Главная Контакты Добавить в избранное Авторы Вопросы и ответы
,

УДК 004.9

ИСПОЛЬЗОВАНИЕ ПОЛОЖЕНИЙ ТЕОРИИ ОПАСНОСТИ В ИСКУССТВЕННЫХ ИММУННЫХ СИСТЕМАХ

Бардачев Ю.Н., Дидык А.А.

Введение. В последние годы компьютерные системы становятся все более и более сложными, и, следовательно, проблема защиты этих систем становится все более и более трудно разрешимой. Для противодействия злоумышленному использованию компьютерных систем были разработаны различные методики, такие как  межсетевые экраны (firewalls), антивирусные программы и системы обнаружения вторжений. Сложность сетей и динамическая природа компьютерных систем оставляет большое поле деятельности для усовершенствования современных методов обеспечения компьютерной безопасности.

С недавнего времени ученые стали черпать идеи из механизмов биологических систем и, в контексте компьютерной безопасности, сосредоточили свое внимание на человеческой иммунной системе (ЧИС). Человеческая иммунная система дает пример устойчивой, распределенной системы, которая обеспечивает высокий уровень защиты от постоянных атак. Исследуя механизмы человеческой иммунной системы, можно надеяться, что данная парадигма улучшит рабочие характеристики существующих систем обнаружения вторжений.

Целью работы является рассмотреть возможности применения новой иммунологической парадигмы – теории опасности – для разработки искусственных иммунных систем.

Изложение основного материала. Начиная с 1959 года, основной постулат иммунологии утверждал, что человеческая иммунная система воздействует на объекты, которые не являются частью человеческого организма. Поэтому реакция организма на такие объекты является результатом классификации ЧИС собственных клеток как своих и всех остальных клеток как чужих [1]. ЧИС выполняет классификацию, распознавая протеины, найденные на поверхности инородных клеток (известных как антигены). Инородные клетки по структуре и форме отличаются от клеток, существующих в организме человека.

Однако, существует множество примеров, когда такой подход терпит неудачу. Например, кишечный тракт подвергнут воздействию пищи и множества различных бактерий, которые не определены как «свои» и не инициируют иммунный ответ. Кроме того, модель «свой-чужой» не может объяснить явления аутоиммунных болезней. На пример, в случае рассеянного склероза, ЧИС подвергает атакам определенные клетки, которые классифицированы как «свои». В 1994, Полли Матзингер [2] выдвинула предположение, что в этом случае ЧИС не воздействует на «своих» или «чужих», а использует защитный механизм распознавания опасности. Метод обнаружения опасности является основой Теории Опасности.

Теория опасности не отрицает существования разграничения на «свой-чужой», а скорее определяет, что существуют другие факторы, приводящие к инициированию иммунного ответа. Полагается, что ЧИС отвечает на определенные сигналы об опасности, произведенные в результате клеточного некроза (неожиданного стресса и/или смерти клетки).

Смерть клетки - естественный процесс, который происходит внутри человеческого организма в результате гомеостатической стабилизации. Этот процесс является результатом работы предварительно запрограммированного и строго управляемого механизма, известного как апоптоз. Теория опасности предполагает, что в результате смерти клетки происходят различные биохимические реакции, которые в свою очередь вызывают различные сигналы опасности. Полагается, что эти сигналы могут способствовать возникновению иммунного ответа. Эта теория, вызывающая споры в рядах иммунологов, предлагает потенциальное объяснение многих явлений, где модель «свой-чужой» терпит неудачу.

Искусственные иммунные системы основаны на модели человеческой иммунной системы «свой-чужой». Алгоритмы, разработанные на основании данной модели,  показали в значительной мере свою эффективность [3]. Искусственные иммунные системы были разработаны для широкого диапазона приложений от переработки данных до информационной безопасности. Во многих случаях, эти приложения дали результаты сопоставимые со стандартными методиками или даже превосходящие их.

Например, отрицательный отбор иммунных клеток в тимусе для распознавания «свой-чужой» был применен в системе Lisys и использовался как сетевой инструмент обнаружения вторжений [4]. Эта система классифицировала нормальное поведение пользователя как «свой», и любое другое поведение как «чужой».

Однако, данный подход оказался не способным к масштабированию, как ожидалось, для использования в больших, динамических средах. Одним из объяснений такой несостоятельности данного подхода может быть то, что не все процессы, необходимые для полной функциональности иммунной системы, были включены в данную модель. Существует также ряд других факторов, объясняющих это:

       механизм отрицательного отбора несовершенен; поэтому аутореактивные реакции системы (ошибочные положительные срабатывания) неизбежны.

       граница между «своими» и «чужими» размыта, так как зачастую «свои» и «чужие» антигены совместно используют общие области.

       «свои» претерпевают изменения с течением времени. Поэтому, возможны проблемы с клетками памяти, которые позже могут оказаться неточными или даже аутореактивными.

Используя механизмы теории опасности при разработке искусственных иммунных систем, желательно учитывать следующие факторы:

       в модели, основанной на теории опасности, необходимо наличие антиген-презентирующей клетки, которая может представить соответствующий сигнал опасности.

       «опасность» – эмоциональный термин. Сигнал может не иметь никакого отношения к опасности.

       соответствующий сигнал опасности может быть позитивным (наличие сигнала) или негативным (его отсутствие).

       в биологических системах опасная зона является пространственной. В искусственных иммунных системах может использоваться другая мера близости (например, временная).

       инициализация аналога иммунного ответа в искусственной иммунной системе не должна вести к дальнейшему возникновению новых сигналов опасности. В естественных системах клетки-килеры вызывают нормальную смерть клетоки (апоптоз), а не опасность (некроз).

       для большего эффекта Матзингер предлагает примировать клетки-килеры через антиген-презентирующие клетки. В зависимости от используемой иммунной системы (это имеет смысл только для пространственно распределенных моделей) это предложение может иметь смысл.

       есть множество факторов, которые в меньшей степени относятся непосредственно к теории опасности. Например, миграция – сколько антител получает сигнал от данной антиген-презентирующей клетки.

Использование теории опасности в задачах обнаружения вторжений. Системы обнаружения вторжений (СОВ) разрабатываются для того, чтобы обнаруживать события, происходящие в компьютерной системе, которые могут поставить под угрозу ее целостность или конфиденциальность [5]. СОВ часто подразделяется на две категории: обнаружение злоумышленного поведения и обнаружение аномального поведения. Методики обнаружения злоумышленного поведения заключаются в описании атаки в виде шаблона или сигнатуры и поиске данного шаблона в контролируемом пространстве (например, сетевом трафике или деятельности системы). Эта методика эффективна при обнаружении уже известных атак. Однако, такой подход не годится для обнаружения новых, еще неизвестных атак.

Системы обнаружения аномального поведения основаны на модели поведения пользователя, которое рассматривается как «нормальное». Это достигается путем использования комбинации статистических методов и методов машинного обучения для исследования сетевого трафика или системных вызовов и процессов. Обнаружение новых атак с использованием подхода обнаружения аномалий является более эффективным, поскольку любое поведение, не определенное как «нормальное», классифицируется как атака или вторжение. Однако, «нормальное» поведение в больших динамических системах сложно полностью определить, и оно изменяется с течением времени. Это часто приводит к появлению значительного количества ложных тревог, известных как false positives. Снижение количества ложных срабатываний СОВ является ключевой проблемой, решение которой в состоянии предложить теория опасности.

Предполагается, что использование теории опасности для разработки методов обнаружения вторжений позволит создавать системы, способные эффективно реагировать как на известные угрозы информационной безопасности, так и на новые атаки, а также позволить снизить количество ложных тревог, столь обычных для систем обнаружения аномального поведения [6]. Теория опасности предполагает, что ЧИС обнаруживает сигналы опасности и продуцирует ответ, основанный на сопоставлении этих сигналов. Подобная концепция может использоваться в системах обнаружения вторжений. Это позволит реализовать систему, способную разделять поведение на апоптическое и некротическое. Апоптическое поведение может быть определено как низкоуровневые, шумовые тревоги, которые самостоятельно не формируют какого-либо значимого аномального поведения, но зачастую являются предпосылкой для атаки. Некротические тревоги могут быть результатом более серьезных атак, в результате которых имеют место существенные повреждения системы [7]. Другие виды сигналов опасности, относящиеся к самой физической системе, могут быть также использованы в этой модели. Потенциал для дальнейших разработок в этой области и успешное сопоставление таких тревог позволит значительно повысить эффективность как систем обнаружения вторжений, так и искусственных иммунных систем в целом.

Теория опасности в задачах переработки данных. На первый взгляд, не ясно как теория опасности может быть полезной для решения задачи переработки данных, описанной в [8], так как в этом случае не используются понятия «свой» и «чужой». В сущности, в задаче переработки данных вся система является «своей». Однако при более пристальном рассмотрении, выделение «своих» и «чужих» в этом случае не является проблемой.

Например, метки «свой» и «чужой» могут быть заменены на «интересные» и «неинтересные» данные. В этом случае, искусственная иммунная система применяется как классификатор. Далее, если далее предположить, что интересные данные расположены «близко» или "рядом" с другими интересными данным, то возможно использовать механизм теории опасности. Для этого необходимо определить «близко»/"рядом". Можно использовать:

       физическую близость, например расстояние в базе данных, полученное с помощью соответствующей метрики.

       корреляцию данных, измеренную статистическими методами.

       подобие времени ввода данных в базу данных.

       размер файла.

Сигнал опасности, таким образом, может быть интерпретирован как полученная порция ценная (интересной) информации. Следовательно, стимуляции подвергаются те антитела, которые соответствуют данным, которым «близка» эта ценная информация.

Принимая эту идею, можно определить сигнал опасности как идентификатор интереса пользователя. Учитывая это определение, можно представлять различные сценарии, в которых может быть полезен сигнал опасности.

Возьмем для примера пользователя, просматривающего ряд документов. Каждый документ обладает некоторыми свойствами (например, ключевые слова, заголовок, автор, дата и т.д.). Предположим, что есть искусственная иммунная система, функционирующая как «наблюдатель», антитела которой соответствуют свойствам документа. Таким образом, «интересными» документами являются те, свойства которых соответствуют антителам иммунной системы.

Когда пользователь либо явно, либо неявно проявляет интерес к текущему документу, возникает сигнал «опасности».

Стимулируемые антитела становятся исполнительными эффекторами, и таким образом иммунная система обучается и выполняет фильтрацию, т.е. ищет другие интересные документы. Интересные документы могут быть представлены вниманию пользователя. Важно то, что понимание пользователем «интересности» документа может со временем измениться и иммунная система может своевременно адаптироваться к таким изменениям.

Этот пример является иллюстрацией того, как механизмы теории опасности могут быть использованы для разработки искусственных иммунных систем, используемых для решения задач, в которых значение понятия «опасность» не является очевидным.

Выводы. Теория опасности не предоставляет новых механизмов представления данных для искусственных иммунных систем. Данная теория определяет, какие данные в искусственных иммунных системах должны быть представлены и обрабатываться: внимание должно быть сфокусировано на опасных, т.е. интересных данных. Проблема заключается в выборе соответствующего сигнала опасности. Кроме того, мера физического расстояния в биологической системе должна быть интерпретирована как адекватная мера подобия или причинно-следственной связи в искусственной иммунной системе. В данной статье был приведен пример, как можно решить эту проблему в задаче переработки данных. Однако, не смотря на перечисленные трудности, применение механизмов теории опасности для построения искусственных иммунных систем в различных областях знаний позволит значительно повысить их эффективность.


Over the last decade, a new idea challenging the classical self- non-self viewpoint has become popular among immunologists. It is called the Danger Theory. Possibilities of application of new approach for development of artificial immune systems used in the field of information security and data mining are considered in this paper. Substantive states of the danger theory are short given.

 

1.         Aickelin U., Bentley P., Cayzer S., Kim J. and  McLeod  J.,  2003,  ‘Danger  Theory: The Link between AIS and IDS?’, in Proceedings ICARIS-2003, 2nd  International Conference on Artificial Immune Systems, 147-155.

2.         De Castro, L.N. and Timmis, J., 2002, ‘Artificial Immune Systems: A New Computational Approach, Springer-Verlag, London. UK.

3.         Hofmeyr S. and Forrest S., 2000, ‘Architecture for an Artificial Immune System’, Evolutionary Computation, 8,(4), 443-473.

4.         Matzinger P., 2002, ‘The  Danger Model: A Renewed Sense of Self’, Science, 296, 301-305.

5.         Medzhitov R. and Janeway C, 2000, ‘How does the immune system distinguish self from nonself?’, Seminars in Immunology, 12, 185-188.

6.         Twycross J., 2004, ‘Immune Systems, Danger Theory and Intrusion Detection’, AISB 2004 Symposium on Immune System and Cognition (ImmCog-04) , Leeds, U.K.

7.         Venter H. and Eloff J., 2003, ‘A Taxonomy for Information Security Technologies’, Computers & Security, 22, (4), 299-307.

8.         Cayzer S., Aickelin U. A Recommender System based on the Immune Network, Proceedings of the 2002 Congress on Evolutionary Computation, 2002.

 





Ответы на вопросы [_Задать вопроос_]

Информационно-управляющие комплексы и системы

Теленик С.Ф., Ролік О.І., Букасов М.М., Андросов С.А. Генетичні алгоритми вирішення задач управління ресурсами і навантаженням центрів оброблення даних

Богушевский В.С., Сухенко В.Ю., Сергеева Е.А., Жук С.В. Реализация модели управления конвертерной плавкой в системе принятия решений

Бень А.П., Терещенкова О.В. Применение комбинированных сетевых методов планирования в судоремонтной отрасли

Цмоць І. Г., Демида Б.А., Подольський М.Р. Методи проектування спеціалізованих комп’ютерних систем управління та обробки сигналів у реально-му час

Теленик С.Ф., РолікО.І., Букасов М.М., РимарР.В., Ролік К.О. Управління навантаженням і ресурсами центрів оброблення даних при виділених серверах

Селякова С. М. Структура інтелектуальної системи управління збиральною кампанією

Еременко А.П., Передерий В.И. Принятие решений в автоматизированных системах с учетом психофункциональных характеристик оператора на основе генетических алгоритмов

Львов М.С. Алгоритм перевірки правильності границь змінення змінних у послідовних програмах

Ляшенко Е.Н. Анализ пожарной опасности сосновых насаждений в зоне Нижне-днепровских песков – самой большой пустыни в Европе

Кучеров Д.П., Копылова З.Н. Принципы построения интеллектуального автору-левого

Касаткина Н.В., Танянский С.С., Филатов В.А. Методы хранения и обработки нечетких данных в среде реляционных систем

Ходаков В.Е., Жарикова М.В., Ляшенко Е.Н. Применение когнитивного подхода для решения задачи поддержки принятия управленческих решений при ликвидации лесных пожаров

Гончаренко А.В. Моделювання впливу ентропії суб’єктивних переваг на прийняття рішень стосовно ремонту суднової енергетичної установки

Фарионова Н.А. Системный подход построения алгоритмов и моделей систем поддержки принятия решений при возникновении нештатных ситуаций

Биленко М.С., Серов А.В., Рожков С.А., Буглов О.А. Многоканальная система контроля качества текстильных материалов

Мотылев K.И., Михайлов M.В., Паслен В.В. Обработка избыточной траекторной информации в измерительно-вычислительных системах

Гончаренко А.В. Вплив суб’єктивних переваг на показники роботи суднової енергетичної установки

Гульовата Х.Г., Цмоць І.Г., Пелешко Д.Д. Архітектура автоматизованої системи моніторингу і дослідження характеристик мінеральних вод

Соломаха А.В. Разработка метода упреждающей компенсации искажений статорного напряжения ад, вносимых выходными силовыми фильтрами

ПотапенкоЕ.М., Казурова А.Е. Высокоточное управление упругой электромеханической системой с нелинейным трением.

Кузьменко А.С., Коломіц Г.В., Сушенцев О.О. Результати розробки методу еквівалентування функціональних особливостей fuzzy-контролерів

Кравчук А. Ф., Ладанюк А.П., Прокопенко Ю.В. Алгоритм ситуационного управления процессом кристаллизации сахара в вакуум-аппарате периодического действия с механическим циркулятором

Абрамов Г.С., Иванов П.И., Купавский И.С., Павленко И.Г. Разработка навигационного комплекса для автоматического наведения на цель системы груз-управляемый парашют

Литвиненко В.И., Четырин С.П. Компенсация ошибок оператора в контуре управления следящей системы на основе синтезируемых вейвелет-сетей

Рожков С.О., Кузьміна Т.О., Валько П.М. Інформаційна база як основа для створення асортименту лляних виробів.

Ускач А.Ф., Становский А.Л., Носов П.С. Разработка модели автоматизированной системы управления учебным процессом

Мазурок Т.Л., Тодорцев Ю.К. Актуальные направления интеллектуализации системы управления процессом обучения.

Ускач А.Ф., Гогунский В.Д., Яковенко А.Е. Модели задачи распределения в теории расписания.

Сідлецький В.М., Ельперін І.В., Ладанюк А.П. Розробка алгоритмів підсистеми підтримки прийняття рішень для контролю якості роботи дифузійного відділення.

Пономаренко Л.А., Меликов А.З., Нагиев Ф.Н. Анализ системы обслуживания с различными уровнями пространственных и временных приоритетов.

Коршевнюк Л.О. Застосування комітетами експертів системи нечіткого логічного виводу із зваженою істинністю.. – С. 73 – 79.

Кирюшатова Т.Г., Григорова А.А Влияние направленности отдельных операторов и направленности всей группы на конечный результат выполнения поставленной задачи.

Петрушенко А.М., Хохлов В.А., Петрушенко І.А. Про підключення до мови САА/Д деяких засобів паралельного програмування пакету МРІСН.

Ходаков В.Е., Граб М.В., Ляшенко Е.Н. Структура и принципы функционирования системы поддержки принятия решений при ликвидации лесных пожаров на базе новых геоинформационных технологий.

Сидорук М.В., Сидорук В.В. Информационные системы управления корпорацией в решении задач разработки бюджета.

Нагорный Ю.И. Решение задачи автоматизированного расчета надежности иасуп с использованием модифицированного метода вероятностной логики

Козак Ю.А. Колчин Р.В. Модель информационного обмена в автоматизированной системе управления запасами материальных ресурсов в двухуровневой логистической системе

Гожий А.П., Коваленко И.И. Системные технологии генерации и анализа сценариев

Вайсман В.А., Гогунский В.Д., Руденко С.В. Формирование структур организационного управления проектами

Бараненко Р.В., Шаганян С.М., Дячук М.В. Аналіз алгоритмів взаємних виключень критичних інтервалів процесів у розподілених системах

Бабенко Н.И., Бабичев С.А. Яблуновская Ю.А. Автоматизированная информационная система управления учебным заведением

Яковенко А.Е. Проектирование автоматизированных систем принятия решений в условиях адаптивного обучения с учетом требований болонского процесса

Бараненко Р.В Лінеаризація шкали і збільшення діапазону вимірювання ємностей резонансних вимірювачів

Головащенко Н.В. Математичні характеристики шумоподібно кодованих сиг-налів.

Шерстюк В.Г. Формальная модель гибридной сценарно-прецедентной СППР.

Шекета В.І. Застосування процедури Append при аналізі абстрактних типів даних модифікаційних запитів.

Цмоць І.Г. Алгоритми та матричні НВІС-структури пристроїв ділення для комп'-ютерних систем реального часу.

Кухаренко С.В., Балтовский А.А. Решение задачи календарного планирования с использованием эвристических алгоритмов.

Бараненко Р.В., Козел В.Н., Дроздова Е.А., Плотников А.О. Оптимизация рабо-ты корпоративных компьютерных сетей.

Нестеренко С.А., Бадр Яароб, Шапорин Р.О. Метод расчета сетевых транзакций абонентов локальных компьютерных сетей.

Григорова А.А., Чёрный С. Г. Формирование современной информационно-аналитической системы для поддержки принятия решений.

Шаганян С.Н., Бараненко Р.В. Реализация взаимных исключений критических интервалов как одного из видов синхронизации доступа процессов к ресурсам в ЭВМ

Орлов В.В. Оценка мощности случайного сигнала на основе корреляционной пространственной обработки

Коджа Т.И., Гогунский В.Д. Эффективность применения методов нечеткой логики в тестировании.

Головащенко Н.В., Боярчук В.П. Аппаратурный состав для улучшения свойств трактов приёма – передачи информации в системах промышленной автоматики.