CC BY
0
УДК 004.81
Б01: 10.24412/2071-6168-2024-11-16-17
ИСПОЛЬЗОВАНИЕ МЕТОДОВ НЕЙРОЭВОЛЮЦИИ ДЛЯ АВТОМАТИЗАЦИИ ОПТИМИЗАЦИИ АЛГОРИТМОВ КИБЕРЗАЩИТЫ В КОГНИТИВНЫХ ИНФОРМАЦИОННЫХ
ЦЕНТРАХ
П.А. Панилов
Представлена модель безопасности для когнитивных информационных центров с использованием нейроэволюции - метода, сочетающего нейронные сети и генетические алгоритмы. Модель использует нейроэволюцию для создания адаптируемых моделей кибербезопасности, способных обучаться в ответ на широкий спектр киберугроз, включая вредоносное ПО, фишинг, атаки типа «отказ в обслуживании» фв8). Исследованы ключевые показатели производительности, такие как точность обнаружения, количество ложных срабатываний и время отклика. Проведенный анализ показал, что модель может эффективно обучаться и адаптироваться к киберу-грозам, обеспечивая надежную основу для защиты когнитивных информационных центров. Кроме того, рассмотрены возможности для оптимизации модели, изучены тенденции потерь при обучении и распределение параметров нейронной сети.
Ключевые слова: нейроэволюция, кибербезопасность, когнитивный информационный центр, генетические алгоритмы, нейронные сети, угрозы безопасности, обнаружение вредоносного ПО, эволюционные алгоритмы, адаптивные системы безопасности.
Одним из ценных ресурсов в современном мире являются данные, которые все больше подвергаются кибератакам злоумышленников путем создания новых методов и стратегий, в связи с этим необходимо постоянно обновлять и модифицировать методы их защиты.
Благодаря алгоритмам машинного обучения. создаются новые эффективные системы обнаружения угроз. В решении. этой проблемы важную роль играет искусственный интеллект [1]. а
Методом искусственного интеллекта, который учит компьютеры обрабатывать данные таким же способом, как и человеческий мозг, является б нейронная сеть. Нейросеть автоматизирована и обрабатывает большое количество информации, поэтому она может определять, что является нормой, а что выступает за её пределы [2]. Тем самым нейронная сеть способна выявить даже самые незначительные отклонения от нормы и поднять тревогу. Киберугрозы продолжают эволюционировать, поэтому нейросеть играет важную роль в возможности быстрого автоматического реагирования на новые угрозы.
В настоящее время основы технологических инноваций зачастую представлены когнитивными информационными центрами (КИЦ), которые играют ключевую роль в развитии городов, передовых центров обработки данных и интеллектуальных энергосистем. В силу своей значимости такие
центры являются потенциальными мишенями для кибератак [3]. Нейроэволюция позволяет создавать и тестировать алгоритмы и эволюционировать системы кибербезопасности в ответ на меняющиеся угрозы [4].
Благодаря использованию технологий нейроэволюции когнитивные информационные центры могут стать более устойчивыми к киберугрозам, повысить безопасность критической инфраструктуры и защитить конфиденциальные данные [5].
В статье исследуется, как нейроэволюция может применяться для оптимизации алгоритмов киберзащиты в КИЦ. Представлена комплексная структура, в которой описываются шаги, необходимые для реализации нейроэволюции - от инициализации разнообразной совокупности алгоритмов до развертывания оптимизированных решений в реальной среде. Рассмотрены преимущества этого подхода, включая повышение адаптивности и сокращение вмешательства человека, а также проблемы и потенциальные риски, связанные с нейроэволюцией и нейросетью.
Используя методы нейроэволюции, КИЦ обладают большей устойчивостью к киберугрозам, повышая безопасность критически важной инфраструктуры и защищая конфиденциальные данные.
Нейроэволюция - это направление искусственного интеллекта, объединяющее нейросети и эволюционные алгоритмы для создания адаптивных и итеративных подходов к решению задач [6]. Нейросети способны обучаться сложным алгоритмам, с помощью которых система может эволюционировать и приспосабливаться к естественной среде. Объединяя эти концепции, нейроэволюция может генерировать широкий спектр конфигураций нейросетей для поиска оптимального решения [7]. Нейроэволюция начинается с инициализации популяции нейросетей, каждая из которых имеет свою конфигурацию, такую как количество слоев, количество нейронов, функции активации и веса соединений.
Эволюционный процесс состоит из следующих ключевых этапов (рис. 1):
1) инициализация - создание разнообразной популяции нейросетей со своей архитектурой и параметрами;
2) оценка пригодности - оценка эффективности нейросети для конкретной задачи;
3) отбор - отбор нейросетей с высокими показателями для увеличения вероятности того, что их характеристики будут переданы следующему поколению;
4) кроссинговер и мутация - использование генетических манипуляций для создания новых нейросетей - кандидатов;
5) итерации - развитие популяции при повторении итераций у нескольких поколений
Области применения нейроэволюции:
робототехника - изучение задач методом проб и ошибок, поэтому роботы адаптируются к изменениям и выполняют сложные действия;
17
игровой искусственный интеллект - создание адаптивных агентов, которые могут разрабатывать стратегии в ответ на различные игровые сценарии.
Проведенные исследования позволили расширить области применения нейроэволюции до кибербезопасности и изучить её возможности для повышения надежности и приспособления систем киберзащиты.
Некоторые её ключевые примеры и концепции:
развитие алгоритмов обнаружения - и создание алгоритмов обнаружения киберугроз, например, вредоносное ПО и сетевые вторжения;
оптимизация стратегий защиты - создания ее наиболее надежных методов;
снижение количества ложных срабатываний - разграничение законной и вредоносной деятельности.
Итерация
Рис. 1. Процесс эволюции
Примером нейроэволюции в области кибербезопасности является разработка алгоритма обнаружения вредоносных программ на основе нейронных сетей (рис. 2) [8]. Устанавливается совокупность нейросетей, каждая из которых подготовлена для обработки функций из файлов и обнаружения признаков вредоносного ПО. Для оценивания точности обнаружения кибератак необходимо разработать функцию пригодности, применяя штраф за ложные срабатывания.
В процессе эволюции популяция подвергается мутациям и перекрестному оплодотворению. При этом создаются новые сети-кандидаты. Так как с каждым поколением сеть развивается все больше и больше, повышается точность обнаружения и снижается количество срабатываний.
Этот пример показывает возможности нейроэволюции для автоматизации и оптимизации алгоритмов киберзащиты. Нейроэволюционный подход может повысить возможности кибербезопасности в динамичных средах, развивая нейросети в ответ на меняющиеся угрозы.
Эволюция средней точности обнаружения вредоносного ПО
Рис. 2. Эволюция обнаружения вредоносного ПО
Модель безопасности для КИЦ на основе нейроэволюции. Разработка адаптивной системы проводится с помощью нейроэволюции для создания модели безопасности КИЦ. Такая адаптивная система должна обнаруживать и реагировать на широкий спектр кибepугрoз. Данный метод основывается на эволюционных алгоритмах для развития и оптимизации нeйрoсeтeй, которые быстро и легко обнаруживают разные виды атак и реагируют на них.
Этапы разработки модели безопасности (рис. 3).
1. Инициализация популяции. В процессе нейроэволюции необходимо создать популяцию нeйрoсeтeй с уникальными параметрами, например, такими как число слоев, количество нейронов, типы активации и начальные веса. Цель - обеспечить разнообразие популяции для повышения адаптивности в следующих шагах.
2. Оценка пригодности. Учитывается точность обнаружения угроз, количество ложноположительных результатов, скорость обработки данных и способность адаптироваться к новым угрозам.
3. Отбор. Наилучшие сети отбираются для использования генетических манипуляций.
4. Скрещивание и мутация. При скрещивании комбинируется несколько параметров двух родительских сетей. Так создается новая сеть. Мутация, в свою очередь, определяет случайные изменения в параметрах сети, тем самым обеспечивается дополнительное разнообразие.
5. Итерация. Для развития популяции нейросетей процесс повторяется несколько раз. Таким образом, с каждым циклом популяция более приспособляется к выполнению задач, связанных с безопасностью.
6. Симуляционное окружение. Применяется для тестирования evolved сетей, так моделируются характерные черты КИЦ - типичные топологии сети, сценарии кибератак и рабочие нагрузки и оценивается эффективность сетей в условиях, близких к реальности.
7. Развертывание. Далее оптимизированные нейросети внедряются в реальный когнитивный информационный центр, становясь частью системы безопасности КИЦ.
8. Непрерывный мониторинг. Применяется для отслеживания эффективности системы безопасности, это мониторинг точности обнаружения, скорости реакции, ложноположительных результатов и других ключевых показателей безопасности.
9. Адаптивная эволюция. При обнаружении новых угроз или снижении эффективности системы процесс запускается повторно. С помощью адаптивной эволюции система безопасности приспосабливается к новым атакам, обеспечивая долгосрочную устойчивость.
С помощью графа главные этапы процесса и связи между ними представляются визуально.
Дополнительные элементы графа: угрозы:
"вредоносное ПО" - указывает на необходимость обнаружения и противодействия вредоносным программам;
"отказ в обслуживании" - демонстрирует необходимость защиты от атак DoS;
"фишинг" - указывает на необходимость выявления фишинговых
атак;
"вымогательское ПО" - обозначает необходимость обнаружения и противодействия ransomware;
Рис. 3. Модель безопасности КИЦ
ребра:
представляют связи между этапами и реакции на угрозы, например, если между узлами "Оценка пригодности" и "Развертывание" проходит связь, то это означает развитие защитных мер в ответ на обнаружение угроз.
Главными метриками эффективности для модели безопасности в КИЦ являются:
средняя точность обнаружения, которая показывает, насколько успешно нейронные сети обнаруживают киберугрозы;
средний уровень ложноположительных результатов, который указывает на уровень ошибок при обнаружении угроз;
среднее время реакции, которое отображает скорость реакции на угрозы.
Для представленной модели безопасности с помощью графиков можно визуализировать, как ключевые метрики процесса эволюции меняются в течение нескольких поколений (рис. 4).
Средняя точноть оьнлружшкя
Рис. 4. Ключевые метрики для модели безопасности КИЦ
«Средняя точность обнаружения» - синий график - показывает, как по мере эволюции популяции нейросетей меняется средняя точность обнаружения угроз. При высокой точности можно говорить, что модель может эффективно обнаруживать киберугрозы в когнитивном информационном центре:
тенденции: при росте графика с каждым поколением можно говорить о результативном совершенствовании модели, следовательно, с помощью нейросетей можно создавать наиболее точные алгоритмы;
проблемы: при отсутствии положительной динамики или снижении точности можно говорить о проблемах в процессах эволюции.
«Средний уровень ложноположительных результатов» - красный график - демонстрирует зависимость среднего уровня ложноположительных результатов от течения времени. Такие результаты возникают при ошибочном определении безопасных действий как угрозы. О надежности модели говорит низкий уровень результатов:
тенденции: при снижении уровня результатов можно говорить о точности модели в определении и распознавании кибератак, соответственно повышается доверие к системе безопасности;
проблемы: при росте результатов можно говорить о дисбалансе в обучении или слишком консервативной стратегии, что приводит к большому числу ошибок.
«Среднее время реакции» - зеленый график - демонстрирует среднее время реакции на угрозы в процессе эволюции. Время реакции - это показатель скорости, с которой система безопасности способна обнаруживать и реагировать на киберугрозы:
тенденции: снижение времени реакции свидетельствует о повышении эффективности модели, соответственно алгоритмы, которые разрабатывает нейроэволюция, становятся более быстрыми при реагировании на угрозы, это является важной составляющей для КИЦ;
проблемы: если время реакции увеличивается или остается высоким, это может означать, что модель слишком сложна или недостаточно оптимизирована для быстрого реагирования.
Помимо основных показателей оценки (точность и ложные срабатывания), для улучшения модели безопасности нейросетей используются дополнительные методы оценки: эффективное использование нейроэво-люции для обеспечения безопасности КИЦ требует постоянного анализа и оценки работы модели, при возникновении проблем необходимо вносить изменения для достижения наилучших результатов (рис. 5).
Рис. 5 Оценка производительности модели безопасности КИЦ
22
Постоянное отслеживание потерь во время обучения. Потери (toss) при обучении показывают, насколько эффективно модель оптимизируется с каждым поколением. При стабильном показателе или росте потерь можно говорить о перегруженности или недостаточной эффективности. При снижении потерь (loss) можно говорить об успешном процессе нейроэволюции.
Корректировка параметров обучения. Изменение параметров обучения необходимо изучать для улучшения результатов при не снижении потерь (toss).
Избегание переобучения. Если потери низкие на тренировочных данных, но не на тестовых, это может указывать на переобучение, при этом необходимо уменьшить сложность модели или добавить регуляризацию.
Анализ конфузионной матрицы. Конфузионная матрица - метод оценки точности классифицирования угрозы моделью. При высоком или низком числе истинно положительных результатов можно говорить о подтверждении эффективности модели.
Корректировка фитнес-функции. Если конфузионная матрица показывает неожиданные результаты, пересмотрите фитнес-функцию, чтобы лучше балансировать точность и количество ложных срабатываний;
Коррекция стратегии обучения. Если ложные отрицательные или ложноположительные результаты высоки, может потребоваться изменение генетических операций, чтобы увеличить разнообразие в популяции.
Ускорение времени реакции. Для КИЦ особенно важно быстрое реагирование на угрозы: если время реакции увеличивается, то это указывает на необходимость оптимизации модели или уменьшения ее сложности.
Оптимизация алгоритмов. Для снижения времени реакции необходимо уменьшить сложность или выбрать более легкие алгоритмы.
Анализ ресурсов. Если время реакции высокое, может потребоваться анализ нагрузки на ресурсы, чтобы найти узкие места.
Распределение параметров модели. Для понятия, как эволюционирует модель, необходимо изучение распределения ее параметров: количество нейронов и слоев.
Оценка архитектуры модели. Распределение параметров показывает, как модель меняется с течением времени. Показатель оптимизации или ограниченности - преобладание определенных параметров.
Адаптация архитектуры. Если распределение показывает излишнюю сложность, это может указывать на возможность упрощения модели нейросети для улучшения времени реакции.
Регулярный пересмотр и анализ ключевой метрики необходимы для обеспечения надежности модели безопасности в КИЦ, таким образом можно выявить сильные и слабые стороны модели и разработать стратегии
по ее улучшению. Снижение потерь (1обб) указывает на успешное обучение, тогда как конфузшнная матрица может обнаружить проблемы с лож-ноположительными или ложными отрицательными результатами.
Также необходимо поддерживать равновесие между сложностью модели и ее результативностью. Эффективность работы модели и оценка излишней нагрузки на систему оценивается распределением параметров модели и анализом времени реакции. Такой мониторинг и корректировки на основе этих метрик помогут поддерживать результативность и адаптивность модели, что очень важно в условиях постоянно обновляющейся киберугрозы.
В результате проведенного исследования были сделаны следующие выводы:
для усовершенствования кибербезопасности использование нейросетей является самым наилучшим методом, так как они умеют адаптироваться к новым угрозам в быстроменяющейся среде безопасности;
анализ показателей результативности показал, что данная модель является эффективной. Снижение потерь во время обучения и точность указывают на то, что модель быстро обучается и адаптируется к киберугрозам;
анализ дополнительной визуализации выявил области для оптимизации, которые позволяют определить, где могут потребоваться корректировки для улучшения эффективности модели.
Итоги анализа полученных результатов указывают на перспективность использования нейроэволюции в кибербезопасности КИЦ. Для поддержания эффективности и результативности необходимы постоянный мониторинг, корректировка адаптивности и параметров обучения нейросетей. Для изучения дополнительных методов применения нейросетей в кибербезопасности необходимы дальнейшие исследования в этой сфере.
Приспосабливающийся и развивающийся характер нейросетей в ответ на новые киберугрозы делает их ценным инструментом для повышения безопасности КИЦ. При этом такой подход необходим и в других областях кибербезопасности.
Список литературы
1. Губанов В.П., Закиров И.Ф. Методы анализа уязвимостей информационных систем // Информационные технологии и вычислительные системы. 2015. №. 2. С. 31-39.
2. Цибизова Т.Ю., Панилов П.А., Кочешков М.А. Мониторинг безопасности системы защиты информации критической информационной инфраструктуры на основе когнитивного моделирования // Известия Тульского государственного университета. Технические науки. 2023. Вып. 6. С. 33-41.
3. Гаврилов А.Г. Когнитивное моделирование в информационной безопасности. М.: Издательский Дом «Академия», 2018. 160 с.
4. Родзина О.Н., Родзин С.И. Нейроэволюция: проблемы, алгоритмы, эксперимент // Информационные технологии в науке, образовании и управлении: материалы XLIV Международной конференции и XIV Международной конференции молодых учёных IT + S&E16, Гурзуф, 22 мая 2016 года / под ред. Е.Л. Глориозова. - Гурзуф: "Институт новых информационных технологий", 2016. С. 228-233.
5. Фатин А.Д., Павленко Е.Ю. Использование механизма NEAT-гиперкуба для обнаружения кибератак на системы Интернета Вещей // Проблемы информационной безопасности. Компьютерные системы. 2021. № 1. С. 109-116.
6. Коротеев М.В. Обзор некоторых современных тенденций в технологии машинного обучения // E-Management. 2018. Т. 1. № 1. С. 26-35. DOI 10.26425/2658-3445-2018-1-26-35.
7. Бурый Я.А., Самаль Д.И. Нейроэволюционное подкрепляющее обучение нейронных сетей // Системный анализ и прикладная информатика. 2021. № 4. С. 16-24. DOI 10.21122/2309-4923-2021-4-16-24.
8. Панилов П.А., Цибизова Т.Ю., Чернега Е.В. Разработка алгоритма управления когнитивными функциями в интеллектуальных системах безопасности // Известия Тульского государственного университета. Технические науки. 2023. Вып. 10. С. 47-61.
Панилов Павел Алексеевич, аспирант, panilovp. a a hmstn. ru, Россия, Москва, МГТУ им. Н.Э. Баумана
USING NEUROEVOLUTION METHODS FOR AUTOMATING OPTIMIZATION OF CYBER SECURITY ALGORITHMS IN COGNITIVE INFORMATION CENTERS
P.A. Panilov
A security model for cognitive information centers using neuroevolution is presented, a method combining neural networks and genetic algorithms. The model uses neuroevolution to create adaptable cyhersecurity models that can learn in response to a wide range of cyher threats, including malware, phishing, and denial of service (DoS) attacks. Key performance metrics such as detection accuracy, false positive rate, and response time were examined. The analysis showed that the model can effectively learn and adapt to cyher threats, providing a reliable hasis for protecting cognitive information centers. In addition, possibilities for optimizing the model are considered, trends in training losses and the distribution of neural network parameters are studied.
Key words: neuroevolution, cyber security, cognitive information center, genetic algorithms, neural networks, security threats, malware detection, evolutionary algorithms, adaptive security systems.
Panilov Pavel Alekseevich, postgraduate, panilovp.agbmstu.ru, Russia, Moscow, Bauman Moscow State Technical University
