Методи та засоби ідентифікації стану комп'ютерних систем критичного застосування для захисту інформації

Ескіз

Файли

tytul_dysertatsiia_2019_Gavrylenko_Metody_ta_zasoby.pdf (792.36 KB)
literatura_dysertatsiia_2019_Gavrylenko_Metody_ta_zasoby.pdf (695.88 KB)
vidhuk_Kryvulia_H_F.pdf (2.33 MB)
vidhuk_Chemerys_O_A.pdf (2.14 MB)
vidhuk_Yeremenko_V_S.pdf (2.1 MB)

Дата

2019

Автори

ORCID

DOI

Науковий ступінь

доктор технічних наук

Рівень дисертації

докторська дисертація

Шифр та назва спеціальності

05.13.05 – комп'ютерні системи та компоненти

Рада захисту

Спеціалізована вчена рада Д 64.050.14

Установа захисту

Національний технічний університет "Харківський політехнічний інститут"

Науковий керівник

Семенов Сергій Геннадійович

Члени комітету

Качанов Петро Олексійович
Кондрашов Сергій Іванович
Ліберг Ігор Геннадійович

Видавець

Національний технічний університет "Харківський політехнічний інститут"

Анотація

Дисертація на здобуття наукового ступеня доктора технічних наук за спеціальністю 05.13.05 – Комп'ютерні системи та компоненти (123 – Комп'ютерна інженерія). – Національний технічний університет "Харківський політехнічний інститут", Міністерство освіти і науки України, Харків, 2019. Дисертацію присвячено підвищенню оперативності та достовірності ідентифікації стану комп'ютерних систем критичного застосування шляхом розробки та удосконалення методів та засобів розпізнавання аномалій та зловживань. Проведено аналіз науково-технічної проблеми ідентифікації стану КСКЗ для захисту даних. Виконано аналіз основних загроз і факторів, що впливають на стан захисту інформації в комп'ютерних системах критичного застосування. Розглянуто вимоги щодо оперативності та достовірності ідентифікації стану КСКЗ, безпеки даних в умовах зовнішніх впливів, функціональні критерії захисту інформації. Визначено, що система ідентифікації стану КСКЗ є одним з багаторівневих інструментів захисту інформації і включає два класи методів: методи ідентифікації аномалій і методи ідентифікації зловживань. Отримано, що основними недоліками методів ідентифікації аномалій і зловживань є нехтування факторами нечітких даних і низька адаптація до динамічних змін структур вихідних даних та зовнішніх впливів, що в свою чергу призводить до зниження достовірності і оперативності ідентифікації КСКЗ. Зроблено висновок про перспективність напрямку розробки та дослідження комплексних методів ідентифікації стану КСКЗ. Розроблено схему ідентифікації стану КСКЗ, яка включає підсистему ідентифікації аномалій та зловживань. Основою функціонування підсистеми ідентифікації зловживань є комплексне використання інтелектуальних методів класифікації, що включає нейронну мережу АРТ-1, вдосконалені моделі нечіткого виведення та ймовірнісного автомату. В основі функціонування підсистеми ідентифікації аномалій лежить комплексне використання статистичних методів класифікації та систем прийняття рішень на основі дискримінантного, кластерного класифікаторів та класифікатора Байєса, які адаптовані до оцінки показників функціонування КСКЗ з ознаками нечіткості. Для двухальтернативної класифікації в роботі виконано модернізацію методу дискримінантного аналізу за умови нечітких вихідних даних, яка базується на отримані аналогів теоретико-ймовірнісних характеристик нечітких величин, а саме математичного сподівання, дисперсії та коефіцієнтів кореляції, які в подальшому використані для стандартної схеми розрахунку шляхом вирішення системи лінійних рівнянь і класифікації стану об'єкта. Для багатоальтернативного діагностування в роботі виконано модернізацію методу кластерного аналізу за умови, коли координати точок (результати вимірювання показників, які контролюються), а також центри групування кластерів задані нечітко своїми функціями приналежності. Запропоновано процедуру порівняння нечітких відстаней між об'єктами кластеризації і центрами групування, що базується на порівнянні нечіткої функції різниці відстаней з нулем. Розроблено правила трактування результату порівняння нечіткого числа з нулем. Знайдено критерій оцінки інформативності показників функціонування КСКЗ в умовах нечітких вихідних даних, значення якого належить кінцевому інтервалу, не залежить від типу функції приналежності показників і від правила входження функцій в формулу для розрахунку. Отримано міру інформативності для нечітких показників, які контролюються та задані гаусовою та експоненціальною функціями приналежності. Розроблено критерій інформативності нечітких параметрів, який базується на оцінці площі ділянок, які виникають при перетині функцій приналежності станів. Для ідентифікації стану КСКЗ з необмеженим числом контрольованих показників розроблено експертну систему з непродукційним механізмом логічного висновку, яка базується на модифікованому класифікаторі Байєса. Розроблено експрес-метод ідентифікації стану КСКЗ на основі комплексного використання статистичних методів класифікації, що включає BDS-тестування, оцінку показників Херста та контрольних карт Шухарта, CUSUM та EWMA. Синтезовано новий показник нормального функціонування КСКЗ, який базується на значенні джитера системи та розроблено шаблон нормальної поведінки КСКЗ на основі BDS-тестування та показника Херста. Побудовано шаблони нормального стану КСКЗ на основі контрольних карт Шухарта, CUSUM, EWMA. Розроблено метод класифікації стану КСКЗ на основі нейронної мережі АРТ-1, що включає комплексне використання блоків АРТ-1. Для імітації вторгнень в КСКЗ розроблено програмну модель, що дозволило проаналізувати прототипи шкідливого програмного забезпечення, виділити найбільш інформативні ознаки та використати їх в якості масок для отримання двійкових сигнатур шкідливого програмного забезпечення. На прикладі отриманих двійкових векторів виконано навчання системи та знайдено коефіцієнти подібності. Отримано, що використання розробленого методу дозволило підвищити оперативність ідентифікації стану КСКЗ. Розроблено метод ідентифікації стану КСКЗ на основі системи нечіткого виведення, який відрізняється від відомих використанням процедури мінімізації кількості правил, що зв'язують вхідні і вихідні нечіткі змінні, що дозволило підвищити оперативність ідентифікації стану КСКЗ. Розроблено метод ідентифікації стану КСКЗ на основі ймовірнісного автомата. Основними складовими методу є модель генерації структури автомата і процедура його модифікації. Відмінною особливістю методу є адаптація процедури генерації структури автомата до ситуацій виявлення однотипних сценаріїв шляхом перебудови структури автомата при виявленні збігів і перерахунку ймовірності переходів зі стану в стан. Удосконалений метод дозволяє прискорити процес виявлення аномальної поведінки КСКЗ, а також виявляти зловживання комп'ютерної системи, сигнатури сценаріїв яких лише частково збігаються з екземплярами, які були використані при генерації структури автомата. На основі ROC-аналізу виконано порівняльне дослідження та оцінка достовірності та оперативності розроблених методів та засобів ідентифікації аномалій та зловживань в КСКЗ. Розроблено практичні рекомендації щодо застосування методів та засобів ідентифікації аномалій та зловживань КСКЗ, вироблено відповідні рекомендації щодо управління рівнем чутливості та специфічності класифікатора з метою регулювання рівня хибно-позитивної та хибно-негативної ідентифікації.
The thesis for the academic degree of Doctor of technical sciences on the speciality 05.13.05 – computer systems and components (123 – Computer engineering). – National technical university "Kharkiv polytechnic institute", The Ministry of science and education of Ukraine, Kharkiv, 2019. The thesis is dedicated to the enhancement of efficiency and reliability of the identification of the computer systems of critical application state by means of development and improvement of methods and means of recognition of anomalies and abuses. The analysis of the scientific and technical problem of the indication of CSCA for data protection was carried out. The examination of main dangers and factors affecting the state of the information protection in the computer systems of critical application was done. The requirements of efficiency and reliability of the identification of the CSCA state, data safety under external influence, functional criteria of information protection were studied. It was shown that the system of indication of the CSCA state was one of the multilevel tools for information protection and consist of two classes of methods: the anomaly identification methods and the abuse identification methods. It was found that the main disadvantages of the anomaly and abuse identification methods were a neglect of fuzzy set factors and low adaptation to dynamic changes of the initial dataset structures and external effects that leads to the decrease of efficiency and reliability of the CSCA identification. The conclusion of perspective of the direction of development and investigation of complex methods of the identification of the CSCA state was drawn. A scheme of the identification of the CSCA state that includes the subsystem of the anomaly and abuse identification was proposed. The basis of performance of the abuse identification subsystem is complex use of intelligent classification methods that includes the neural network ART-1, the improved models of fuzzy output and the probabilistic automaton. Complex use of the statistical methods of classification and the decision support systems based on discriminant, cluster, Bayes classifiers adapted for the evaluation of performance parameters of the CSCA with fuzzy signs serves as a basis for performance of the anomaly identification subsystem. Enhancement of the discriminant analysis method under the condition of fuzzy input data was performed for the two-alternative classification. It was based on the analogies of theoretic and probabilistic characteristics of fuzzy numbers, particularly, the expected value, the dispersion of correlation coefficients, used for the standard calculation scheme by means of the solution of the linear equation system and the classification of the object state. In the present work the enhancement of the cluster analysis under condition of fuzzy specification of the point coordinates (the results of measurements of controlled parameters) and the centers of cluster groups, defined by membership functions, was done for the multi-alternative diagnostic. The procedure of the comparison of fuzzy distances between the objects of clustering and the group centers, based on the comparison of fuzzy function of distance difference with zero was proposed. The rules for the result treatment of the comparison of fuzzy number with zero were developed. A criterium of self-descriptiveness estimation of the performance parameters of CSCA under fuzzy input data, the value of which belongs to the final range, does not depend on the parameter membership function type and on the rules of inclusion of the function into evaluation expression, was found. The self-descriptiveness rate of the controlled fuzzy parameters, described by gaussian and exponential function of membership, was obtained. The criterium of self-descriptiveness of fuzzy parameters based on the surface evaluation of the area of intersection of the state membership functions was developed. An expert system with non-productional mechanism of logic inference based on modified Bayes classifier was created for identification of the CSCA state with infinite numbers of controlled parameters. An express method of identification of the CSCA state relied on complex use of statistic methods of classification including BDS test, the evaluation of Hurst exponent and Shewhart charts, CUSUM and EWMA, as components of the subsystem on anomaly recognition, was worked out. A new parameter of normal performance of CSCA based on the jitter value of the system was synthesized and a template of normal behavior of CSC A arising from BDS test and Hurst exponent values was proposed. The templates of the normal system state of CSCA relying on Shewhart charts, CUSUM and EWMA were built. A classification method of CSCA state based on the neuron network ART-1 that included complex use of ART-1 blocks was developed. A program model developed to imitate intrusions into CSCA allowed to analyze the prototypes of malware, to distinguish the most informative descriptors and to use them as masks to obtain binary signatures of malware. The obtained binary vectors were used as examples in system training and in similarity measure search. The use of the proposed method improved the efficiency of identification of the CSCA state. A method of identification of the CSCA state relying on the system of fuzzy output, which differs from the well-known by the use of minimization procedure of number of rules linking input and output fuzzy variables, was suggested. It allowed to improve efficiency of the identification of CSCA state. An identification method of computer system of critical application state was proposed on the basis of the probabilistic automaton. The method consists of the model of generation of an automaton structure and the procedure of its modification. The main feature of the method is an adaptation of the generation procedure of the automaton structure to the situation of recognition of identical scripts by means of the automaton structure rebuilding upon coincidence detection and recalculation of the probability of transfer between states. The improved method allows to accelerate the process of revelation of anomaly behavior of the CSCA as well as to detect the abuse of computer system, signature scenarios of which only partially match the examples used for the generation of the automaton structure. On the basis of ROC-analysis a comparative study and an estimation of reliability and efficiency of developed methods and means of anomaly and abuse identification in CSCA was performed. Practical recommendations on the use of the methods and means of the anomaly and abuse identification of the CSCA were proposed and corresponding recommendations on operation of sensitivity level and classifier specification to regulate the level of false-positive and false-negative identification were suggested.

Опис

Ключові слова

дисертація, комп'ютерна система критичного застосування, методи захисту інформації, засоби захисту інформації, ідентифікація аномалії, ідентифікація зловживання, BDS-статистика, нечітка експертна система, оцінка інформативності нечітких показників, computer system critical application, methods of information protection, means of information protection, anomaly identification, abuse identification, BDS-statistics, fuzzy expert system

Бібліографічний опис

Гавриленко С. Ю. Методи та засоби ідентифікації стану комп'ютерних систем критичного застосування для захисту інформації [Електронний ресурс] : дис. ... д-ра техн. наук : спец. 05.13.05 : галузь знань 12 / Світлана Юріївна Гавриленко ; наук. консультант Семенов С. Г. ; Нац. техн. ун-т "Харків. політехн. ін-т". – 2019. – 320 с. – Бібліогр.: с. 249-277. – укр.

URI

https://repository.kpi.kharkov.ua/handle/KhPI-Press/42612

Зібрання

05.13.05 "Комп'ютерні системи та компоненти"