CC BY
8Методы и средства защиты информации
УДК 004.056
Р. С. Прохоров
Омский государственный университет имени Ф. М. Достоевского, Россия, Омск
БИХЕВИОРИСТИЧЕСКИЙ АНАЛИЗ ПРОЦЕССОВ НА ОСНОВЕ МУЛЬТИНЕЙРОННОЙ СЕТИ
Исследуется возможность определять процесс или архетип процесса по его действиям в системе. В качестве арбитра используется особая структура нейронных сетей, названная мультинейронной сетью. В процессе исследования установлено, что анализатор имеет достаточную эффективность для дальнейшего исследования и усовершенствования. Анализ поведения процессов, нейросетевые структуры, мультинейронная сеть.
В настоящее время компьютерные системы все больше походят на системы взаимодействия объектов в социальном или биологическом пространстве. Ярким тому примером могут служить иммунные системы, схожие по принципу действия с иммунной системой человека. Также операционная система является «средой» для действующих в нем процессов-организмов. Здесь аналогией может служить социальная среда. Как известно, человек определяется в обществе тем, что он делает - его поступками. В данной статье рассматривается возможность идентификации процессов по их поведению - кортежу событий -в современной операционной системе.
В работе [1] предлагается архитектура нейросете-вой системы анализа поведения процессов операционной системы реального времени, используемых в специализированных встраиваемых системах. В работе [2] используется метод, основанный на анализе поведения процессов с помощью нейросети, дополненный для большей эффективности сигнатурным анализом.
На основе имеющихся открытых данных о вредоносных процессах выявлен ряд признаков, по которым возможна классификация процессов. Признаки объединены в группы по классам производимых действий: чтение с диска, отправка ТСР-пакета и т. д. Для каждого класса сформирована нейронная сеть, несущая ответственность за классификацию процесса по данному классу событий. Несколько нейронных сетей
объединены в структуру, названную мультинейрон-ной сетью. Для формирования результата создан ме-таблок мультинейронной сети, определяющий уровень доверия каждому компоненту (нейронной сети). Построена система, которая позволяет фиксировать события в системе и записывать их в кортежи событий.
Проведено исследование, определяющее зависимость эффективности системы от длины кортежа событий. Выяснено, что гораздо важнее качественный показатель, нежели количественный: типы событий важнее их распределения в кортеже.
Проведено исследование, определяющее уровень эффективности системы для различных процессов в системе. Показатель колеблется в районе 0,66-0,99.
Установлено, что данный анализатор имеет достаточный уровень точности для дальнейшего исследования в сторону определения вредоносных процессов.
Библиографические ссылки
1. Валеев С. С., Дьяконов М. Ю. Нейросетевая система анализа аномального поведения вычислительных процессов в микроядерной операционной системе // Вестник УГАТУ. 2012. Т. 14. № 5 (40). С. 198-204.
2. Ваганов М. Ю. Гибридная искусственная иммунная система защиты компьютера от процессов с аномальной активностью : автореф. дис. ... канд. техн. наук : 05.13.19 / Ваганов Михаил Юрьевич.
R. S. Prokhorov
Omsk State University named after F. M. Dostoevsky, Russia, Omsk BEHAVIORISTIC PROCESS ANALYSIS BASED ON MULTINEURAL NETWORK
Main issue of this article is possibility of process identification using event sequence analysis. Special structure of neural networks is being used as an arbiter. This structure is named multineural network. It has been investigated that this analyzer has enough efficiency for future improvement and research. The analysis of process behavior, neural network structures, multineural network is carried out.
© Прохоров Р. С., 2012
