РАЗДЕЛ 2
КОМПЛЕКСНЫЙ АНАЛИЗ ПОВЕДЕНИЯ
ПОЛЬЗОВАТЕЛЕЙ КОМПЬЮТЕРНЫХ СИСТЕМ
В данном разделе обосновывается комплексный подход к анализу поведения пользователей компьютерных систем с целью мониторинга и выявления аномальной деятельности. Предлагается общая структура комплексной модели и описание ее составляющих (интерактивной, сеансовой и модуля анализа трендов), анализируются преимущества предложенного подхода по сравнению с существующими моделями и подходами.
2.1. Постановка задачи диссертационного исследования
Анализ существующих моделей поведения пользователей, проведенный в предыдущем разделе, показал, что в большинстве случаев они являются простыми и не позволяют описать все аспекты поведения. Так, во многих моделях выявление аномальной деятельности пользователей осуществляется в рамках одного временного масштаба. Например, существуют модели, которые учитывают только динамические свойства поведения пользователей, но при этом не анализируют его статистические свойства. Т.е. мониторинг и выявление аномалий происходит в режиме реального времени во время сеанса работы пользователя. И наоборот, существуют модели, которые основаны только на анализе статистической информации о деятельности пользователей за сеанс в целом. В таких моделях выявление аномальной деятельности осуществляется в отложенном режиме. В большинстве работ также не ставится вопрос о выявлении изменений поведения пользователей, не связанных с аномалией, и определении момента времени, когда модель необходимо перенастраивать (т.е. адаптировать к изменению поведения пользователя).
Поэтому актуальной является задача разработки эффективных методов системного анализа и моделей поведения пользователей компьютерных систем, которые будут учитывать как динамические, так и статические свойства поведения пользователей, а также возможные тренды его поведения.
В диссертационной работе ставится задача разработки комплексного подхода к анализу поведения пользователей с целью выявления аномалий в его работе. Данный подход должен учитывать динамические и статистические свойства поведения, а также возможные изменения в поведении, не связанные с аномалиями.
Определение 2.1. Под динамическими свойствами будем понимать последовательность действий пользователя (запуска процессов) в течении одного сеанса работы.
Определение 2.2. Статистическими (или статическими) свойствами будем называть интегральные характеристики работы пользователя в течении сеанса.
При построении моделей поведения пользователей можно выделить следующие общие этапы:
1. Сбор и предварительная обработка данных о работе пользователей.
2. Анализ данных с целью выделения информативных признаков или уменьшения размерности данных (создание так называемого профиля пользователя).
3. Разработка методов обработки данных и построение модели.
4. Верификация модели и интерпретация полученных результатов.
В диссертационной работе будут рассмотрены все перечисленные этапы.
После того, как для каждого пользователя компьютерной системы построена модель, выявление аномальной деятельности должно происходить следующим образом: если результаты текущей работы пользователя соответствуют ранее построенной модели, то такое поведение можно считать нормальным. В противном случае - аномальным.
2.2. Предлагаемая структура комплексной модели
Для адекватного описания поведения пользователей компьютерных систем и выявления аномалий в его работе предлагается использовать комплексный подход, включающий три компонента:
интерактивную (прогнозную) составляющую, описывающую работу пользователя во время сеанса на уровне выполняемых команд (или запускаемых процессов);
сеансовую (статистическую) составляющую, которая основана на анализе интегральных данных о работе пользователя за сеанс в целом;
модуль анализа трендов, позволяющий выявить возможные тренды в работе пользователя.
Предлагаемая структура комплексной модели представлена на рис. 2.1.
Рис. 2.1. Структура комплексной модели поведения пользователя
Интерактивную и сеансовую составляющие комплексной модели предлагается строить на основе нейронных сетей [82]. Применение нейронных сетей обеспечивает интеллектуальный и робастный подход к анализу и обобщению данных, полученных во время работы пользователя. В общем случае существуют различные нейросетевые парадигмы. Например, ассоциативные сети, которые используются для решения задач ассоциативной памяти и восстановления зашумленных образов, сети Кохоннена, которые используются для кластеризации образов, сети на основе радиальных базисных функций (РБФ), предназначенные для решения задач классификации образов, и т.д. Для решения задачи диссертационного исследования наилучшим выбором является многослойная сеть прямого распространения информации. Использование сетей данного вида обусловлено тем, что, согласно теореме Колмогорова, они являются универсальными аппроксиматорами [82] и могут эффективно применяться как для решения задач прогнозирования, так и классификации. Применение нейронных сетей одного и того же вида в разных составляющих комплексной модели также обеспечивает преимущества при реализации модели. Реализовав одну нейросетевую парадигму, ее можно использовать как в интерактивной, так и в сеансовой составляющей, что позволяет обеспечить робастность предлагаемого подхода.
Конкретный вид составляющей комплексной модели пользователя обуславливает использование разных типов нейронных сетей прямого распространения. В случае интерактивной составляющей нейронная сеть прогнозирует команды пользователя на основе предыдущих. Соответственно она используется в качестве интерполятора. В случае сеансовой составляющей нейронная сеть используется в качестве классификатора и на основе интегральных данных, которые были получены за сеанс, определяет, на сколько активность пользователя отвечает ранее построенной модели.
В следующем подразделе более подробно изложены принципы работы нейронных сетей прямого распространения