатенації) побудованих двійкових векторів кожної команди:. Таким чином, результат роботи нейронної мережі при виконанні i-1 команди визначається наступною залежністю:

(2)

де — нелінійне перетворення, що здійснюється нейронною мережею;

хi,  — вхід і вихід мережі відповідно (в даному випадку розмірність вектора хi складає q*m, а  — 1);

m — глибина пам’яті.

На основі кількості команд, що були правильно зпрогнозовані нейронною мережею, робиться висновок про те, чи відповідає поточна поведінка користувача раніше побудованій моделі. Нехай

(3)

де.

Значення (i)[0; ] визначає відносне число вірно зпрогнозованих команд нейронною мережею до моменту введення команди i. Якщо (i)<, тобто значення (i) менше деякого порога, то поведінку користувача можна вважати аномальною, в протилежному випадку — нормальною.

На відміну від інтерактивної моделі, сеансова базується на використанні інтегральних (статистичних) даних, отриманих під час роботи користувача за сеанс в цілому. При цьому враховувалася наступна інформація:

, (4)

де  — кількість команд, що були виконані користувачем протягом сеансу; —

результати інтерактивної моделі, тобто відносна кількість правильно зпрогнозованих команд за сеанс (де , що визначається співвідношенням (3)); —

номер комп’ютера в мережі, за яким працював користувач; —

тривалість сеансу; —

час початку сеансу.

Цей набір даних використано в якості вхідних ознак для виявлення нормальної або аномальної роботи користувача за сеанс. Як і у випадку інтерактивної моделі, для цього використовується нейронна мережа прямого поширення, що навчається за методом зворотного поширення помилки. Тобто для кожного користувача комп’ютерної системи будується нейронна мережа, яка навчається таким чином, щоб на основі статистичної інформації за сеанс відносити поведінку користувача до класу нормальної або аномальної. При цьому очікуваний вихід нейронної мережі може приймати два значення: 1 — для нормальної поведінки користувача і 0 — для аномальної, тобто нейронна мережа працює як класифікатор.

Нехай st (t{1, , …}) — деякий сеанс роботи користувача, по завершенню якого маємо наступний набір даних:. Тоді вихід нейронної мережі по закінченню сеансу st визначається наступним співвідношенням:

(5)

де  — нелінійне перетворення, здійснюване нейронною мережею;

,  — вхід і вихід мережі відповідно (в даному випадку розмірність вектора складає 5, а  — 1);

параметри,  визначені в співвідношенні (4).

З практики ясно, що поведінка користувача не є стаціонарним процесом і з часом може змінюватися (зазвичай протягом 2-3 місяців). Тому в комплексну модель поведінки користувача запропоновано додати модуль аналізу трендів, що забезпечує виявлення поступової зміни поведінки і надає додаткове підтвердження аномальності поведінки користувачів. При цьому необхідно враховувати, що аномальну поведінку також можна інтерпретувати як зміну поведінки. При побудові модуля аналізу трендів введемо наступні припущення:

-

-

Нехай А — алфавіт команд деякого користувача (тобто набір усіх команд, що виконувалися протягом сеансів). Нехай st (t>T) — поточний сеанс роботи користувача, для якого отримано наступну послідовність виконаних їм команд. Для того щоб визначити, чи змінилася поведінка користувача, по закінченні сеансу st будується вектор g(st), компоненти якого визначаються в такий спосіб:

(6)

Тобто, якщо деяка команда була виконана під час сеансу st, то значення відповідної компоненти вектора g(st) стає рівним 1, в іншому випадку — 0. Потім цей вектор g(st) попарно порівнюється з аналогічними векторами, побудованими для попередніх сеансів st-1, st-2, …, st-l. В якості міри порівняння запропоновано використовувати відстань Хемінга:

(7)

де.

Тобто величина визначає число компонентів двох векторів, значення яких відмінні. Одержавши в результаті порівняння l значень, обчислюємо середнє і нормуємо його на загальну кількість команд в алфавіті:

. (8)

Введемо наступний критерій зміни поведінки користувача: для даного (поточного) сеансу користувача st на основі співвідношень (6)-(8) обчислюється значення параметра Ht. Якщо Ht H*, вважається, що поведінка не змінилася, якщо H* Ht H* — змінилася, якщо ж Ht H* — поведінка аномальна.

Загальна структура комплексної моделі наведена на рис. .

ис. . Структура комплексної моделі

Третій розділ присвячено питанням структурної і параметричної ідентифікації комплексної моделі поведінки користувачів комп’ютерних систем і її верифікації. Для цього використовувалися реальні дані, що були зібрані в локальній мережі фізико-технічного інституту НТУУ “КПІ” і Інституту космічних досліджень НАНУ-НКАУ. Для моделювання поведінки користувачів обрано нейромережевий підхід. В якості інтерактивної і сеансової моделей використовується нейронна мережа прямого поширення інформації з одним прихованим шаром.

Означення . Структурною ідентифікацією нейромережевої моделі будемо називати визначення нейромережевої парадигми, методу навчання та оптимальної архітектури.

Означення . Параметричною ідентифікацією нейромережевої моделі будемо називати визначення оптимальних параметрів нейронної мережі — вагових коефіцієнтів Wij, порогів bi та параметрів навчання та .

Параметрична ідентифікація полягала у мінімізації функціоналу похибки

, (9)

де p — розмір навчальної множини;

yp, dp — реальний та очікуваний виходи нейронної мережі відповідно.

Мінімізація здійснювалася за методом градієнтного спуску

, (10)

реалізованим на основі процедури зворотного поширення похибки.

Для кожної з моделей було визначено оптимальне число прихованих нейронів. Варто відзначити, що розмірність вхідного шару нейронної мережі для інтерактивної моделі однозначно визначається глибиною пам’яті, тобто числом команд, що використовуються для прогнозу наступної. Тому важливо знати, на скільки поведінка користувача в даний момент часу залежить від її передісторії. Для цього для кожного користувача комп’ютерної системи і для кожного його сеансу st були побудовані автокореляційні криві:

, , (11)

де  — коефіцієнт кореляції для послідовностей команд за сеанс st;

n — часове зміщення між елементами послідовності.

Їх аналіз показав, що при прогнозуванні дій користувача варто використовувати до п’яти попередніх. (В даній інтерактивній моделі використовувались п’ять команд.)

З метою перевірки ефективності запропонованої комплексної моделі була проведена серія експериментів. Результати для інтерактивної і сеансової моделей наведено на рис. (а, б).

(а) (б)

Рис. . Відсоток правильно зпрогнозованих команд (а) і правильної класифікації (б) для різних користувачів:

1 - відсоток правильно зпрогнозованих команд (а) і правильної класифікації (б) для легального користувача на навчальній вибірці,

2 - відсоток правильно зпрогнозованих команд (а) і правильної класифікації (б) для легального користувача на тестовій вибірці,

3 - відсоток правильно зпрогнорованих команд (а) і правильної класифікації (б) для нелегального користувача № ,

4 - відсоток правильно зпрогнозованих команд (а) і правильної класифікації (б) для нелегального користувача № .

Термін “(не)легальний” користувач відноситься до ситуації, коли на вхід нейронної мережі, що навчена для одного користувача (легального), подаються дані іншого (нелегального). Таким чином, моделювалася ситуація, при якій нелегальний користувач працює під ім’ям (обліковим записом) легального. З наведених графіків видно, що в обох моделях нейронна мережа може відрізнити поведінку легального користувача від нелегального.

Також для різних користувачів були проведені експерименти з метою перевірки ефективності роботи модуля аналізу трендів. Результати експериментів показали, що використання параметра Ht дозволяє визначити момент часу, коли поведінка користувача змінилася або є аномальною.

ис. . Зміна значення Ht

Четвертий розділ присвячено побудові генеративної моделі поведінки користувачів комп’ютерних систем.

В загальному випадку функціонування нейронної мережі значно залежить від якості навчальної вибірки. Це пов’язано з тим, що при невеликому розмірі навчальної множини нейронна мережа має тенденцію до прямого запам’ятовування образів, що призводить до зменшення її здатності до узагальнення. При побудові сеансової моделі реальних даних недостатньо для оптимізації її структури. Тому для розв’язання цієї проблеми було використано статистичне моделювання даних — побудова так званої генеративної моделі поведінки користувачів. В якості критерію узгодження гіпотези та експериментальних даних використовувався так званий критерій 2 Пірсона, суть якого полягає у наступному:

-

, (12)

де k — кількість інтервалів значень випадкової величини; —

частота попадання в і-ий інтервал значень; —

теоретична ймовірність попадання в і-ий інтервал значень;

-

-

В таблиці наведено результати побудови генеративної моделі.

Таблиця  —

Результати перевірки гіпотез за критерієм 2

Параметр | Розподіл | Значення 2

Кількість команд, що вводяться | Логарифмічний нормальний | 2=1,98 (97%-а відповідність гіпотези)

Номер комп’ютера | p=0,8 – для деякого комп’ютера,
p=0,2 – для інших | 2=0,65 (95%-а відповідність гіпотези)

Тривалість сеансу | Рівномірне | 2 = 2,19 (94%-а відповідність гіпотези)

Час початку сеансу | Нормальне | 2=0,87 (85%-а відповідність гіпотези)

На основі отриманих розподілів було згенеровано необхідний набір даних, що дало можливість оптимізувати архітектуру нейронної мережі для сеансової моделі і покращити її функціонування. Створено систему генерації даних для ідентифікації сеансової моделі.

У п’ятому розділі розглянуто питання реалізації комплексної моделі поведінки користувачів комп’ютерних систем на основі агентної технології. Розроблено архітектуру мультиагентної системи комплексного аналізу поведінки користувачів, що описує взаємодію всіх складових комплексної моделі, розроблені принципи функціонування і взаємодії агентів, що реалізують нейромережеві моделі поведінки користувачів.

Розроблена система містить наступні компоненти (мал. ):

-

-

-

-

ис. . Архітектура системи моніторингу

Агентна реалізація дала змогу використовувати розроблену систему у гетерегонному середовищі (з різними операційними системами та форматами даних), забезпечити автономність та мобільність компонентів (можливість моделі переміщуватися на сторону користувача). Крім того, використання агентного підходу дозволило зробити систему розподіленою та легко масштабованою. Так, при додаванні в комп’ютерну мережу нового користувача необхідно тільки внести відповідну інформацію до бази даних, а все інше мультиагентна система виконає сама.

В якості технології реалізації і середовища програмування агентів були обрані, відповідно, Java і Aglets Software Development Kit (ASDK). На даний момент прототип запропонованої системи функціонує в Інституті космічних досліджень НАНУ-НКАУ, система впроваджена в локальній мережі ТОВ “Кітка-Лтд” та у декількох провідних навчальних закладах України.

ИСНОВКИ

Дисертаційну роботу присвячено розробці ефективних методів і моделей аналізу поведінки користувачів комп’ютерних систем з метою їх застосування в системах моніторингу і виявлення аномальної діяльності. В роботі запропоновано комплексну модель поведінки користувачів, виконано структурну та параметричну ідентифікацію нейромережевих моделей, створено генеративну модель та реалізовано комплесну модель у вигляді мультиагентної системи виявлення аномалій у поведінці користувачів комп’ютерних систем.

1. Аналіз існуючих методів побудови моделей поведінки користувачів комп’ютерних систем показав, що існуючі підходи не описують всі аспекти поведінки користувачів комп’ютерних систем. Так, в більшості робіт враховуються лише динамічні властивості поведінки користувачів, або лише статистична інформація. При цьому ніяк не враховуються можливі тренди зміни поведінки користувачів.

2. Розроблено комплексну нейромережеву модель поведінки користувачів комп’ютерних систем, що включає три компоненти: інтерактивну (прогнозну) складову, що враховує динаміку поведінки користувачів, сеансову (статистичну) складову, що враховує статистичні властивості поведінки користувача і модуль аналізу трендів, призначений для виявлення можливих змін в поведінці користувачів. На відміну від існуючих моделей, дана модель дозволяє забезпечити комплексний підхід до аналізу поведінки користувача як під час його роботи (в режимі реального часу), так і по завершенні сеансу (у відкладеному режимі).

3. Структурна і параметрична ідентифікація комплексної моделі поведінки користувачів комп’ютерних систем дозволила визначити найкращу архітектуру і параметри моделей. Розроблені моделі верифіковані на реальних даних, що були зібрані в локальній мережі фізико-технічного інституту НТУУ “КПІ” і Інституту космічних досліджень НАНУ-НКАУ, і показали свою ефективність при виявленні аномальної діяльності користувачів комп’ютерних систем. Зокрема, використання комплексної моделі дозволяє виявляти аномальну діяльність користувачів під час їх роботи у 80% випадків.

4. Розроблено генеративну модель поведінки користувачів, що забезпечує репрезентативні набори даних для ідентифікації і верифікації комплексної моделі. Для побудови виконувалось статистичне моделювання даних. В якості критерію узгодженості гіпотези реальним даним використовувався критерій 2. На основі отриманих розподілів було згенеровано необхідний набір даних, що дало можливість оптимізувати архітектуру нейронної мережі для сеансової моделі і покращити її функціонування.

5. Розроблено об’єктно-орієнтовну модель представлення нейромережевих моделей користувача в межах агентної парадигми. Запропоновано принципи функціонування і взаємодії агентів, що реалізують нейромережеві моделі поведінки користувачів. Агентна реалізація дала змогу використовувати розроблену систему у гетерегонному середовищі, забезпечити автономність та мобільність компонентів, дозволила зробити її розподіленою та легко масштабованою.

Використання мультиагентної системи аналізу поведінки користувачів в комп’ютерних мережах дозволяє збільшити її захищеність в середньому на 30%.

6. Результати дисертації відзначено премією Національної академії наук України для студентів вищих навчальних закладів за наукову працю “Розробка інтелектуальної мультиагентної системи безпеки комп’ютерних систем” (2003) і спеціальним призом в конкурсі “День молодих учених”, організованому компанією Samsung (2005), за проект “Інтелектуальна система моніторингу діяльності користувачів комп’ютерних систем”.

писок опублІкованИх праць за темою дисертації

1. KussulShelestovSkakunSidorenkoPasechnik Intelligent Multi-Agent Information Security System // Computing. — 2003. — Vol. , Issue . — P. –39.

2. Куссуль Н.Н., Скакун С.В. Нейросетевая модель пользователей компьютерных систем // Кибернетика и вычислительная техника. — 2004. — Выпуск . — С. –68.

3. Куссуль Н.Н., Сидоренко А.В., Скакун С.В. Нейросетевая модель пользователя компьютерных систем // Вестн. СевГТУ: Сб. науч. тр. — Севастополь, 2004. — Вып. . “Автоматизация процессов и управление”. — С. .

4. Куссуль Н.Н., Скакун С.В., Лобунец А.Г. Реализация нейросетевой модели пользователей компьютерных систем на основе агентной технологии // Проблемы управления и информатики. — 2005. — № . — С. 93-102.

5. Скакун С.В. Математическое моделирование поведения пользователей компьютерных систем // Математические машины и системы. — 2005. — № . — С. .

6. Kussul N., Shelestov A., Skakun S., Sidorenko A., Pasechnik V., Veremeyenko Y., Levchenko N. Multi-Agent Security System based on Neural Network Model of User’s Behavior // International Journal on Information Theories and Applications. — 2003. — Vol. , № . — P. –188.

7К. Куссуль Н.Н., Скакун С.В., Веремеенко Ю.А., Сидоренко А.В., Левченко Н.В., Выявление аномалий в работе пользователей ОС семейства Windows // Збірка тез доповідей учасників І Всеукраїнської науково-практичної конференції студентів, аспірантів та молодих вчених “Технології Безпеки Інформації”. — К.: ІВЦ “Видавництво “Політехніка””. — 2003. — С. 8–9.

8. Куссуль Н.Н., Скакун С.В., Левченко Н.В., Веремеенко Ю.А., Сидоренко А.В., Пасечник В.И. Роль модели пользователя в системах обнаружения вторжений // Збірка тез доповідей учасників І Всеукраїнської науково-практичної конференції студентів, аспірантів та молодих вчених “Технології Безпеки Інформації”. — К.: ІВЦ “Видавництво “Політехніка””. — 2003. — С. .

9. N.A.A.V.S.Y.Veremeyenko, N.. Multi-Agent Security System based on Neural Network Model of User’s Behavior // Proc. of the X-th International Conference “Knowledge-Dialogue-Solution”. — Varna (Bulgaria). — 2003. — P. –179.

10. N.A.A.S.Y., Intelligent Multi-Agent Information Security System // Proc. of the Second IEEE International Workshop on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Application (IDAACS’03). — Lviv (Ukraine). — 2003. — P. –122.

11. Куссуль Н.Н., Левченко Н.В., Сидоренко А.В., Скакун С.В. Нейросетевая модель пользователя компьютерных систем // Автоматика 2003: Материалы 10-й международной конференции по автоматическому управлению. — Т. . — Севастополь: Изд-во СевНТУ. — 2003. — С. .

12. Kussul N. Skakun S. Neural Network Approach for User Activity Monitoring in Computer Networks // Proc. of the International Joint Conference on Neural Networks. — Budapest (Hungary). — 2004. — Vol. . — P. .

13. Kussul N. Skakun S. Monitoring of User Activity in Computer Networks // Матеріали 11-ої міжнародної конференції по автоматичному управлінню „Автоматика 2004”. — Том. . — Київ. — 2004. — С. 68.

14. Skakun S. Neural Network Monitoring of User Activity in Computer Systems // Матеріали виступів школи-семінару для молодих науковців “Наукові космічні дослідження”. — К.: “Політехніка”. — 2004. — С. 28.

15. Skakun S. A system for user activity monitoring in computer systems // Единое информационное пространство: Сборник тезисов докладов Международной научно-практической конференции. — Днепропетровск: ИПК ИнКомЦентра УГХТУ. — 2004. — С. .

16. Куссуль Н.Н., Скакун С.В. Fuzzy neural network model of user behavior in computer systems // Матеріали IX Міжнародної науково-практичної конференції “Інформаційні технології в економіці, менеджменті і бізнесі: Проблеми науки, практики та освіти”. — Частина . — К.: Вид-во Європ. Ун-ту. — 2004. — C. .

17. Скакун С.В. System for users’ activity monitoring in space computer systems // VII Міжнародна молодіжна науково-практична конференція “Людина і Космос”: Збірник тез. — Дніпропетровськ: НЦАОМУ. — 2005. — C. .

18. Скакун С.В., Поляков Р.Э. Моделирование данных о работе пользователей компьютерных систем // VII Міжнародна молодіжна науково-практична конференція “Людина і Космос”: Збірник тез. — Дніпропетровськ: НЦАОМУ. — 2005. — C. .

19. Скакун С.В., Поляков Р.Е. Нейромережева ідентифікація поведінки користувача на основі статистичних даних // Матеріали виступів школи-семінару для молодих науковців “Наукові космічні дослідження”. — К.: “Політехніка”. — 2005. — С. 45

20. Куссуль Н.Н., Скакун С.В. Моделирование деятельности пользователей компьютерных систем с помощью модульных нейронных сетей // Інтелектуальні системи прийняття рішень та прикладні аспекти інформаційних технологій: Матеріали науково-практичної конференції. Том . — Херсон: Видавництво Херсонського морського інституту, 2005. — С. .

21. Куссуль Н.Н., Скакун С.В. Идентификация нейросетевой модели поведения пользователей компьютерных систем // Proc. of the XI-th International Conference “Knowledge-Dialogue-Solution”. — Varna (Bulgaria). — 2005. — Vol. . — P. .

22. Куссуль Н.Н., Скакун С.В., Поляков Р.Э. Выявление аномальной деятельности пользователей компьютерных систем на основе комплексной модели // Матеріали 12-ої міжнародної конференції по автоматичному управлінню „Автоматика 2005”. — Том. . — Харків: Вид-во НТУ “ХПІ”. — 2005. — С. 94.

нотація

Скакун С.В. Комплексний аналіз поведінки користувачів комп’ютерних систем на основі нейромережевих моделей. — Рукопис.

Дисертація на здобуття наукового ступеня кандидата технічних наук за спеціальністю 01.05.04 — системний аналіз і теорія оптимальних рішень. — Інститут космічних досліджень Національної академії наук України та Національного космічного агентства України. — Київ, 2005.

Дисертацію присвячено розробці ефективних методів та моделей аналізу поведінки користувачів комп’ютерних систем та їх застосуванню в системах моніторингу та виявлення аномальної діяльності. В роботі розроблено комплексну модель поведінки користувачів комп’ютерних систем, що базується на нейромережевому підході і містить три компоненти: інтерактивну (прогнозну) складову, сеансову (статистичну) складову та модуль аналізу трендів. Виконано структурну та параметричну ідентифікацію комплексної моделі. Розроблено генеративну модель поведінки користувачів, що забезпечує репрезентативні набори даних для верифікації та ідентифікації комплексної моделі. Практично реалізовано інтелектуальну мультиагентну систему моніторингу та комплексного аналізу діяльності користувачів комп’ютерних систем.

Ключові слова: аналіз поведінки користувачів комп’ютерних систем, нейронні мережі, агентна технологія, комплексна модель, структурна та параметрична ідентифікація складних моделей.

ннотация

Скакун С.В. Комплексный анализ поведения пользователей компьютерных систем на основе нейросетевых моделей. — Рукопись.

Диссертация на соискание научной степени кандидата технических наук по специальности 01.05.04 — системный анализ и теория оптимальных решений. Институт космических исследований Национальной академии наук Украины и Национального космического агентства Украины. — Киев, 2005.

Диссертация посвящена разработке эффективных методов и моделей анализа поведения пользователей компьютерных систем и их применению в системах мониторинга и выявления аномальной деятельности.

В работе разработана комплексная нейросетевая модель поведения пользователей компьютерных систем, базирующаяся на нейросетевом подходе и включающая три компонента: интерактивную (прогнозную) составляющую, учитывающую динамику поведения пользователей, сеансовую (статистическую) составляющую, учитывающую статистические свойства поведения пользователя и модуль анализа трендов. Интерактивная составляющая обеспечивает прогнозирование действий пользователя на основе предыдущих команд, тем самым описывая динамические свойства поведения пользователя. В ее основу положена нейронная сеть прямого распространения. В отличие от интерактивной модели, сеансовая основывается на использовании интегральных (статистических) данных, полученных во время работы пользователя за сеанс в целом. При этом учитывается следующая информация: количество команд, которые были выполнены пользователем в течение сеанса; результаты интерактивной модели, т.е. относительное количество правильно спрогнозированных команд за сеанс; номер компьютера в сети, за которым работал пользователь; продолжительность сеанса; время начала сеанса. Поскольку поведение пользователя не является стационарным процессом и с течением времени может изменяться, в комплексной модели поведения пользователя используется модуль анализа трендов, обеспечивающий выявление “трендов” поведения и предоставляющий дополнительное подтверждение аномальности поведения пользователей.

Для определения наилучшей структуры и параметров моделей выполнена структурная и параметрическая идентификация комплексной модели поведения пользователей компьютерных систем. Разработанные модели верифицированы на реальных данных (которые были собраны в локальной сети физико-технического института НТУУ “КПИ” и Института космических исследований НАНУ-НКАУ) и показали свою эффективность по выявлению аномальной деятельности пользователей компьютерных систем.

Разработана генеративная модель поведения пользователей, которая позволила обеспечить репрезентативные наборы данных для идентификации и верификации комплексной модели. В качестве критерия согласия гипотезы и экспериментальных данных использовался критерий 2.

На основе комплексной модели поведения пользователей практически реализована интеллектуальная мультиагентная система мониторинга и комплексного анализа деятельности пользователей компьютерных систем. Данная система состоит из следующих компонентов: агента интерактивной составляющей, работающего в режиме реального времени; агента сеансовой составляющей, работающего в автономном режиме; агента-контроллера, управляющий работой других агентов в системе; базы данных, содержащей данные и параметры существующих моделей. Разработана общая иерархия классов для реализации нейросетевых моделей, которая обеспечивает эффективность вычислений, масштабируемость и возможность повторного использования. Предложены принципы функционирования и взаимодействия агентов, реализующих нейросетевые модели поведения пользователей. Разработан шаблон интеллектуального агента, инкапсулирующего нейросетевые модели.

Ключевые слова: анализ поведения пользователей компьютерных систем, нейронные сети, агентная технология, комплексная модель, структурная и параметрическая идентификация сложных моделей.

abstract

SkakunComplex analysis of computer systems users’ behaviour based on neural networks models. — Manuscript.

Ph.D. thesis for acquiring scientific degree of Candidate of Technical Science on speciality 01.05.04 — system analysis and the theory of optimal decision. — Space Research Institute of National Academy of Sciences of Ukraine and National Space Agency of Ukraine. — Kyiv, 2005.

Ph.D. thesis is devoted to the development of efficient methods and models enabling analysis of computer systems users’ behaviour and its application in monitoring systems and anomaly detection systems. It is proposed complex model of computer systems users’ behaviour that is based on neural network approach and consists of the following components: interactive (predictive) model, session (statistical) model, and module of trends analysis. It was carried out structural and parametric identification of complex model. It was developed a generative model of users’ behaviour that provides representative data sets for model identification and verification. It was developed intelligent multi-agent system for providing monitoring and complex analysis of computer systems users’ activity.

Key words: analysis of computer systems users’ behaviour, neural networks, agent technology, complex model, structural and parametric identification of complex models.