Искусственные иммунные системы как средство сетевой самозащиты

Искусственные иммунные системы как средство сетевой самозащиты

В наши дни довольно часто приходится слышать о технологиях, работающих по тем же самым принципам, что и органы человека, — средства обработки зрительных образов, искусственная сетчатка, нейронные сети, наконец.

Эта тема неоднократно освещалась и на страницах “Компьютерного Обозрения”. На сей раз давайте поговорим еще об одной вещи, которую специалисты по информационным технологиям решили позаимствовать

у природы, — об иммунитете.

Что такое иммунитет, знает практически каждый. Поэтому вы наверняка уже догадались, для чего предназначены искусственные иммунные системы (AIS — Artificial Immune System) — для защиты.

Однако прежде чем начать разговор о том, как работают такие системы, необходимо вкратце описать, каким же образом функционирует иммунная система человека. Сразу заметим, что описание это будет очень упрощенным, поскольку его цель — лишь обозначить те основные элементы, которые переносятся в компьютерные сети.

Обратите внимание

Если можно так выразиться, главным принципом действия человеческой иммунной системы является сравнение определенных “шаблонов” с находящимися внутри организма телами и выявление таким образом инородных тел, называемых антигенами.

Роль упомянутых шаблонов выполняют лимфоциты, постоянно генерируемые спинным мозгом и тимусом с учетом информации, содержащейся в ДНК (такая информация все время накапливается, и процесс этот называется эволюцией генной библиотеки), и разносимые организмом через лимфатические узлы, причем каждый тип лимфоцита отвечает за обнаружение какого-то ограниченного числа антигенов. При генерировании лимфоцитов имеется одна очень важная стадия, называемая негативной селекцией, на которой происходит своеобразный тест на соответствие родным клеткам организма: если подобное соответствие имеет место, “зародышевый” лимфоцит убивается, ведь в противном случае, как несложно догадаться, он будет бороться с собственными клетками. Иными словами, благодаря негативной селекции создаются “шаблоны”, содержащие ту информацию, которая внутри организма отсутствует, и если какое-то тело подходит под данный шаблон, значит, оно явно чужое.

В случае обнаружения лимфоцитами антигена на основании соответствующего шаблона вырабатываются антитела, которые и уничтожают его.

Здесь задействуется еще один процесс — клональная селекция, во время которой происходит своеобразный естественный отбор антител: выживают лишь те, что максимально подходят под найденный антиген.

При этом сведения о сгенерированных антителах “заносятся” в упоминавшуюся выше генную библиотеку.

Специалистами, работающими в области AIS, отмечаются три основных свойства иммунной системы человека: во-первых, она является распределенной; во-вторых, она самоорганизующаяся; и в-третьих, она относительно “легковесна”, или, говоря на “информационном” языке, не особо требовательна к вычислительным ресурсам. Именно этими свойствами, по мнению многих экспертов, должна обладать система обнаружения вторжений в сеть (IDS — Intrusion Detection System), которая по своим характеристикам приближалась бы к максимально эффективной.

IDS для одного сегмента сети, построенная на принципах искусственной иммунной системы, подразделяется на основную и набор вторичных. Основная является неким аналогом спинного мозга, а вторичные — аналогами лимфатических узлов.

В основной IDS на базе AIS реализуются, а точнее, имитируются два процесса —
эволюция генной библиотеки и негативная селекция.

Важно

На этапе эволюции генной библиотеки происходит накопление информации о характере аномалий сетевого трафика.

Генная библиотека искусственной иммунной системы должна содержать “гены” (это могут быть, например, данные о характерном количестве пакетов, их длине, структуре, типичных ошибках и т. д.

), на основании которых будут генерироваться особые программные агенты — детекторы, служащие аналогами лимфоцитов.

Начальные данные для формирования генной библиотеки выбираются, исходя из особенностей применяемых сетевых протоколов, в частности их слабых с точки зрения защиты мест. В дальнейшем, при обнаружении детекторами аномальной активности в сети к библиотеке будут добавляться соответствующие этим проявлениям новые “гены”. Следует заметить, что поскольку размер генной библиотеки ограничен, в ней сохраняются

только “гены”, проявляющиеся наиболее часто.

На втором этапе путем произвольного комбинирования “генов” происходит генерирование так называемых пре-детекторов (аналоги “зародышевых” лимфоцитов), которые затем с помощью механизма той самой негативной селекции проверяются на совместимость (или точнее, на несовместимость) с нормальным сетевым трафиком. При этом используются данные о характере такого трафика (профили), формируемые так называемым автоматическим профайлером (automated profiler), постоянно анализирующим поток данных, поступающий от маршрутизатора, стоящего на входе в сетевой сегмент.

Конечной целью в этом случае является создание ограниченного набора детекторов, с помощью которого можно было бы обнаружить максимальное число сетевых аномалий. Этот набор рассылается по узлам сети, образуя вторичную IDS.

Стоит отметить, что разработанные на сегодняшний день алгоритмы негативной селекции оперируют вероятностными характеристиками — вместо точного соответствия используется частичное, степень которого может произвольно варьироваться. Ее изменение, как несложно догадаться, в конечном итоге должно приводить к уменьшению или увеличению частоты “ложных срабатываний”.

При обнаружении аномалии происходит клональная селекция — соответствующий ей детектор “размножается” и рассылается на все узлы. Окончательное же решение о том, происходит вторжение в сеть или нет, принимается на основании данных от нескольких узлов.

Каждый узел, а также основная IDS снабжены еще одним компонентом — коммуникатором, который, в частности, оперирует таким параметром, как уровень риска.

В случае, если на каком-то узле замечена подозрительная активность, коммуникатор поднимает свой уровень риска и отсылает соответствующее сообщение коммуникаторам других узлов и основной IDS, и те также поднимают свои уровни риска.

При появлении аномалий сразу на нескольких узлах в течение короткого промежутка времени этот уровень очень быстро растет, и если будет достигнут заданный порог, администратор

сети получит сигнал тревоги.

Многие специалисты склонны проводить параллели между AIS и искусственными нейронными сетями: например, и те и другие способны изучать динамику и статистические свойства наблюдаемой системы, для достижения максимальной эффективности и в том и в другом случае необходимо подбирать значения управляющих параметров и т. д.

Совет

В то же время имеется и ряд существенных отличий, являющихся в первую очередь следствием различия между имитируемыми системами — нервной и иммунной.

Скажем, первая состоит из фиксированных элементов (нейронов), а вторая — из блуждающих (лимфоцитов), первая управляется одним центральным органом (мозгом), а второй подобное “централизованное” управление не свойственно, в первой взаимодействие между элементами является постоянным,

а во второй носит кратковременный характер и т. п.

Масштабные исследования в области искусственных иммунных сетей ведутся относительно недавно — большинство работ по данной тематике относится к 90-м годам. Тем не менее не исключено, что довольно скоро их возможности начнут использоваться на практике.

Так, недавно ученые Лондонского Королевского колледжа сообщили о разработке в рамках проекта The Computational Immunology for Fraud Detection (CIFD) защитной системы для Internet на базе AIS. Предполагается, что на завершение указанного проекта уйдет еще около трех лет.

Ну а первым пользователем системы обнаружения

вторжений, реализующей функции AIS, должна стать почтовая служба Великобритании.

Источник: https://itc.ua/articles/iskusstvennye_immunnye_sistemy_kak_sredstvo_setevoj_samozashhity_4270/

Иммунная система для компьютера

СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Иммунная система для компьютера

Появление компьютеров послужило импульсом к развитию многих наук, но сразу стало понятно, что созданные искусственные алгоритмы не всегда в состоянии рационально решить задачу. Там, где человек сразу видит решение, компьютер лишь может перебирать варианты ответа.

Между тем природа терпеливо оттачивает свои алгоритмы уже не один миллион лет, человечеству не сравниться с такими сроками. Именно поэтому в последнее время наметился большой интерес к «натуральным» алгоритмам.

Нейронные сети и генетические алгоритмы уже нашли свое применение во многих сферах, в том числе применяют их и в деле защиты информации.

Если посмотреть на сегодняшние решения по защите компьютерных систем, их можно сравнить с превентивными мерами по недопущению заболевания, вроде правил общей гигиены, либо с лекарствами, помогающими укрепить организм, как правило, только от определенной болезни.

Но природа дала человеку более совершенное средство, помогающее справиться с неизвестными болезнями – иммунитет. Именно это свойство пытаются сейчас выработать у компьютерных систем специалисты.

Такие системы, заимствующие у природы принцип иммунитета, называют искусственными иммунными системами (AIS – Artificial Immune System).

Для понимания общего принципа работы такой системы необходимо вкратце напомнить, как работает естественная иммунная система, предохраняющая человека от опасных инородных тел. Их роль в организме аналогична таковой в компьютерных системах.

Обратите внимание

Хотя имеется достаточно много различий между живыми организмами и компьютерными системами, но цель – обозначить подобия, переносимые в компьютерную защиту.

Защита организма многослойна, здесь и кожа, второй барьер – pH, температура, делающая невозможной существование инородных организмов и, наконец, наиболее сложная из них, иммунная система человека.

Иммунологи описывают проблему определения заразы внутри организма как сравнение неких шаблонов с попадающими внутрь организма телами (или антигенами) и выявления между ними различий. В роли шаблонов выступают лимфоциты, которые вырабатываются В- и Т-клетками спинного мозга и тимуса.

Причем генные библиотеки эволюционируют постоянно, поэтому изменяется и содержащаяся в них информация. В этом процессе имеется несколько интересных моментов. Так, лимфоциты обнаруживают только некоторое ограниченное подмножество патологий, и поэтому для гарантированного обнаружения всех возможных вариантов во всем организме их должно быть достаточное количество (не говоря уже о том, что около 100 миллионов замещаются каждые 2-3 дня в процессе, называемом apoptosis).

Иммунная система обладает двумя типами реакции: первичная и вторичная. Первичная реакция происходит, когда иммунная система сталкивается с антигеном впервые, при этом он изучается, и на основании составленного шаблона вырабатываются антитела, уничтожающие антиген. Это длительный процесс, занимающий около 3 недель.

Но так как выработать одинаковые антитела довольно тяжело (телесная гипермутация), некоторые из них не вполне соответствуют антигену. Для устранения таких не соответствующих шаблону антител запускается механизм клональной селекции, позволяющий отобрать максимально соответствующие антигену антитела.

Учитывая короткий срок жизни, и во избежание повторения всей процедуры с самого начала, информация запоминается. Процесс запоминания – тема больших дебатов, хотя многие сходятся в том, что некоторые B-ячейки выступают как ячейки памяти, но для нашего случая это, впрочем, и не важно.

Теперь при повторном заражении запускается механизм вторичной реакции, быстро реагирующий на вторжение. И еще один интересный (но редкий) процесс происходит в организме, называется clonal deletion и напоминает тестирование систем обнаружения атак. На стадии выработки лимфоцитов некоторые из них мутируют до такой степени, что начинают нападать на сам организм.

Важно

Естественно, такие лимфоциты убиваются, но в результате в организме заранее создаются шаблоны, соответствие с которыми сразу же выдает чужеродность.

Читайте также:  Новый метод машинного обучения обучается у людей

Итак, иммунная система человека обладает некоторыми свойствами:

  • индивидуальный подход к уникальным событиям;
  • система является распределенной;
  • без централизованного контроля;
  • самообучаемая, обладающая памятью, ошибкоустойчивая и самотестирующаяся;
  • относительно проста и легковесна.

А как раз именно этими свойствами, по мнению специалистов, должна обладать эффективная система обнаружения атак.

Даже такую упрощенную систему очень трудно полностью перенести в компьютерный мир, да и заниматься этим, очевидно, никто не будет, слишком большие различия.

Компьютерные системы, моделирующие T-ячейки, используются для детектирования аномалий, например, при обнаружении компьютерных вирусов, в то время как системы, моделирующие поведение B-ячеек, ориентируются главным образом на проблемы распознавания образов и оптимизации. Отличий компьютерной реализации от биологической довольно много.

Так, вместо многих видов датчиков, отвечающих за свой участок и обнаружение своего антигена, используется, как правило, один тип, совмещающий в себе сразу несколько функций. AIS строится, как правило, только на двух центральных положениях: антиген – антитело.

Исходя из особенностей сервиса или протокола, выбираются исходные данные для формирования генной библиотеки, которая затем пополняется в процессе обнаружения аномальной активности (т.е. эволюции генной библиотеки). Кроме того, механизмы негативной селекции оперируют вероятностными характеристиками и вместо полного соответствия параметров довольствуются частичным.

Изменение коэффициента соответствия изменяет количество ложных срабатываний системы. В качестве замены белку антигенов выступают системные вызовы или сетевые пакеты.

Для уменьшения количества антител детекторы конкурируют между собой, подобно тому, как лимфоциты конкурируют при связывании инородного антигена, и такая система оставляет соответствующие только наиболее часто проявляющимся явлениям.

Совет

Кроме того, такая система имитирует механизм негативной селекции, в результате которой генерируются ранее неизвестные сигнатуры, которые в свою очередь сравниваются с нормальным профилем. В итоге всего такая система создает минимально возможный набор детекторов, способных обнаруживать максимальное число аномалий.

Один из компьютеров может играть роль тимуса, и при наличии вторичных IDS весь набор рассылается и на остальные узлы. Хотя в принципе такая централизация необязательна и лимфоциты при обнаружении аномалии могут самостоятельно копироваться на остальные узлы. При обнаружении проблем возможна разная реакция. Например, проблемная машина или сервис может быть просто изолирован (перестройкой firewall, маршрутизатора, перезагрузкой, остановкой и пр.), или IDS пытается перестроиться на параметры атакующего. Сетевые реализации AIS имеют еще один компонент, называемый коммуникатором, оперирующий таким параметром, как уровень риска. При обнаружении аномалий коммуникатор поднимает свой уровень риска и отсылает значение на другие системы, которые также поднимают свой уровень. Поэтому при появлении аномалий сразу на нескольких системах общий уровень быстро растет, и администратор будет оповещен об опасности.

Рисунок 1

После прочтения всего вышеизложенного у многих может возникнуть вопрос, в чем же отличие и преимущество искусственных иммунных систем от искусственных нейронных сетей.

Работы по изучению искусственных нейронных сетей (Artificial Neural Networks – ANN) ведутся сравнительно давно и отнюдь небезуспешно, основной пик работ приходится где-то на семидесятые-восьмидесятые.

В результате разработано множество теорий и алгоритмов, теория Дарвинизма привела к появлению эволюционных алгоритмов (evolutionary algorithms – EA).

Обе эти сети способны обучаться, ведя наблюдение за изменением параметров системы, и как результат достигать максимально возможной эффективности, имеют ассоциативную память, но в любом случае необходима первоначальная настройка и подгонка параметров.

Однако отличие нервной и иммунной систем человека накладывает и свои отпечатки на алгоритмы работы. Для AIS характерны самоорганизация и эволюция, для ANN поведение во многом зависит от алгоритма.

Количество ячеек AIS не является строго фиксированным, их положение изменяется динамически, происходит постоянное производство и отмирание ячеек, нейроны же имеют конкретное местоположение, и количество их фиксировано. Более того, для первой не характерно длительное взаимодействие между элементами, концентрация и характер их динамически изменяется, для второй оно постоянно и задается при подключении. Далее, для AIS, как правило, нехарактерно централизованное управление и даже более того, оно противоречит самой природе вопроса, в ANN всем заправляет мозг, настраивающий веса. Одна из проблем для изучающих ANN состоит в том, что иногда трудно выделить, что именно сеть сейчас «знает».

Более подробно этот вопрос освещен в документах «Immune and Neural Network Models:

Обратите внимание

Первые разработки по иммунным системам были известны еще в середине 70-х, но все же масштабные исследования начались совсем недавно, в конце 90-х годов. Поэтому стоит отметить, что практических реализаций в больших количествах ждать пока не приходится.

Но алгоритмы AIS уже находят применение при распознавании образов, в некоторых оптимизационных задачах, поиске и устранении неисправностей, в том числе и аппаратных (http://www.osp.ru/cw/2001/47/000_35.htm), обнаружении вирусов, биоинформатике и многих других задачах.

Поиск информации о применении AIS в системах защиты при помощи поисковиков несколько затруднен, так как по запросам выводится большое количество ссылок, не всегда соответствующих искомому. Большая часть проектов сегодня предоставляет только теоретическую информацию, которая будет интересна в первую очередь математикам и программистам.

В любом случае свои исследования стоит начинать с сайта проекта ARTIST – ARTificial Immune SysTems (http://www.artificial-immune-systems.org), где вы найдете ссылки на проводимые конференции, новости и некоторую другую информацию. Задачей проекта ISYS (http://www.aber.ac.

uk/~dcswww/ISYS) является разработка теории AIS, исследование возможности ее применения в конкретных областях и предоставление инструмента, позволяющего самому собрать и испытать такую систему. Самая большая коллекция ссылок по теме AIS расположена по адресу: http://www.dca.fee.unicamp.br/~lnunes/immune.html, плюс здесь вы найдете руководство, и несколько алгоритмов, демонстрирующих работу AIS в Matlab.

Единственным русскоязычным материалом по защите компьютеров при помощи AIS, является статья Алексея Гвозденко «Искусственные иммунные системы как средство сетевой самозащиты» (http://itc.ua/article.phtml?ID=4270).

Computer Immune Systems (http://www.cs.unm.edu/~immsec) – единственный найденный проект по применению AIS для защиты компьютеров. Интересен он еще и потому, что предоставляет не только теоретические наработки, но и код.

https://www.youtube.com/watch?v=VHtRvGJl_Ic

Идеи от иммунологии применительно к сегодняшним проблемам компьютерной безопасности нашли здесь реализацию в четырех методах детектирования, которые не только способны обнаружить аномалии, запоминают их и позволяют автоматически среагировать на вторжение.

Сетевая система обнаружения атак Lisys для обнаружения сетевых аномалий контролирует проходящие TCP SYN-пакеты. В случае обнаружения необычных TCP-связей, программа посылает предупреждение по e-mail. Далее решение принимает администратор.

Если администратор ничего не предпринимает, то детектор, пометивший подключение как аномальное, исчезнет и не будет больше беспокоить. Если аномалия подтверждена, то детектор станет частью набора и будет предупреждать пользователя всякий раз при обнаружении подобного подключения.

Состоит Lisys из распределенных детекторов размером 49 байт, контролирующих «data-path triple», т.е. IP-адресов источника и назначения, а также порт.

Важно

Сначала детекторы генерируются случайно и в процессе работы соответствующие нормальному трафику постепенно убираются, кроме того, детекторы имеют время жизни, и в итоге весь набор, кроме записанных в память, через некоторое время регенерируется.

При таком подходе возможно появление незаполненных мест в наборе, которое устраняется использованием масок перестановки, позволяющих повторно отобразить «data-path triple», замеченное различными детекторами. Для уменьшения количества ложных тревог используется порог активации, превышение которого приводит к срабатыванию датчика. Этот порог активации, как говорилось выше, общий на всю сеть.

Process Homeostasis (pH) (рис. 2) представляет собой расширение к ядру Linux, позволяющее обнаруживать и при необходимости замедлять необычное поведение программы. Для обнаружения необычного поведения вначале автоматически создаются профили системных вызовов, сделанных различными программами.

На создание такого профиля уходит некоторое время, после чего программа может действовать самостоятельно, вначале включая экспоненциальную задержку по времени для аномальных вызовов, а затем и вовсе уничтожая процесс.

Так как контролировать все вызовы накладно и нерационально, то система работает только с системными вызовами, имеющими полный доступ к ресурсам компьютера.

Рисунок 2

STIDE (Sequence Time-Delay Embedding) – также был призван помочь в обнаружении внедрений, распознавая необычные эпизоды системных вызовов.

В процессе обучения stide формирует базу данных из всех уникальных, непрерывных системных вызовов и затем делит их на части предопределенной фиксированной длины.

Во время работы stide сравнивает эпизоды, полученные при новых трассировках с уже имеющимися в базе данных, и сообщает о критерии аномалии, указывающем, сколько новых вызовов отличаются от нормы.

Совет

RISE (Randomized Instruction Set Emulation Building) – эта разработка, основанная на документе «Diverse Computer Systems» (http://www.cs.unm.edu/~immsec/publications/hotos-97.pdf) являет собой попытку решения еще одной из проблем – однородности компьютерных систем. Как и в природе, если какой-то вид становится доминирующим, то он становится подвержен болезням, заражению и пр.

В компьютерном мире ситуация аналогична. Сегодня стараются делать компьютерные системы более совместимыми и более легкими для использования, и как результат, сейчас можно встретить в одной сети несколько сотен компьютеров практически одинаковой конфигурации, и когда уязвимость найдена, получается весьма благодатная почва для размножения компьютерных вирусов и для вторжения.

Эффекта рандомизации можно достигнуть, изменяя исходные коды программы, при трансляции, в момент загрузки, комбинируя эти и другие способы. Все они имеют как положительные, так и отрицательные стороны. В RISE рандомизируются некоторые инструкции исполняемого двоичного файла в момент загрузки, для этого они складываются XOR с неким случайным числом.

Этот способ имеет ряд преимуществ, так, не надо хранить измененные программы, возможно использование нового ключа при каждом исполнении, не требуется исходный код, не требуется настройка. Такой компьютер с «индивидуализированной» системой команд будет иметь большую устойчивость к уязвимостям, вроде переполнения буфера.

Так как изменить системы команд процессора довольно проблематично, то для реализации этой идеи используется x86 эмулятор Valgrind (http://valgrind.kde.org), первоначально предназначенный для отладки памяти. На нынешнем этапе RISE представляет собой скорее концепцию, так как Valgrind сильно замедляет процесс, и для нормальной работы эмулятору требуется большая оптимизация.

Работает RISE (как и остальные утилиты, кроме lisys ) пока только с ядрами 2.2 и 2.4, поэтому при попытке собрать с ядром серии 2.6, скорее всего, получите такое сообщение.

checking for the kernel version… unsupported (2.6.4-52-default)configure: error: Valgrind works on kernels 2.2 and 2.4

Еще один проект Computational Immunology for Fraud Detection (CIFD) (http://www.icsa.ac.uk/CIFD) занимается разработкой системы защиты на базе технологии AIS, которую затем планируется использовать в почтовой службе Англии, но на момент написания статьи проект предоставлял только общую информацию о разработках.

AIS – относительно новая область исследований. Изучая и подражая механизмам естественной иммунной системы, можно получить довольно эффективные решения.

Так, новый подход к обнаружению атак, примененный в компонентах Computer Immune Systems, позволяет выявить и остановить широкое разнообразие атак, при этом такие системы не требуют модификаций и минимальной администрации, так как способны самостоятельно адаптироваться к новым угрозам, при этом потребляют незначительное количество системных ресурсов. Остается надеяться, что подобные разработки в скором времени выберутся из концептуального состояния и станут доступны для широкого использования.

Читайте также:  Андроид от toshiba

Источник: http://samag.ru/archive/article/370

Знакомство с искусственными иммунными системами

Искусственные иммунные системы – еще одна вдохновленная теоретической биологией концепция, способная решить множество практических задач, в том числе и в мире больших данных – причем их круг не ограничивается моделированием.

Теория. Естественные и искусственные иммунные системы

Обычному человеку, знакомому с биологией и медициной на бытовом уровне, иммунная система представляется как сложнейший механизм, который в рабочем состоянии каким-то волшебным образом защищает организм от внешних «агрессоров».

Биологи-теоретики это «волшебство» давно расшифровали, и в упрощенном варианте получается вот что: иммунная система работает по принципу разделения всех клеток в организме на «своих» (родные клетки организма) и «чужих» (антигены). Далее антигены классифицируются для того, чтобы система могла запустить подходящий защитный механизм.

Занимаются этим распознаванием и классификацией так называемые иммунокомпетентные клетки, среди которых главными являются лимфоциты (если быть точнее, две их группы – Т- и В-лимфоциты). После того, как антиген распознан, B-лимфоциты синтезируют антитела, способные бороться с конкретным антигеном.

После его разрушения или нейтрализации часть антител остается в организме в качестве иммунной памяти – на случай, если в дальнейшем тот же антиген снова «забредет» в организм. При этом, во второй раз иммунная реакция организма на антиген – так называемый вторичный ответ – будет гораздо быстрее.

Обратите внимание

Так что же вдохновило создателей искусственных иммунных систем? Если присмотреться внимательнее, естественная иммунная система способна одновременно обрабатывать большие объемы данных – по сути, она производит параллельные вычисления, используя память для эффективного решения задач, подобных тем, что приходилось решать до этого, и одновременно занимаясь поиском решений новых, нетривиальных для нее задач.

Согласитесь, искусственная модель такой системы теоретически способна на многое – и действительно, когда в начале нового тысячелетия искусственную иммунную систему определили как автоматизированную интеллектуальную систему, использующую принципы теоретической иммунологии, стало понятно, что с середины 80-х, когда концепция только появилась, она прошла большой путь и ей есть куда развиваться.

Практика. Алгоритмы и их применение в решении конкретных задач

Алгоритмы, или методы работы искусственной иммунной системы (ИИС), основаны на конкретных теориях иммунологии, объясняющих функции и поведение антител адаптивной иммунной системы.

Для начала рассмотрим общий принцип работы ИИС в виде примерного алгоритма, входящего в класс клональных алгоритмов отбора:

  1. На входе в систему – набор распознаваемых образцов S; на выходе мы должны получить набор «распознавателей» M, которые в дальнейшем будут способны классифицировать новые для системы образцы. Создается случайный набор антител A.
  2. Далее, для каждого образца из набора S происходит следующее:
    1. определяется мера аффинности (affinity – характеристика, определяющая сходность генетического набора антигена (образца) и антитела; в ИИС определяется с помощью математических расстояний) с каждым конкретным антителом из набора A;
    2. антитела из поднабора A с наивысшей аффинностью клонируются, причем число клонов каждого антитела пропорционально его аффинности;
    3. каждый клон подвергается мутации (изменению атрибутов; степень зависит от целевой функции), после чего вся популяция клонов одного антитела сравнивается с родителем. Если мутировавший клон оказывается лучше родителя, то он заменяет последний в наборе A. Копии антител с наивысшей аффинностью отправляются в набор M;
    4. n антител c самой низкой аффинностью заменяются в наборе A на случайно сгенерированные антитела.

Существует еще три основных класса алгоритмов отбора, которые используют ИИС:

  • Негативные алгоритмы отбора, основанные на принципе позитивной и негативной селекции. Применяются эти методы, например, для классификации и распознавания аномалий в данных.
  • Иммунные сетевые алгоритмы используют структуру сетевого графа, где узлы – это продуцируемые антитела, а в ходе алгоритма обучения расстояние между ними растет или сокращается в зависимости от степени их условной «близости». Такая структура метода позволяет использовать его для решения задач кластеризации, визуализации данных и даже для разработки искусственных нейронных сетей.
  • Дендритные алгоритмы основаны на модели дендритной клетки – еще одного вида иммунокомпетентных клеток.

В целом, ИИС позволяют решать большое количество задач, особенно, связанных с данными – кроме классификации и кластеризации, ИИС способна находить аномалии, распознавать образы и сигналы, моделировать системы поиска и оптимизации, самоорганизующиеся системы, а также системы компьютерной безопасности.  Получаем исключительно полезную и интересную концепцию, которую с успехом можно развивать и использовать дальше.

Источник: http://datareview.info/article/znakomstvo-s-iskusstvennyimi-immunnyimi-sistemami-zadachi-algoritmyi-primenenie/

Искусственная иммунная система

Искусственные иммунные системы (англ. АИС — Artificial immune system) относятся к классу вычислительных интеллектуальных систем, использующих принципы иммунной системы позвоночных. Для решения задач эти алгоритмы используют свойства иммунной системы к обучению и памяти.

Определение

Искусственная иммунная система (ШИС) — это адаптивная вычислительная система, использующая модели, принципы, механизмы и функции, описанные в теоретической иммунологии, которые применяются для решения прикладных задач.

Несмотря на то, что природные иммунные системы изучены далеко не полностью, на сегодня существуют как минимум три теории, объясняющие функционирование иммунной системы и описывают взаимодействие ее элементов, а именно: теория отрицательного отбора, теория клональной селекции и теория иммунной сети. Они легли в основу создания трех алгоритмов функционирования ШИС. Сфера применения ШИС включая такие области (но не ограничивается ими):

  • методы вычислений
  • когнитивные модели
  • выявления аномалий и неполадок
  • мультиагентные системы
  • модели самоорганизации
  • модели коллективного интеллекта
  • системы поиска и оптимизации
  • модели автономных распределенных систем
  • модели искусственной жизни
  • системы компьютерной безопасности
  • методы получения информации
  • обработка сигналов и изображений

История

ШИС начало свое существование в середине 1980-х годов по исследованиям Фармера, Пакарда и Перелсона в 1986, а также работой Варела (1990). Форрест и Кепхарт опубликовали свои первые работы о ШИС в 1994 году.

Дасгупта выполнил исследования Negative Selection Algorithm. Хант и Кук начали работы по моделированию иммунной сети в 1995 году; Тиммис и Нил продолжили эту работу и сделали несколько улучшений.

Де Кастро и фон Зубен, а также Никосии и Cutello в 2002 году выполнили исследование на тему: clonal selection. Первая книга по ШИС была издана под редакцией Дасгупта в 1999 году.

В настоящее время изучаются новые идеи, такие как danger theory и алгоритмы, которые происходят от иммунной системы. Однако существуют некоторые сомнения, что они еще не будут предлагать ничего более существующих алгоритмов ШИС.

Другие недавние события, связанные с исследованием вырождения в моделях ШИС.

Сначала ШИС было направлено на поиски эффективных абстракций процессов, протекающих в иммунной системе, но в последнее время переориентируется на моделирование биологических процессов и применения иммунных алгоритмов для решения проблем биоинформатики.

В 2008 году Дасгупта и Нино опубликовали учебник по иммунологических вычислений, который представляет собой сборник современным работ, связанных с иммунитетом на основе методов ШИС.

Методы

Методы ШИС используют специфические иммунологические теории, объясняющие функции и поведение адаптивной иммунной системы млекопитающих.

  • Клональный алгоритм выбора — класс алгоритмов, использующих методы клоновой селекции и теорию приобретенного иммунитета, который объясняет, как Б и Т-лимфоциты улучшают реакцию на антигены, называют affinity maturation. Эти алгоритмы основаны на некоторых атрибутах теории Дарвину, в которой выбор продиктован взаимодействием антигенов с антителами, и репродукции по принципу деления или методом соматической гипермутация. Клональные алгоритмы отбора наиболее часто применяется для оптимизации и распознавания доменов, некоторые из которых напоминают алгоритмы восхождение на вершину и генетический алгоритм без оператора рекомбинации.
  • Негативный алгоритм выбора пользуется процессами положительной и отрицательной селекции, которые происходят во время созревания Т-лимфоцитов в вилочковой железе. Негативный отбор относится к идентификации и удаления негативно реагирующих клеток. Этим занимаются Т-клетки, которые могут осуществить выбор и провести атаку ткани. Этот класс алгоритмов, как правило, используется для классификации и распознавания проблемных областей, где пространство проблемы моделируется на основе имеющихся знаний. Например, в случае обнаружения аномалий домена алгоритм на обычных (нормальных) образцах этой модели и осуществляет выявление невидимых или аномальных образцов.
  • Иммунные сетевые алгоритмы — алгоритмы, которые пользуются теорией идеотипичних сетей, предложен Нильсом Кай Джерни, описывающей регуляции иммунной системы с помощью идеотипичних антител (антител, которые выбирают для других антител). Этот класс алгоритмов сфокусировано на сетевом графе структур, где антитела (или антитела, продуцируемые клетки) является узлы и алгоритм обучения предполагает рост или сокращение расстояний между узлами на основе близости (сходства в пространстве представления проблемы). Иммунные сетевые алгоритмы были использованы в кластеризации, визуализации данных, контроля и оптимизации областей, а некоторые — для разработки искусственных нейронных сетей.
  • Дендритные алгоритмы. Эти алгоритмы основаны на абстрактной модели дендритной клетки (ДК).

Принцип работы

Иммунная система имеет все главные особенности искусственного интеллекта: память, способность учиться, умение распознавать и принимать решение о том, как рассматривать чужеродный белок (антиген), попавший в организм, даже если последний никогда не существовал на Земле. Подобно искусственных нейронных сетей, ШИС могут накапливать новую информацию и, используя предварительно изученную информацию, осуществлять распознавание образов децентрализованным способом.

Иммунная система выполняет несколько функций. Вместе с другими системами организма она поддерживает устойчивое состояние жизненных функций, названный гомеостазом.

Однако самой значительной ее ролью является защита организма от заболеваний, обусловленных проникновением в организм инфекционных агентов или чужеродных веществ, несущих чужеродную генетическую информацию, а также уничтожение поврежденных клеток.

Микроорганизмы, подобные вирусов, бактерий, грибков и паразитов, классифицируются как болезнетворные, поскольку они могут вызвать заболевания после вторжения в наш организм. Первоочередной задачей, с которой сталкивается иммунная система, является распознавание этих болезнетворных организмов. Иммунная система не распознает все болезнетворный организм целиком.

Важно

Распознавание происходит на уровне отдельных молекул микроба, которые называют антигенами. Основным элементом, обеспечивающим функционирование иммунитета, В — и Т-клетки (лимфоциты). Они содержат на своей поверхности специальные молекулы (рецепторы) — антитела. Антитела являются непосредственными исполнителями процесса распознавания чужеродных антигенов.

С точки зрения химии процесс распознавания антигенов антителами сводится к межмолекулярного взаимодействия, при которой антитела «химически» связываются с активными (рецепторами) участками антигенов и таким образом нейтрализует их. При этом чем лучше антитело распознает антиген, тем сильнее получается связь. Рассматривая вычислительные аспекты парадигмы иммунных систем, можно выделить следующие элементы иммунных алгоритмов:

  • — Множество способов представления компонентов системы;
  • — Множество механизмов, позволяющих оценить взаимодействие индивидуумов с окружающей средой и друг с другом;
  • — Процедуры адаптации, которые управляют динамикой системы, то есть изменением ее состояния во времени.
Читайте также:  Роботы будут учиться разговаривать, основываясь на видео из интернета

Способы представления позволяют создавать абстрактные модели иммунных органов, клеток или молекул; механизмы оценивания, которые называют также функциями аффинности, позволяют количественно оценить взаимодействия этих «искусственных иммунных органов», а процедуры адаптации, выраженные в виде множества общих алгоритмов достижения цели, управляют динамикой ШИС.

Основные понятия ШИС

Развитие популяции, в частности для алгоритма клональной селекции, можно теоретически рассматривать как движение в дискретном пространстве состояний, происходит в соответствии с определенными вероятностных правил.

Поскольку вероятности перехода в новое состояние зависят только от текущего состояния системы (а не от ее предыдущих состояний), можно сказать, что поведение ШИС может быть описано с помощью свойств марковских цепей.

Аффинностью называют мере взаимодействия (или силу связи) соответствующих комплементарных участков антигена и антитела или двух антител. Сродство может быть формально представлена ​​в виде одной из метрик (например, Евклидовой расстояния); эта мера указывает на степень сходства или различия между соответствующими атрибутами строк такую, что SP × SP → ℜ +.

Многомерным пространством форм P называют множество стереохимических взаимодействий или множество свойств антител, определяющие их межмолекулярные сродство.

Кросс-реактивным порогом называют область в многомерном пространстве форм, охватывает антитело, внутри которой проявляется его активность относительно антигенов или других антител.

Уровнем гипермутация называют численное значение, которое используется для определения количества клонов подверженной мутации клетки памяти, которые можно ввести в популяцию клетки.

Проектирование ШИС

Для проектирования структуры ШИС чаще применяют методы, которые активно используют в других биологических вычислительных парадигмах — таких как, например, нейронные сети и эволюционные алгоритмы.

Набор функций оценки, взятых из данных вычислительных парадигм, вполне может быть использовано для оценки взаимодействия индивидуумов ШИС.

Вместе с тем эволюционные алгоритмы хорошо подходят для управления изменением во времени состояний клеток и молекул, из которых состоит искусственная иммунная система. С учетом сказанного выше, процесс построения ШИС можно разделить на два основных этапа:

  • — Выбор надлежащей формы представления индивидуумов и меры аффинности;
  • — Применение каждого из существующих алгоритмов (или нового алгоритма) для управления изменением состояний системы во времени.

Алгоритм клональной селекции

Шаг 1. Инициализация. Создание (обычно случайной генерацией) начальной популяции антител (AB).

Шаг 2. Вычисление аффинности. Для каждого антитела вычислить его аффинность по каждому антигену. Результаты записать в матрицу аффинности.

Шаг 3. Клональное селекция и распространение. Выбрать из популяции по n лучших антител для каждой строки матрицы D и поместить их в отдельную популяцию клонов. Сгенерировать клоны элементов популяции AB пропорционально их аффинности; то есть чем выше сродство, тем больше создается количество клонов и наоборот.

Шаг 4. Созревание аффинности. Подвергнуть мутации все клоны популяции AB с вероятностью, обратно пропорциональной их аффинности, то есть чем ниже аффинность индивидуума, тем выше вероятность его мутации.

Вычислить новую аффинность каждого антитела j аналогично шагу 2, получив новую матрицу аффинности CD.

Выбрать из популяции AB n антител, для которых соответствующий вектор-столбец матрицы CD дает лучший обобщенный результат аффинности, и перенести их в популяцию клеток памяти RM.

Совет

Шаг 5. Метадинамика. Заменить d худших антител популяции AB новыми случайными индивидуумами.

Шаг 6. Заменить n антител популяции AB клетками памяти с RM и переходить к шагу 2 до тех пор, пока не будет достигнут критерий остановки.

Особенностью алгоритма клональной селекции является то, что он, в отличие от иммунной сети, поддерживает постоянный размер популяции антител.

Псевдокод

input: S = set of patterns to be recognised, n the number of worst elements to select for removal output: M = set of memory detectors capable of classifying unseen patterns begin Create an initial random set of antibodies, A forall patterns in S do Determine the affinity with each antibody in A Generate clones of a subset of the antibodies in A with the highest affinity. The number of clones for an antibody is proportional to its affinity Mutate attributes of these clones to the set A, and place a copy of the highest affinity antibodies in A into the memory set, M Replace the n lowest affinity antibodies in A with new randomly generated antibodies end end

Статьи и ссылки

  1. de Castro, Leandro N .; Timmis, Jonathan (2002). Artificial Immune Systems: A New Computational Intelligence Approach. Springer. с. 57-58. ISBN 1852335947, 9781852335946 Проверьте значение isbn= (справка).
  2. Kephart, JO (1994). “A biologically inspired immune system for computers”. Proceedings of Artificial Life IV: The Fourth International Workshop on the Synthesis and Simulation of Living Systems, 130-139, MIT Press.
  3. Andrews and Timmis (2006). A Computational Model of Degeneracy in a Lymph Node. Lecture Notes in Computer Science 4163. с. 164. accessdate= требует url= (справка)
  4. Mendao et al. (2007). The Immune System in Pieces: Computational Lessons from Degeneracy in the Immune System. Foundations of Computational Intelligence (FOCI). с. 394-400. accessdate= требует url= (справка)
  5. Edelman and Gally (2001). Degeneracy and complexity in biological systems. Proceedings of the National Academy of Sciences, USA 98 (24). с. 13763-13768. doi: 10.1073 / pnas.231499798. accessdate= требует url= (справка)
  6. Whitacre (2010). Degeneracy: a link between evolvability, robustness and complexity in biological systems. Theoretical Biology and Medical Modelling 7 (6). Проверено 2011-03-11.
  7. Dasgupta, Dipankar; Nino, Fernando (2008). Immunological Computation: Theory and Applications. CRC Press. с. 296. ISBN 978-1-4200-6545-9.
  8. de Castro, LN; Von Zuben, FJ (2002). Learning and Optimization Using the Clonal Selection Principle. IEEE Transactions on Evolutionary Computation, Special Issue on Artificial Immune Systems 6 (3) (IEEE). с. 239-251.
  9. Forrest, S .; Perelson, AS; Allen, L .; Cherukuri, R. (1994). “Self-nonself discrimination in a computer”. Proceedings of the 1994 IEEE Symposium on Research in Security and Privacy, 202-212.
  10. Timmis, J .; Neal, M .; Hunt, J. (2000). An artificial immune system for data analysis. BioSystems 55 (1). с. 143-150. doi: 10.1016 / S0303-2647 (99) 00092-1. PMID 10745118.
  11. Greensmith, J .; Aickelin, U. (2009). Artificial Dendritic Cells: Multi-faceted Perspectives. Human-Centric Information Processing Through Granular Modelling. с. 375-395.
  • JD Farmer, N. Packard and A. Perelson, (1986) «The immune system, adaptation and machine learning», Physica D, vol. 2, pp. 187-204
  • H. Bersini, FJ Varela, Hints for adaptive problem solving gleaned from immune networks. Parallel Problem Solving from Nature, First Workshop PPSW 1, Dortmund, FRG, October, 1990.
  • D. Dasgupta (Editor), Artificial Immune Systems and Their Applications, Springer-Verlag, Inc. Berlin, January 1999, ISBN 3-540-64390-7
  • V. Cutello and G. Nicosia (2002) «An mmunological Approach to Combinatorial Optimization Problems» Lecture Notes in Computer Science, Springer vol. 2527, pp. 361-370
  • LN de Castro and FJ Von Zuben, (1999) «Artificial Immune Systems: Part I -Basic Theory and Applications», School of Computing and Electrical Engineering, State University of Campinas, Brazil, No. DCA-RT 01/99.
  • S. Garrett (2005) «How Do We Evaluate Artificial Immune Systems?» Evolutionary Computation, vol. 13 no. 2, pp. 145-178.
  • V. Cutello, G. Nicosia, M. Pavone, J. Timmis (2007) An Immune Algorithm for Protein Structure Prediction on Lattice Models, IEEE Transactions on Evolutionary Computation, vol. 11 no. 1,

Источник: http://info-farm.ru/alphabet_index/i/iskusstvennaya-immunnaya-sistema.html

О применении искусственных иммунных систем в системах превентивной защиты информации

страница 1
УДК 004.056

О ПРИМЕНЕНИИ ИСКУССТВЕННЫХ ИММУННЫХ СИСТЕМ В СИСТЕМАХ ПРЕВЕНТИВНОЙ ЗАЩИТЫ ИНФОРМАЦИИ

Саламатова Т. А.,

научный руководитель канд. техн. наук, доцент кафедры безопасности информационных технологий Жуков В. Г.

Сибирский государственный аэрокосмический университет

имени академика М. Ф. Решетнева

Исследования в области обнаружения вторжений ведутся за рубежом больше четверти века. Исследуются признаки атак, разрабатываются и эксплуатируются методы и средства обнаружения попыток несанкционированного проникновения через системы защиты информации.

Для сертификации средств антивирусной защиты, средств обнаружения вторжений, систем предотвращения утечек данных и т.д.

в схеме сертификации средств защиты информации ФСТЭК России существовал определенный порядок проведения испытаний — сертификация подобных продуктов до последнего времени проводилась на соответствие «Техническим условиям», что, по сути, означало полную недетерминированность процесса: поскольку требования к составу функциональных возможностей нигде не были формализованы, то под определение сертифицированного продукта одного и того же типа могли подпасть решения принципиально различных уровней.

Данная ситуация требовала пересмотра существующей нормативной базы в сфере сертификации средств защиты информации, поэтому для профессиональных участников рынка программного обеспечения в сфере информационной безопасности не стало неожиданностью принятие ФСТЭК требований к системам обнаружения вторжений (СОВ). Этот документ вступил в силу 15.03.2012 г. и имеет пометку «для служебного пользования», однако методические документы «Профили защиты» СОВ, предназначенные для защиты информации, не содержащей сведений, составляющих государственную тайну, доступны на официальном сайте ФСТЭК России .

Под системами обнаружения вторжений (Intrusion Detection Systems, IDS) в документе понимаются программные и программно-аппаратные технические средства, реализующие функции автоматизированного обнаружения в информационных системах действий, направленных на преднамеренный несанкционированный доступ к информации, а также специальных воздействий на информацию в целях ее добывания, уничтожения, искажения или блокирования. СОВ рассматривается как один из базовых элементов системы защиты информационной системы, и в полном соответствии с общепринятой практикой в документе выделяются два типа систем обнаружения вторжений: системы обнаружения вторжений уровня сети (Network Intrusion Detection System , NIDS) и системы обнаружения вторжений уровня узла (Host-based Intrusion Detection System , HIDS)

Для каждого из вышеприведенных типов в требованиях к СОВ выделяются 6 классов защиты систем обнаружения вторжений в порядке ужесточения требований от шестого к первому.

В этих требованиях также указано то, что СОВ должны выполнять анализ собранных данных с целью обнаружения вторжений с использованием и сигнатурных методов, и эвристических методов одновременно.

Обратите внимание

Способ опознавания сигнатуры заключается в описании атаки в виде сигнатуры и поиска данной сигнатуры в контролируемом пространстве (сетевом трафике, журнале регистрации и т.д.). В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную активность в автоматизированной системе.

Несмотря на эффективность сигнатурного метода, существует проблема создания такой сигнатуры, которая бы описывала все возможные модификации атаки. Для решения этой проблемы применяются эвристические методы.

Данные методы помогает обнаруживать отклонения от нормального функционирования автоматизированной системы, используя эталонную модель функционирования. Вначале определяется типичные значения для таких параметров, как загруженность ЦПУ, активность работы диска, частота входа пользователей в систему и другие.

Потом при возникновении значительных отклонений от этих значений система сигнализирует о возникшей ситуации.

Источник: http://zaeto.ru/nuda/o-primenenii-iskusstvennih-immunnih-sistem-v-sistemah-preventi/main.html

Ссылка на основную публикацию
Adblock
detector