WWW.LIB.KNIGI-X.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Электронные матриалы
 


Pages:     | 1 ||

«РАСПОЗНАВАНИЯ ВРЕДОНОСНЫХ ПРОГРАММ НА ОСНОВЕ ИСКУССТВЕННЫХ ИММУННЫХ СИСТЕМ ...»

-- [ Страница 2 ] --

Многослойные сети могут образовываться каскадами слоев. Выход одного слоя является входом для последующего слоя. Подобная сеть показана на рис. 3.1, где изображена со всеми соединениями.

Рисунок 3.1 – Структура многослойной нейронной сети

У многослойных сетей нет обратных связей, то есть соединений, идущих от выходов некоторого слоя к входам этого же слоя или предшествующих слоев. Этот специальный класс сетей, называемых сетями без обратных связей или сетями прямого распространения, представляет интерес и широко используется. В сетях без обратных связей нет памяти, их выход полностью определяется текущими входами и значениями весов.

К НС с обратными связями относятся рекуррентные сети, являющиеся НС более общего вида и имеющие соединения от выходов к входам. В некоторых конфигурациях сетей с обратными связями предыдущие значения выходов возвращаются на входы. Следовательно, выход определяется как текущим входом, так и предыдущими выходами. По этой причине сети с обратными связями могут обладать свойствами, которые сходны с кратковременной человеческой памятью.

Полносвязные сети характеризуются наличием связей между всеми нейронами сети. Этот вид НС известен как сеть Хопфилда. Особенностью данной сети является то, что матрица связей должна быть симметричной с нулевыми диагональными элементами [18, 26].

Для решения задачи распознавания ВП достаточно использовать многослойный персептрон, структура которого приведена на рис. 3.1. Так как необходимо распознавать ВП различных семейств, то БПР ЭА состоит из нескольких параллельно работающих нейронных сетей (рис. 3.2), на входы которых подаются признаки x j, j 1,n, а выходной сигнал i -й НС yi, i 1,k предназначен для распознавания ВП определнного семейства и способен выполнять классификацию входных векторов на две группы.

–  –  –

Основой НС является искусственный нейрон [26] – это математическая модель биологической нервной клетки (рис. 3.3). На рис. 3.3 x j, j 1,n – входные сигналы i -го нейрона. Они суммируются с учтом весовых коэффициентов wij. Связи называют синапсами, по аналогии с человеческой нервной системой, а коэффициенты – синаптическими. Значение x0, вес которого составляет wi 0, – это порог, определяющий уменьшение или увеличение входного сигнала на заданную величину, в нашем случае значение x0 взято равным 1.

–  –  –

Сумма всех входных сигналов с учтом их коэффициентов обозначается как u i. Эта сумма выступает в качестве аргумента функции f ( ui ), которая и «выдат» размер выходного сигнала нейрона. Работа i -го нейрона, представленного на рис.

3.3, описывается следующим уравнением:

–  –  –

где zm, m 1,M – выходной сигнал m -го нейрона промежуточного слоя, состоящего из M нейронов, имеющих N входов;

xn, n 1, N – n -я компонента входного вектора признаков, подаваемого на входной слой НС;

wn,m – весовой коэффициент n -го входного признака xn, поступающего на вход m -го нейрона промежуточного слоя;

wo,m – значение смещения;

m – коэффициент, определяющий крутизну функции активации f ( um ).

Нейрон выходного слоя имеет пороговую функцию активации и используется для вынесения вердикта о принадлежности анализируемой программы к семейству ВП Yk или нет:

1, если yk 0, M yk ( vm zm vo ) (3.3) 0, если yk 0.

m 1 где v m – весовые коэффициенты;

vo – смещение.

Количество входов НС выбирается равным количеству найденных при сравнении повторяющихся фрагментов (признаков). Из необходимости учитывать не только присутствие определенного признака, но и его проявляемость, на входы НС подаются рейтинги встречаемости признаков R f. Обученная НС может оценивать признаки объекта и давать заключение – принадлежит объект к классу ВП или нет. Найденные в рассматриваемом образце признаки сверяются с библиотекой, откуда извлекаются значения рейтингов, которые поступают на входы НС. Если не все признаки в данной группе найдены, то рейтинги ненайденных признаков устанавливаются равными 0. На основе взвешенной оценки присутствующих признаков и их проявляемости, НС выносит общее решение о вредоносности объекта.

3.2. Обучение нейросетевого анализатора с помощью ИИС

Важным свойством НС является их способность обучаться на основе данных окружающей среды и в результате обучения повышать свою производительность. Обучение НС происходит посредством интерактивного процесса корректировки ее параметров. В идеальном случае НС получает знания об окружающей среде на каждой итерации процесса обучения.

Обучение – это процесс, в котором свободные параметры НС настраиваются посредством моделирования среды, в которую эта сеть встроена. Тип обучения определяется способом подстройки этих параметров [18, 26].

Не существует универсального алгоритма обучения, подходящего для всех архитектур НС. Существует лишь набор средств, представленный множеством алгоритмов обучения, каждый из которых имеет свои достоинства. Алгоритмы отличаются друг от друга способом настройки синаптических весов нейронов.

Так как НС для распознавания ВП представляется в виде многослойной структуры с прямым распространением сигнала, а значение выходной переменной можно изменять, корректируя параметры элементов слоев, то для ее обучения могут быть использованы различные методы, используемые для обучения классических НС [18, 26]:

1. Стохастические методы обучения, которые базируются на псевдослучайных изменениях весов с сохранением тех изменений, которые ведут к улучшениям. Вместе с тем, стохастические алгоритмы требуют очень большого числа шагов обучения.

2. Градиентные методы оптимизации первого порядка:

– градиентные методы минимизации;

– метод наименьших квадратов (МНК);

– алгоритм Уидроу-Хоффа;

– рекуррентный алгоритм МНК;

– фильтр Калмана;

– метод сопряженных градиентов.

Градиентные методы оптимизации используют вычисление градиента функционала, при этом используемые функции активации должны быть дифференцируемы. Некоторые из этих методов являются неэффективными из-за низкой скорости сходимости и ухудшения сходимости к минимуму, а также являются чувствительными к точности вычислений, особенно при решении задач оптимизации большой размерности.

3. Градиентные методы оптимизации второго порядка:

– метод Ньютона;

– алгоритм Левенберга-Марквардта;

– метод обратного распространения ошибки, недостатком которого являются невысокие точность и скорость сходимости.

Данные методы имеют большую скорость сходимости, чем методы первого порядка, однако предполагают вычисление вторых производных, что может быть связано с существенными трудностями. Кроме этого, метод Ньютона является чувствительным к выбору стартовой точки, т.е. может расходиться, если целевая функция не является выпуклой, а начальное приближение находится далеко от точки минимума. Применение алгоритма Левенберга-Марквардта связано с высокими требованиями к машинным ресурсам, ухудшением сходимости к минимуму на определенном классе задач. Недостатком метода обратного распространения ошибки являются недостаточные точность и скорость сходимости.

Одним из наиболее эффективных методов обучения НС является гибридный градиентный метод [18], являющийся комбинацией метода обратного распространения ошибки и МНК. Его главная черта состоит в разделении процесса обучения на два обособленных во времени этапа. На каждом этапе уточняется только часть параметров сети. Параметры, подлежащие адаптации, разделяются на две группы: первая состоит из коэффициентов выходного слоя; вторая состоит из параметров промежуточного слоя. Уточнение параметров проводится в два этапа. На первом этапе при фиксации определенных значений параметров промежуточного слоя путем решения системы линейных уравнений рассчитываются коэффициенты выходного слоя. На втором этапе (при фиксированных коэффициентах выходного слоя) рассчитываются параметры промежуточного слоя. Этот цикл повторяется вплоть до стабилизации всех параметров процесса.

Таким образом, существующие методы обучения НС являются трудоемкими, а также выдвигают значительные математические требования к видам целевых функций и ограничений. Основной их чертой является отсутствие возможности изменения количества нейронов в промежуточном слое. Для устранения недостатков существующих методов обучения НС предлагается использование ИИС.

Задача обучения НС рассматривается как требование минимизации целевой функции:

1N yxn, P yr min, (3.4) N n 1 P где y – требуемое значение выхода НС;

P – вектор параметров НС, в качестве которых используются параметры wn,m, wo,m, v m, vo и m, n 1, N m 1,M ;

yxn, P – выходное значение НС при значении входов xn, зависящее от параметров P.

Будем решать задачу обучения всех параметров НС в режиме off-line с использованием ИИС, основной идеей которой является представление решаемой задачи в виде антигена, а возможные ее решения – в виде антител.

Сформируем популяцию антигенов вида:

–  –  –

где – размер популяции антигенов, соответствующий количеству S примеров в обучающей выборке.

Каждый элемент множества Ag – пример из обучающей выборки, представленный в виде вектора фиксированной длины:

–  –  –

y i – выходная переменная моделируемого объекта для i -го примера обучающей выборки.

Таким образом, в виде популяции антигенов Ag выступает обучающая выборка размерности S относительно входных xn, n 1, N и выходной y переменных. В качестве антител используются векторы настраиваемых параметров. В одном антителе кодируются все настраиваемые параметры НС: wn,m, wo,m, v m, vo и m, n 1, N m 1,M. Используется вещественное кодирование антител, при котором каждый параметр вектора антитела описывается отдельным действительным числом.

Для решения задачи используется модель кодирования настраиваемых параметров в виде адаптивного структурированного мультиантитела [50, 156], состоящего из двух частей, каждая из которых может обрабатываться независимо друг от друга (рис. 3.4).

–  –  –

где mAbi ab0, ab1, ab2,...,abL 1, i 1, N – i -е адаптивное мультиантитело, представляющее собой структурированный вектор, длина которого изменяется в процессе выполнения иммунного алгоритма;

L – длина вектора mAbi ;

N – размер популяции мультиантител.

Каждое мультиантитело mAbi, i 1, N популяции характеризуется полным множеством настраиваемых параметров НС. В части 1 мультиантитела закодированы весовые коэффициенты wn,m, значения смещений wo,m и коэффициенты m ; в части 2 закодированы коэффициенты v m и смещение vo. Вторая часть мультиантитела является адаптивной, т.к. в процессе обучения помимо оптимизации коэффициентов, содержащихся в этой части, изменяется и их общее количество, т.е. выполняется структурный синтез. Структурный синтез, в свою очередь, приводит к изменению количества нейронов в скрытом слое нейронной сети. Структурированный способ формирования мультиантитела позволяет повысить эффективность иммунного алгоритма за счет раздельного применения иммунных операторов к каждой из частей антитела. Вычисление аффинности выполняется для мультиантитела в целом, оперируя обеими составляющими. Используется вещественное кодирование параметров антитела и антигена, что позволяет повысить точность решений и уменьшить вычислительную сложность.

Размер популяции мультиантител выбирается небольшим, т.к. использование большого количества мультиантител в популяции ведет к большим вычислительным затратам.

В качестве вычислительной модели ИИС используются принципы клонального отбора и сетевого взаимодействия [136, 137]. Согласно принципу клонального отбора антитело, распознавшее антиген, клонируется, и полученные клоны подвергаются мутации. Если в результате мутации аффинность клона улучшается, то соответствующее антитело заменяется своим клоном, т.е. осуществляется клональный отбор. В соответствии с принципом сетевого взаимодействия антитела взаимодействуют не только с антигенами, но и с другими антителами, в результате чего обеспечивается эффект взаимной стимуляции и суппрессии, что приводит к сокращению числа нейронов в промежуточном слое.

Формально иммунный алгоритм обучения НС можно представить следующим образом:

ImmAlg P L, L, mAb, N, Ag, M, Op, nc, N c, d, net, Alph, A, Aff, gen, t, (3.8) где P L – пространство поиска;

L – размерность пространства поиска;

mAb – популяция мультиантител вида mAb mAb1, mAb2,...,mAbN ;

mAbi – i -е мультиантитело популяции mAb:

mAbi ab0, ab1, ab2,...,abL1;

N – размер популяции мультиантител;

Ag – популяция антигенов вида Ag Ag1, Ag 2,..., Ag M ;

M – размер обучающей выборки;

– множество используемых иммунных операторов вида Op Op Clone, Mutate, Edit, Suppress ;

nc – количество мультиантител для клонирования;

N c – количество клонов одного мультиантитела;

d – количество мультиантител с худшей аффинностью, подлежащие замене при редактировании популяции антител;

net – коэффициент сжатия сети;

Alph – алфавит, с использованием которого кодируются антитела;

A – мощность алфавита Alph;

Aff – функция аффинности;

gen – поколение работы иммунного алгоритма;

t – критерий окончания работы алгоритма.

Алгоритм обучения НС представляет собой следующую последовательность шагов:

1. Инициализация популяции мультиантител mAb. Инициализация начальной популяции мультиантител выполняется случайным образом.

2. Вычисление аффинности AffmAb Ag для каждого мультиантитела.

Для вычисления аффинности мультиантитела необходимо подставить параметры, закодированные в мультиантителе, в НС. На вход НС подаются входные признаки xn, и вычисляется значение выходной переменной y s.

Аффинность мультиантитела mAb с антигеном Ag вычисляется в виде:

–  –  –

3. Клонирование мультиантител пропорционально их аффинности и формирование популяции клонов Cl. Параметрами оператора клонирования являются количество антител для клонирования n и кратность клонирования антитела N Cl. В иммунном алгоритме обучения НС используется фиксированное значение параметра n. Кратность клонирования мультиантитела N Cl регулируется в процессе работы иммунного алгоритма в зависимости от аффинности мультиантитела по соотношению (2.8).

4. Мутация клонов обратно пропорционально аффинности мультиантитела, формирование популяции мутированных клонов MC.

Мутацию выбранных параметров мультиантитела mAb будем выполнять путем добавления гауссовского шума:

mAbi1 mAbi N 0, i, (3.11)

где i – дисперсия случайной величины, которая ассоциируется с каждым параметром мультиантитела и для изменения которой используется соотношение (2.13).

5. Вычисление аффинности популяции MC в соответствии с (3.9).

Если в результате мутации аффинность улучшилась, замена соответствующих мультиантител в популяции mAb.

6. Вычисление аффинности антител внутри части 2 мультиантитела.

Суппрессия антител, аффинность которых больше заданного порога net.

Вычисление аффинности выполняется по выражению:

–  –  –

Выполнение суппрессии путем удаления антител abi с аффинностью, большей заданного порога net, позволяет уменьшить количество нейронов в скрытом слое и устранить, таким образом, избыточность.

7. Проверка критерия останова. В качестве критерия останова используется либо достижение заданного порога аффинности, либо достижение заданного количества поколений работы алгоритма. Результатом работы алгоритма будет мультиантитело с лучшей по популяции аффинностью, содержащее настроенные параметры НС и определяющее ее структуру.

Шаги 1-5 алгоритма соответствуют принципу клонального отбора.

Алгоритм на данных этапах работает с обеими частями мультиантитела.

Шаг 6 соответствует принципу сетевого взаимодействия. Если ранее мультиантитело обрабатывалось как обычное антитело, то на данном шаге работа выполняется только с частью 2 мультиантитела, которая состоит из отдельных антител, представляющих собой параметры vm, m 0, M.

3.3. Распознавание вредоносных программ с использованием мультиагентного подхода Рассмотрим теперь задачу распознавания ВП с использованием другой интеллектуальной технологии – мультиагентного подхода. Пусть имеется множество исполняемых файлов (объектов) Pj, j 1, F, которые могут содержать вредоносные коды. На этом множестве имеется разбиение на конечное число подмножеств (классов) Ck, k 1, K и подробные карты их действий (протоколы). Разбиение определено не полностью – задан лишь некоторый набор обучающей информации I 0 ( C1,C2,...,CK ) о классах Ck.

Протоколы могут содержать общие закономерности в поведении объектов, которые представляются в виде фрагментов протоколов, являющихся признаками объектов, совокупность которых определяет описание объектов (программ) I ( C1,C2,...,CK ).

Пусть имеется множество программных агентов Qi, i 1, S, состоящее, возможно, из нескольких видов агентов, которые должны обнаружить и распознавать исполняемые файлы. Окружающая среда представляет собой ОС компьютера, в которой взаимодействуют как исполняемые файлы Pj, j 1, F с программными агентами Qi, i 1, S, так и программные агенты между собой.

Предполагается, что для каждого исполняемого файла Pj, j 1, F

–  –  –

его самостоятельные цели. При этом векторы признаков X j и Yi, а также особенности как программных агентов, так и исполняемых файлов могут отличаться друг от друга.

Задача распознавания ВП состоит в том, чтобы для исполняемых файлов Pj, j 1, F и набора классов Ck, k 1, K по обучающей информации I 0 ( C1,C2,...,CK ) и описаниям объектов I ( C1,C2,...,CK ) отнести исходные программы к определенному классу Ck путем выделения и сопоставления соответствующих фрагментов программ x j,l, j 1, F, l 1, L j с признаками программных агентов yi,r, i 1, S, r 1, Ri. С этой целью необходимо разработать МАС, с помощью которой будет выполняться обнаружение и распознавание вредоносных кодов в исполняемых файлах на основе организации взаимодействий как между программными агентами и исполняемыми файлами, так и программных агентов между собой.

Распознавание ВП предлагается осуществлять с помощью МАС.

Общая модель МАС распознавания ВП (MASRM – Multi-Agent System for Recognition of Malwares) может быть формально представлена в виде следующего кортежа [124]:

–  –  –

Рис. 3.5 – Структура МАС распознавания вредоносных программ ПОВП обеспечивает сбор данных, которые используются для анализа ситуации, и представляет собой совокупность программных функций и алгоритмов, обеспечивающих ПАВП данными для анализа, в качестве которых могут выступать: байтовый код файла, текстовые строки внутри файла, API Log, единичное действие программы в рамках ОС или целая цепочка таких действий и др. В данной системе ПОВП представлена набором агентов-детекторов H n, n 1, N, которые занимаются мониторингом ОС.

Агент-детектор является программным агентом, и с технической точки зрения представляет собой драйвер, работающий в режиме ядра ОС и осуществляющий путем сопоставления атрибутов-признаков x j,l, j 1, F,

l 1, L исполняемой программы с атрибутами-признаками vn,z, n 1, N,

z 1,Z агента-детектора низкоуровневый перехват стандартных APIфункций, вызов которых может привести к потенциальной угрозе безопасности компьютера. Драйвер, перехвативший функцию, изменяющую реестр, формирует пакет, в котором содержится необходимая для дальнейшего анализа информация о процессе, вызвавшем данную функцию, и параметрах реестра, которые он запрашивал на изменение.

ВП – это, с одной стороны, файл с определенным содержимым, с другой – совокупность действий, производимых в ОС, с третьей – совокупность конечных эффектов в ОС. Поэтому и идентификация ВП может быть произведена на разных уровнях: по цепочкам байт, по действиям, по влиянию на ОС и т.д.

В соответствии с этим выделяются следующие способы сбора данных для распознавания ВП, каждый из которых реализует отдельный агент-детектор и с помощью которых можно выявить большинство вирусов:

– монитор списка автозагрузки;

– монитор загрузочного раздела;

– монитор раздела HKLM\SOFTWARE\icrosoft\WindowsNT\Current Version\Winlogon реестра;

– монитор системного файла C:\windows\ system32\drivers\etc\hosts.

На один вирус может сработать больше одного агента-детектора, следовательно, необходимо учитывать и комбинации срабатываемых детекторов. Например, если вирус пытается прописать себя в список автозагрузки, ничто не мешает ему прописать себя в C:\windows\system32\drivers\etc\hosts адрес сайта, откуда он может сам закачаться в случае, если его обнаружат и удалят из списка автозагрузки. Так же существуют комбинации детекторов, которые никогда не сработают, например, если вирус пытается прописаться в загрузочный раздел, значит он запустится до загрузки ОС, следовательно, ему незачем пытаться прописать себя еще и в список автозагрузки.

Gm, m 1,M, – это ПАВП, состоящая из агентов-анализаторов совокупность модулей, отвечающих за принятие решения. Это набор алгоритмов, каждый из которых анализирует имеющиеся в его распоряжении данные и выносит о них суждение, в соответствии с которым антивирус (либо другое защитное ПО) предпринимает установленные его политикой безопасности реактивные действия RAct : оповещает пользователя, запрашивает у него дальнейшие указания, помещает файл в карантин, блокирует несанкционированное действие программы и др.

Синхронизация работы агентов-детекторов с другими подсистемами МАС осуществляется путем посылки уведомлений о событии в подсистему взаимодействия агентов (ПВА), которая использует «доску объявлений» для выполнения коммуникативных действий между агентами.

CAct Сформированный пакет с данными драйвер помещает в буфер, адрес которого размещается на «доске объявлений», откуда эту информацию могут получить и использовать далее агенты-анализаторы. «Доска объявлений»

запрашивает данные из участка памяти в пространстве ядра ОС и копирует в свое адресное пространство для предоставления этой информации агентаманализаторам.

Таким образом, в предлагаемой МАС распознавания ВП используются два вида агентов: агенты-детекторы и агенты-анализаторы. Основная задача агента-детектора – мониторинг основных уязвимостей ОС, и в случае обнаружении аномальной активности – размещение информации о процессе, инициирующем эту аномальную активность, на «доске объявлений».

Агент-анализатор является интеллектуальным программным агентом, который использует эвристический анализ. Задача агента-анализатора – исследовать процессы, размещенные на «доске объявлений», и принятие решения, какие из процессов являются потенциальными вирусами и к какому классу ВП они относятся.

Для эффективного распознавания ВП при большом количестве агентов необходима достаточно сложная аналитическая система – наподобие экспертной системы, в которой могут использоваться различные технологии.

Поэтому ПАВП можно представить в виде ЭА, который может быть реализован с использованием той или иной интеллектуальной технологии.

Подсистема МАС распознавания ВП, отвечающая за взаимодействие агентов, – ПВА, также является интеллектуальной, т.к. обладает соответствующими свойствами: сама принимает решения о том, какой из агентов-анализаторов наиболее точно сможет определить вирус, и обладает базой знаний. В качестве базы знаний используются соответствия атрибутовпризнаков vn,z, n 1, N, z 1,Z агентов-детекторов атрибутам-признакам wm,u, m 1,M, u 1,U агентов-анализаторов, а также правила выбора одного или нескольких агентов-анализаторов для принятия решения.

Каждый агент в системе имеет свой уникальный идентификатор. Таким образом, можно однозначно идентифицировать, какой из агентов-детекторов обнаружил аномальную активность и готов предоставить соответствующую для анализа информацию. В зависимости от того, какие агенты-детекторы сработали исходя из заложенной базы знаний, принимается решение о выборе наиболее подходящего агента-анализатора (или агентов-анализаторов).

В случае если комбинации из срабатываемых агентов-детекторов нет в базе знаний, выбираются несколько агентов-анализаторов, покрывающих все агенты-детекторы. Данные агенты-анализаторы выполняют анализ по очереди с целью наименьшей загрузки системы. Более приоритетным считается агент-анализатор, вероятность ложных результатов которого наименьшая Результаты каждого из агентов-анализаторов анализируются и в зависимости от результата база знаний корректируется или пополняется.

3.4. Мультиагентная модель искусственной иммунной сети для распознавания вредоносных программ В разделе 2 для распознавания ВП в составе ЭА была предложена искусственная иммунная сеть Для обобщения ее описания AINet.

предлагается представить модель AINet в виде МАС, что сделает ее более гибкой и позволит изменять параметры и структуру иммунной сети на основе распределенной обработки.

Пусть имеется множество исполняемых файлов N j, j 1,M, которые могут содержать вредоносные коды и представляются антигенами ИИС.

Пусть имеется множество программных агентов S i, i 1, N, которые должны распознавать исполняемые файлы и представляются антителами ИИС.

Окружающая среда Env представляет собой ОС компьютера, в которой взаимодействуют как исполняемые файлы N j с программными агентами S i, так и программные агенты между собой. Предполагается, что для каждого N j, j 1,M исполняемого файла существует информационный вектор (вектор признаков) Ai a j1,a j 2,...,a jm из m элементов, который может содержать вредоносные коды. У каждого программного агента S i, i 1, N так же есть информационный вектор (вектор признаков) Bi bi1,bi 2,...,bin из n элементов, определяющий его самостоятельные цели. При этом векторы признаков и особенности как программных агентов, так и исполняемых файлов могут отличаться друг от друга.

Предполагается, что у программных агентов S i есть способность идентифицировать исполняемые файлы N j в сенсорных областях SNs (Sensory Neighborhoods) с помощью двумерного массива значений аффинностей:

–  –  –

где Di, j Si N j – евклидово расстояние.

Кроме того, программные агенты также обладают способностью сообщать информацию об исполняемых файлах другим программным агентам в коммуникационных областях CNs (Communication Neighborhoods) с помощью двумерного массива значений аффинностей:

–  –  –

Необходимо разработать мультиагентную модель (МАМ) представления ИИС, с помощью которой будет выполняться распознавание вредоносных кодов в исполняемых файлах на основе организации взаимодействий как между программными агентами и исполняемыми файлами, так и программных агентов между собой.

Предлагаемая модель представления ИИС с помощью МАС (MAMAIN

– Multi-Agent Model of Artificial Immune Network) приведена на рис. 3.6 и описывается следующим кортежем:

MAMAIN El, Attr, Env, Rl, SNs,CNs, RAct,CAct, Ev, (3.17)

где El – множество элементов системы, характеризующихся набором атрибутов-признаков (фрагментов программ) Attr и функционирующих в окружающей среде Env, которая представляет собой ОС компьютера, находятся в определенных отношениях Rl, позволяющих взаимодействовать друг с другом в сенсорных SNs и коммуникационных CNs областях, обладают возможностью выполнять реактивные RAct и коммуникативные CAct действия для достижения цели, изменяя свои атрибуты Attr в процессе эволюции Ev.

–  –  –

Предлагаемая MAMAIN определяет антиген и антитело как два агента с различными особенностями и целями. Поэтому в модели МАС представления ИИС используются только два типа агентов: антигены N j,

–  –  –

Модель МАС представлена в виде иммунной сети Ерне [154, 155] (рис. 3.6), а отношения Rl и взаимодействия self агентов SAGs с non-self агентами NAGs, а также self агентов SAGs между собой определяются степенью их близости, оцениваемой значениями аффинностей (3.15) и (3.16).

Реактивные действия RAct self агентов SAGs по отношению к non-self агентам NAGs определяются величиною порога аффинности TNAG в сенсорных областях SNs и зависят от значений аффинностей (3.15).

Коммуникационные действия CAct self агентов SAGs между собой определяются величиною своего порога аффинности в TSAG коммуникационных областях CNs, зависят от значений аффинностей (3.16) и могут приводить к суппрессии сети.

Алгоритм распознавания ВП на основе МАС, описывающей ИИС (MAMAIN, может быть представлен в виде следующей последовательности выполнения операторов:

–  –  –

где NAGpres( NAGs, SAGs, AffSN ) – оператор представления self агентов SAGs non-self агентам NAGs ;

SAGsel( SAGs,SNs,TNAG ) – оператор отбора self агентов SAGs ;

Clon ( SAGs,TNAG ) – оператор клонирования отобранных self агентов SAGs;

Mut( SAGsCl ) – оператор мутации клонов;

Clpres( NAGs, SAGsCl, AffSN ) – оператор представления клонированных self агентов SAGscl non-self агентам NAGs ;

Clsel ( SAGsCl, SNs,TNAG ) – оператор отбора клонированных self агентов SAGscl ;

SAGpres( SAGs, SAGsCl, AffSS ) – оператор представления отобранных SAGs и клонированных SAGscl self агентов друг другу;

Supp( SAGs, SAGsCl,CNs,TSAG ) – оператор суппрессии self агентов;

Age( SAGs, SAGsCl ) – оператор старения;

TermTest ( p ) – процедура проверки критерия останова.

Следует отметить, что операторы представления NAGpres( NAGs, SAGs, AffSN ) и отбора SAGsel( SAGs,SNs,TNAG ) вызываются только один раз для исходной популяции self агентов SAGs и не используются в дальнейшем. Остальные операторы используются в цикле в зависимости от предельного количества популяций. Оператор представления NAGpres( NAGs, SAGs, AffSN ) реализует функцию определения аффинностей AffSN между self агентами SAGs и non-self агентами NAGs в соответствии с (3.15).

Оператор отбора SAGsel( SAGs,SNs,TNAG ) используется для выделения self агентов SAGs из исходной популяции, у которых аффинность с non-self агентами NAGs удовлетворяет условию:

AffS i N j TNAG, i 1, N, j 1, M, (3.19)

т.е. отбираются те self агенты SAGs, которые попадают в сенсорную область соответствующего non-self агента NAG и значения аффинностей SN которых превышает заданный порог TNAG. Оператор клонирования Clon ( SAGs,TNAG ) используется для клонирования self агентов SAGs, прошедших отбор. При этом применяется пропорциональное клонирование при котором количество клонов, создаваемых для каждого [137], отобранного self агента SAG, прямо пропорционально его аффинности с nonself агентами NAGs, превышающей порог TNAG :

–  –  –

где N – общее количество self агентов SAGs.

Оператор мутации клонов Mut( SAGsCl ) используется для внесения изменений в признаки клонов self агентов SAGsCl для достижения их большей близости j -му non-self агенту NAG j. При использовании оператора случайной мутации изменение значения каждого k -го признака i -го клона

bik производится следующим образом:

–  –  –

где i – коэффициент мутации, который определяет характер изменения признаков i -го клона.

В существующих иммунных методах наилучший эффект дат обратно пропорциональная мутация [137], при которой коэффициент мутации зависит только от значения аффинности i -го клонированного self агента SAGCl i к j му non-self агенту NAG j и определяется следующим образом:

–  –  –

(3.21) определяется случайным образом.

Оператор представления Clpres( NAGs, SAGsCl, AffSN ) клонированных self агентов SAGscl non-self агентам NAGs используется для определения значений аффинностей между мутированными клонами SAGscl и non-self агентам NAGs в соответствии с (3.15). Таким образом, вместо всей популяции non-self агентов NAGs во взаимодействие с клонами вступают только небольшая группа NAGs, что приводит к уменьшению количества вычислительных операций.

Оператор отбора Clsel ( SAGsCl, SNs,TNAG ) клонированных self агентов SAGscl используется для проведения отбора клонов, которые попали в сенсорные области SNs non-self агентов NAGs и превысили порог аффинности TNAG в соответствии с условием (3.19), а также для определения клонов с наилучшей аффинностью с одним из non-self агентов NAGs.

Оператор представления отобранных и клонированных self агентов друг другу SAGpres( SAGs, SAGsCl, AffSS ) используется для определения значений аффинностей AffSS между ними в соответствии с (3.16).

Оператор суппрессии Supp( SAGs, SAGsCl,CNs,TSAG ) используется для поглощения self агентов, попадающих в коммуникационные области CNs других self агентов SAGs и SAGscl и превышающих порог аффинности TSAG.

С помощью этого оператора реализуется функция передачи информации о non-self агентах NAGs другим self агентам SAGs в коммуникационных областях CNs, которая оценивается значениями аффинностей (3.16) и удовлетворяет условию:

AffS r S p TSAG, r, p 1, N, (3.23)

Оператор старения Age( SAGs, SAGsCl ) используется для замены клонированных self агентов SAGs клонами SAGscl, которые остались в результате отбора. Клонированные self агенты заменяется своими клонами в том случае, если их аффинность хуже аффинности клонов. В противном случае клоны удаляются из памяти, а self агенты остаются для клонирования на следующей популяции.

Процедура проверки критерия останова TermTest ( p ) используется для завершения работы алгоритма, которое может произойти в случае достижения состояния полной близости для self агентов, прошедших отбор, либо достижения предельного количества популяций self агентов.

Процесс распознавания ВП с помощью предлагаемой модели представляется следующим образом:

1. Формирование популяции self агентов SAGs случайным образом.

2. Для каждого non-self агента NAG определяется его близость со всеми self агентами SAGs в сенсорных областях в соответствии с (3.15).

SNs

3. Из множества self агентов выбирается подмножество, SAGs удовлетворяющее условию (3.19).

4. Выбранные self агенты подвергаются клонированию в соответствии с (3.20).

5. Множество клонов подвергается процессу мутации в соответствии с (3.22), образуя множество мутированных self агентов.

6. Определяется близость всех элементов этого множества к non-self агентам в соответствии с (3.15).

7. Из этого множества выбираются self агенты с наивысшим значением близости, удовлетворяющие условию (3.19), и помещаются в клональную память.

8. Определяется близость всех клонов памяти между собой в соответствии с (3.16).

9. Сжатие сети: поглощаются все self агенты, для которых выполняется условие (3.23).

10. Клональное подавление: удаляются все клоны памяти, для которых не выполняется условие (3.19).

11. Проверка критерия останова, в случае его достижения – переход к 12, иначе переход к 4.

12. Конец.

В соответствии с приведенным алгоритмом производится распознавание ВП. При этом выполняется кластеризация входного множества исполняемых файлов на два подмножества, первое из которых будет соответствовать ВП исследуемого семейства, а второе – не ВП или же вредоносным программам из других семейств.

3.5. Выводы по разделу 3

1. Предложена реализация БПР эвристического анализатора ВП на основе ИНС. Анализ существующих видов НС показал, что для решения задачи распознавания ВП достаточно использовать многослойный (трехслойный) персептрон, нейроны промежуточного слоя которого имеют сигмоидальную функцию активации, а нейрон выходного слоя имеет пороговую функцию активации.

2. Обучение ИНС предложено осуществлять с помощью ИИС, использующей модель кодирования настраиваемых параметров в виде адаптивного структурированного мультиантитела, что приводит к уменьшению количества нейронов в скрытом слое НС и к повышению эффективности ее обучения за счет раздельного применения иммунных операторов к каждой из частей мультантитела.

3. Для распознавания ВП предложена МАС, использующая два вида агентов: агент-детектор и агент-анализатор. Основная задача агентадетектора – мониторинг основных уязвимостей ОС, и в случае обнаружении аномальной активности – размещение информации о процессе, инициирующем эту аномальную активность, на «доске объявлений». Задача агента-анализатора – исследовать процессы, размещенные на «доске объявлений», и принятие решения, какие из процессов являются потенциальными вирусами и к какому классу ВП они относятся.

4. Предложено представление искусственной иммунной сети, используемой для распознавания ВП, в виде МАС, программные агенты которой взаимодействуют между собою в коммуникационных областях и идентифицируют исполняемые файлы в сенсорных областях, что обобщает ее описание, делает более гибкой и позволяет изменять параметры и структуру иммунной сети на основе распределенной обработки.

Основные результаты, полученные в разделе 3, опубликованы в работах [40, 46-51, 53, 56-60, 62-65, 67, 76, 78, 79, 81].

РАЗДЕЛ 4

ЭКСПЕРИМЕНТАЛЬНЫЕ ИССЛЕДОВАНИЯ

4.1. Выбор инструментальных средств для моделирования работы эвристических анализаторов вредоносных программ Для моделирования работы эвристических анализаторов ВП выбран специализированный набор инструментов.

Моделирование блока мониторинга производилось с использованием эмулятора системы Microsoft Windows – iMUL. Данное программное обеспечение эмулирует работу центрального процессора, API функций ОС и ее внутренних структур и идеально подходит для задачи мониторинга поведения программ и сбора необходимых данных.

Моделирование блока сравнения признаков производилось с помощью специально разработанных для этого утилит Threader и Matcher. Данные утилиты предназначены для преобразования и исследования информации.

Threader является консольным приложением, входные данные для его работы

– протокол эмулятора в текстовом виде. При запуске программы имя файла с протоколом передается в параметре командной строки. Выходом для этой программы являются текстовые файлы в ее рабочей папке с именами, которые соответствуют идентификаторам потоков. Формируемый файл main.txt содержит информацию о действиях основного потока.

Matcher так же является консольным приложением, выходные данные для его работы – файлы, созданные программой Threader. Имена файлов с входными данными передаются программе при запуске в аргументах командной строки.

Моделирование работы ИНС произведено с помощью аналитической платформы Deductor. Реализованные в Deductor технологии позволяют на базе единой архитектуры пройти все этапы построения аналитической системы от создания хранилища данных до автоматического подбора моделей и визуализации полученных результатов. Технологическая платформа способна моделировать работу нейронных сетей для распознавания ВП с необходимой архитектурой, поддерживает обучение с учителем и подходит для моделирования ИНС, применяемых в работе.

Моделирование ИИС aiNet проводилось при помощи программного пакета Scilab 5.5. Следовательно, реализация алгоритма обучения ИИС выполнена на высокоуровневом языке программирования M-code.

Реализованная ИИС aiNet получает в качестве входных данных файл Ag_matrix.dat, содержащий обучающую выборку.

Результатом работы алгоритма является:

– матрица антител памяти (записывается в файл M_matrix.dat);

– матрица афинностей между антителами памяти (используется для построения дендрограммы и гистограммы минимального связывающего дерева);

– графическая интерпретация обученной ИИС aiNet, а именно дендрограмма и гистограмма минимального связывающего дерева строятся при помощи средств программного пакета MATLAB 8.1.

Анализ данных, полученных в результате обучения ИИС aiNet, а также распознавание новых антигенов производится посредством специально разработанной утилиты aiNet_Help_Tool. Разработанная утилита принимает в качестве входных параметров файлы Ag_matrix.dat, M_matrix.dat, а также файл, содержащий данные для распознавания новых антигенов (New_Ag.dat).

4.2. Получение данных и предварительная обработка протоколов работы вредоносных программ Данный этап работы предполагает запуск ВП на эмуляторе и получение протоколов их работы. Для эксперимента были взяты следующие ВП:

1. Семейство троянских программ, предназначенных для похищения паролей, включая следующие модификации:

Trojan-PSW.Win32.LdPinch.aup;

Trojan-PSW.Win32.LdPinch.azw;

Trojan-PSW.Win32.LdPinch.bdl;

Trojan-PSW.Win32.LdPinch.bik;

Trojan-PSW.Win32.LdPinch.bki;

Trojan-PSW.Win32.LdPinch.bkk.

2. Семейство сетевых червей, представленных модификациями компонента, рассылаемого по электронной почте, который выполняет функцию закачки и установки других компонентов ВП на компьютер пользователя. Были выбраны следующие модификации:

Email-Worm.Win32.Warezov.ew;

Email-Worm.Win32.Warezov.do;

Email-Worm.Win32.Warezov.fb;

Email-Worm.Win32.Warezov.jx;

Email-Worm.Win32.Warezov.jg.

Email-Worm.Win32.Warezov.ms;

Email-Worm.Win32.Warezov.oa;

Email-Worm.Win32.Warezov.on.

Данные модификации были запущены на эмуляторе, и для каждой из них был получен протокол. Полученные протоколы были проанализированы с помощью программы Threader, которая вычла из них служебную информацию о системных вызовах, не изменяющих систему.

Отфильтрованные протоколы сравнивались попарно каждый с каждым при помощи специально разработанной утилиты Matcher. Пример работы программы показан на рис. 4.1.

Результатом работы данной программы явилось множество общих для всех входных протоколов фрагментов (характерных поведенческих признаков).

Программа выявила следующие признаки для набора троянских программ из семейства Trojan-PSW.Win32.LdPinch:

Рисунок 4.1 – Окно программы Matcher

Признак 1 – встречается в следующих модификациях ВП:

Trojan-PSW.Win32.LdPinch.azw;

Trojan-PSW. Win32.LdPinch. bdl;

Trojan-PSW.Win32.LdPinch.bik;

Trojan-PSW.Win32. LdPinch.bkk.

Признак 2 – встречается в следующих модификациях ВП:

Trojan-PSW.Win32.LdPinch.aup;

Trojan-PSW.Win32.LdPinch.azw;

Trojan-PSW.Win32.LdPinch.bdl;

Trojan-PSW.Win32.LdPinch.bik;

Trojan-PSW.Win32.LdPinch.bki;

Trojan-PSW.Win32.LdPinch.bkk.

Признак 3 – встречается в следующих модификациях ВП:

Trojan-PSW.Win32.LdPinch.aup;

Trojan-PSW.Win32.LdPinch.azw;

Trojan-PSW.Win32.LdPinch.bdl;

Trojan-PSW.Win32.LdPinch.bik;

Trojan-PSW.Win32.LdPinch.bki;

Trojan-PSW.Win32.LdPinch.bkk.

Признак 4 – встречается в следующих модификациях ВП:

Trojan-PSW.Win32.LdPinch.aup;

Trojan-PSW.Win32.LdPinch.azw;

Trojan-PSW.Win32.LdPinch.bdl;

Trojan-PSW.Win32.LdPinch.bik;

Trojan-PSW.Win32.LdPinch.bkk.

Признак 5 – встречается в следующих модификациях ВП:

Trojan-PSW.Win32.LdPinch.aup;

Trojan-PSW.Win32.LdPinch.azw;

Trojan-PSW.Win32.LdPinch.bdl;

Trojan-PSW.Win32.LdPinch.bki.

Признак 6 – встречается в следующих модификациях ВП:

Trojan-PSW.Win32.LdPinch.aup;

Trojan-PSW.Win32.LdPinch.azw;

Trojan-PSW.Win32.LdPinch.bki.

Признак 7 – встречается в следующих модификациях ВП:

Trojan-PSW.Win32.LdPinch.aup;

Trojan-PSW.Win32.LdPinch.azw;

Trojan-PSW.Win32.LdPinch.bdl;

Trojan-PSW.Win32.LdPinch.bik;

Trojan-PSW.Win32.LdPinch.bki;

Trojan-PSW.Win32.LdPinch.bkk.

Признак 8 – встречается в следующих модификациях ВП:

Trojan-PSW.Win32.LdPinch.aup;

Trojan-PSW.Win32.LdPinch.azw;

Trojan-PSW.Win32.LdPinch.bik;

Trojan-PSW.Win32.LdPinch.bki;

Trojan-PSW.Win32.LdPinch.bkk.

Признак 9 – встречается в следующих модификациях ВП:

Trojan-PSW.Win32.LdPinch.aup;

Trojan-PSW.Win32.LdPinch.azw;

Trojan-PSW.Win32.LdPinch.bik;

Trojan-PSW.Win32.LdPinch.bki;

Trojan-PSW.Win32.LdPinch.bkk.

Признак 10 – встречается в следующих модификациях ВП:

Trojan-PSW.Win32.LdPinch.aup;

Trojan-PSW.Win32.LdPinch.azw;

Trojan-PSW.Win32.LdPinch.bik;

Trojan-PSW.Win32.LdPinch.bki;

Trojan-PSW.Win32.LdPinch.bkk.

Признак 11 – встречается в следующих модификациях ВП:

Trojan-PSW.Win32.LdPinch.aup;

Trojan-PSW.Win32.LdPinch.azw;

Trojan-PSW.Win32.LdPinch.bik;

Trojan-PSW.Win32.LdPinch.bki.

Признак 12 – встречается в следующих модификациях ВП:

Trojan-PSW.Win32.LdPinch.aup;

Trojan-PSW.Win32.LdPinch.azw;

Trojan-PSW.Win32.LdPinch.bik;

Trojan-PSW.Win32.LdPinch.bki;

Trojan-PSW.Win32.LdPinch.bkk.

Признак 13 – встречается в следующих модификациях ВП:

Trojan-PSW.Win32.LdPinch.aup:

Trojan-PSW.Win32.LdPinch.azw:

Trojan-PSW.Win32.LdPinch.bki.

Таким образом, было выявлено 13 характерных поведенческих признаков для набора троянских программ из семейства TrojanPSW.Win32.LdPinch и подсчитаны рейтинги их встречаемости:

Признак 1: 4/6 = 0.66;

Признак 2: 6/6 = 1;

Признак 3: 6/6 = 1;

Признак 4: 5/6 = 0.83;

Признак 5: 4/6 = 0.66;

Признак 6: 3/6 = 0.5;

Признак 7: 6/6 = 1;

Признак 8: 5/6 = 0.83;

Признак 9: 5/6 = 0.83;

Признак 10: 5/6 = 0.83;

Признак 11: 5/6 = 0.83;

Признак 12: 5/6 = 0.83;

Признак 13: 3/6 = 0.5.

Далее выполним аналогичную процедуру для ВП EmailWorm.Win32.Warezov семейства сетевых червей.

Были выявлены следующие поведенческие признаки:

Признак 1 – встречается в следующих модификациях ВП:

Email-Worm.Win32.Warezov.do;

Email-Worm.Win32.Warezov.jg.

Признак 2 – встречается в следующих модификациях ВП:

Email-Worm.Win32.Warezov.ew;

Email-Worm.Win32.Warezov.fb;

Email-Worm.Win32.Warezov.jx;

Email-Worm.Win32.Warezov.ms;

Email-Worm.Win32.Warezov.oa;

Email-Worm.Win32.Warezov.on.

Признак 3 – встречается в следующих модификациях ВП:

Email-Worm.Win32.Warezov.do;

Email-Worm.Win32.Warezov.jg.

Таким образом, было выявлено 3 характерных поведенческих признака для набора ВП Email-Worm.Win32.Warezov из семейства сетевых червей и подсчитаны рейтинги их встречаемости:

Признак 1: 2/8 = 0.25;

Признак 2: 6/8 = 0.75;

Признак 3: 2/8 = 0.25.

Далее были сформированы обучающие выборки из рейтингов встречаемости признаков во вредоносных и не вредоносных объектах и запущен процесс обучения как ИИС, так и ИНС. Результаты обучения позволили выделить во входных данных двух кластеров. Дальнейшая обработка полученных данных, а также распознавание новых программ проводилось при помощи утилиты aiNet_Help_Tool.

4.3 Распознавание вредоносных программ семейства TrojanPSW.Win32.LdPinch

–  –  –

Таблица 4.1 – Обучающая выборка для распознавания вредоносных программ семейства Trojan-PSW.

Win32.LdPinch Конструируем нейронную сеть и выполняем ее обучение (рис. 4.2) с помощью ИИС. Модель нейронной сети представлена на рис. 4.3.

–  –  –

Ошибка обучения стремится к нулю, из этого следует, что данные для выборки были выбраны корректно и сеть обучилась.

Далее выполним обработку данных с помощью созданной нейронной сети и произведем классификацию новых образцов ВП:

Trojan-PSW.Win32.LdPinch.cgi;

Trojan-PSW.Win32.LdPinch.byc.

Проверим правильность распознавания, подав на вход нейросети данные о признаках неизвестных ей объектов. Результаты распознавания приведены на рис. 4.4 и 4.5.

Из результатов распознавания видно, что обученная нейронная сеть успешно справилась с возложенной на нее задачей: обе модификации были распознаны верно.

Рисунок 4.3 – Конфигурация нейронной сети Рисунок 4.

4 – Распознавание новой модификации Trojan-PSW.Win32.LdPinch.cgi

–  –  –

Построим эвристический анализатор ВП семейства TrojanPSW.Win32.LdPinch на основе ИИС AINet. Для этого запускаем процесс обучения иммунной сети на выборке, приведенной в табл.

4.1, со следующими параметрами:

- порог сжатия иммунной сети: s = 0,1;

- процент отбираемых зрелых антител: = 20%;

- порог естественной смертности: d = 0,02;

- количество отбираемых антител с максимальной афинностью для каждого антитела (селекция): n = 2;

- количество поколений обучения: Gen = 20.

Графическая интерпретация обученной иммунной сети приведена на рис. 4.6 и 4.7. Исходя из графической интерпретации обученной иммунной сети, можно сделать вывод о наличии во входных данных двух кластеров.

Первый кластер составляют антитела: 4, 8, 9, 10, 6, 11, 3; второй – антитела:

1, 2, 5, 7, 12. Дальнейшую обработку полученных данных, а также распознавание новых антигенов проведем при помощи утилиты aiNet_Help_Tool.

Рисунок 4.6 – Дендрограмма обученной иммунной сети Рисунок 4.

7 – Гистограмма минимального связывающего дерева обученной иммунной сети Результаты работы утилиты aiNet_Help_Tool приведены на рис. 4.8.

–  –  –

Как видно из результатов работы утилиты aiNet_Help_Tool, антитела 1, 2, 5, 7, 12 распознают вредоносные антигены (2-й кластер); антитела 3, 4, 6, 8, 9, 10, 11 распознают не вредоносные антигены или антигены из других вредоносных семейств (1-й кластер).

В качестве новых антигенов для распознавания иммунной сетью используются две ВП из семейства Trojan-PSW.Win32.LdPinch и две не ВП, а именно:

1-й антиген – Trojan-PSW.Win32.LdPinch.cgi;

2-й антиген – Trojan-PSW.Win32.LdPinch.byc;

3-й антиген – Mirabilis ICQ;

4-й антиген – Opera Web Browser.

Данные, характеризующие новые антигены, приведены в табл. 4.2.

Таблица 4.2 – Данные, характеризующие новые антигены Результаты распознавания новых антигенов приведены на рис.

4.9.

Рисунок 4.9 – Результаты распознавания новых антигенов Как видно из рис.

4.9, обученная иммунная сеть правильно вынесла вердикты: 1-й и 2-й антигены оказались вредоносными, а 3-й и 4-й – не вредоносными. Можно сделать вывод, что данная искусственная иммунная сеть способна распознавать новые модификации ВП из рассматриваемого семейства..

Из проведенного эксперимента можно сделать следующие выводы:

– при условии корректной обучающей выборки и верного выбора параметров обучения искусственные иммунная и нейронная сети дают одинаковую точность детектирования новых модификаций вредоносных файлов;

– процесс обучения иммунной сети происходит на порядок быстрее, чем нейронной. Уже на 14-й итерации алгоритма обучения получаем множество антител памяти, пригодное для детектирования новых антигенов;

– по скорости детектирования новых модификаций ВП уже обученная нейронная сеть превосходит иммунную. Это объясняется большим количеством операций сравнения в алгоритме распознавания.

Распознавание вредоносных программ семейства 4.4 EmailWorm.Win32.Warezov Разработаем теперь НС для распознавания ВП семейства EmailWorm.Win32.Warezov. Выполним порядок действий такой же, как при разработке НС для семейства Trojan-PSW.Win32.LdPinch. Формируем обучающую выборку из рейтингов встречаемости признаков во вредоносных и не вредоносных объектах. Данные представлены в табл. 4.3.

–  –  –

Рисунок 4.10 – Обучение нейронной сети Конструируем нейронную сеть и выполняем ее обучение (рис.

4.10) с использованием ИИС. Модель полученной НС представлена на рис. 4.11.

–  –  –

Проверим правильность распознавания, подав на вход НС данные о признаках неизвестных ей объектов. Результаты распознавания приведены на рисунках 4.12 – 4.14.

–  –  –

Рисунок 4.13 – Распознавание ВП Trojan-Downloader.

Win32.Small.ai Рисунок 4.14 – Распознавание ВП Trojan-Downloader.Win32.Agent.bqs Как видно из рисунка 4.12 для новой модификации червя НС дала положительный ответ, а для ВП других семейств, как видно на рис. 4.13 и

4.14 ответ был отрицательный, что соответствует действительности.

Следовательно, построенная и обученная НС способна правильно распознавать новые модификации ВП семейства EmailWorm.Win32.Warezov.

Разработаем ИИС для детектирования ВП семейства EmailWorm.Win32.Warezov. Выполним порядок действий, такой же, как при разработке сети для семейства Trojan-PSW.Win32.LdPinch. Обучающая выборка представлена в таблице 4.3. Параметры процесса обучения оставлены без изменений. Графическая интерпретация обученной иммунной сети приведена на рис. 4.15 и 4.16.

–  –  –

Рисунок 4.16 – Дендрограмма обученной иммунной сети Дальнейшую обработку полученных данных, а также распознавание новых антигенов проведем при помощи утилиты aiNet_Help_Tool.

В качестве новых антигенов для распознавания сетью используются одна ВП из семейства Email-Worm.Win32.Warezov и две ВП из других семейств, а именно:

1-й антиген – Email-Worm.Win32.Warezov.fd;

2-й антиген – Trojan-Downloader.Win32.Small.ai;

3-й антиген – Trojan-Downloader.Win32.Agent.bqs.

Данные, характеризующие новые антигены, приведены в таблице 4.4.

Таблица 4.4 – Данные для распознавания новых антигенов Результаты работы утилиты aiNet_Help_Tool приведены на рис.

4.17.

–  –  –

Как видно из рис. 4.17 обученная иммунная сеть правильно вынесла вердикты: 1-й антиген является вредоносным, а 2-й и 3-й относятся к другим семействам ВП. Следовательно, можно сделать вывод, что разработанная иммунная сеть успешно решает возложенную на нее задачу распознавания ВП семейства Email-Worm.Win32.Warezov.

4.5. Сравнительный анализ эффективности разработанных методов и моделей распознавания вредоносных программ

–  –  –

Из приведенных в табл. 4.5 результатов можно сделать вывод о том, что по использованию системных ресурсов для распознавания загрузочных вирусов нейросетевой подход и мультиагентная система имеют сопоставимые результаты, а ИИС имеет несколько худший результат. Для распознавания файловых вирусов загрузка ЦП и ОП при использовании всех подходов примерно одинаковая, а вот по времени, затраченному на анализ, МАС имеет немного лучшие показатели по сравнению с ИИС и ИНС.

Затраты ЦП на распознавание сетевых вирусов у всех подходов примерно одинаковые, затраты ОП у нейросетевого анализатора меньше по сравнению с другими подходами, а по затраченному времени мультиагентный имеет лучшие показатели. Для распознавания макровирусов по загрузке ЦП все используемые подходы имеют примерно одинаковые показатели, по загрузке ОП нейросетевой и мультиагентный подходы имеют преимущество перед иммунным, а по затраченному времени мультиагентный подход превосходит другие методы.

В целом по результатам сравнительного анализа можно сделать вывод, что МАС определяет ВП с меньшим потреблением системных ресурсов в сравнении с нейросетевым и иммунным эвристическими анализаторами.

Проведем теперь сравнительный анализ эффективности распознавания рассмотренных выше ВП различных семейств различными антивирусными программами [80]. Результаты сравнительного анализа приведены в табл.

4.6., в которой «да» означает, данная ВП распознана соответствующей антивирусной программой, а «нет» – что она не распознана.

–  –  –

1. Для моделирования работы ЭА был выбран специализированный набор инструментов. Моделирование блока мониторинга проводилось с использованием эмулятора системы Microsoft Windows – iMUL.

Моделирование блока сравнения признаков проводилось с помощью специально разработанных для этого утилит Threader и Matcher.

Моделирование работы ИНС произведено с помощью аналитической платформы Deductor. Моделирование работы ИИС и МАС проводилось при помощи программного пакета MATLAB 8.1.

2. В качестве тестовых рассмотрены задачи распознавания ВП семейства троянских программ и сетевых червей с использованием ИИС и ИНС. При этом ИИС и ИНС дают одинаковую точность детектирования новых модификаций ВП, процесс обучения ИИС происходит на порядок быстрее, чем ИНС, а по скорости детектирования новых модификаций вредоносных файлов уже обученная нейронная сеть превосходит иммунную.

3. Проведен сравнительный анализ разработанных методов и моделей распознавания ВП по потреблению системных ресурсов на различных семействах вирусов, который показал, что МАС определяет вредоносные программы с меньшим потреблением системных ресурсов в сравнении с нейросетевым и иммунным эвристическими анализаторами.

4. Проведен сравнительный анализ разработанных методов и моделей распознавания ВП различных семейств с существующими антивирусными программами, который показал, что предложенные в работе методы и модели превосходят существующие антивирусные продукты и способны распознавать неизвестные ВП.

5. Нейросетевой анализатор ВП с иммунным обучением используется для повышения эффективности системы безопасности компьютерной сети ООО «Ипра-софт» (акт внедрения от 31.01.15 г.), эвристический анализатор ВП на основе ИИС используется в работе с сетевыми протоколами и в администрировании ООО «Интехсофт» (акт внедрения от 30.04.15 г.).

Основные результаты, полученные в разделе 4, опубликованы в работах [20, 46, 51, 54-56, 58-60, 67].

ВЫВОДЫ Таким образом, по результатам исследований, посвященных решению важной научной задачи, которая имеет практическое значение по усовершенствованию технологий обеспечения компьютерной безопасности и состоит в разработке совокупности новых методов и моделей распознавания вредоносных программ на основе ИИС, которые, с одной стороны, обеспечивают обучение, адаптацию и модификацию структуры и параметров разработанных моделей к предметной области, а с другой, позволяет создавать более эффективные методы поиска и анализа альтернативных решений, были получены следующие научные результаты:

1. Новая обобщенная модель эвристического анализатора, выполняющая вероятностное распознавание вредоносных программ на основе взвешенной оценки некоторого количества признаков, которая использует поведенческий анализ на основании данных, получаемых от эмуляторов, и выполняет анализ с помощью различных интеллектуальных технологий, использование которой позволяет определять новые модификации вирусов, а также свести риск ложных срабатываний к минимуму.

2. Обучение, детектирование и распознавание ВП предложено осуществлять с помощью искусственной иммунной сети, которая позволяет распознавать ВП организованной сетью взаимодействующих антител. При этом выполняется кластеризация входного множества данных на два подмножества, первое из которых соответствует ВП исследуемого семейства, а второе – не ВП или же ВП из других семейств.

3. Предложена реализация эвристического анализатора ВП на основе ИНС, в качестве которой достаточно использовать трехслойный персептрон.

Обучение ИНС предложено осуществлять с помощью ИИС, использующей модель кодирования настраиваемых параметров в виде адаптивного структурированного мультиантитела, что приводит к уменьшению количества нейронов в скрытом слое НС и к повышению эффективности ее обучения за счет раздельного применения иммунных операторов к каждой из частей мультиантитела.

4. Новая модель распознавания ВП в виде МАС на основе организации взаимодействий как между программными агентами и исполняемыми файлами, так и программных агентов между собой, которая позволяет распознавать вирусы с минимально возможными затратами системных ресурсов.

5. Новое представление модели искусственной иммунной сети в виде МАС, программные агенты которой взаимодействуют между собою в коммуникационных областях и идентифицируют исполняемые файлы в сенсорных областях, определяемых аффинностями, что делает ее легко масштабируемой и более обобщенной и позволяет изменять параметры и структуру иммунной сети на основе распределенной обработки.

6. Проведен сравнительный анализ разработанных методов и моделей распознавания ВП на различных семействах вирусов, который показал, что МАС определяет вредоносные программы с меньшим потреблением системных ресурсов в сравнении с нейросетевым и иммунным подходами.

Проведен сравнительный анализ разработанных методов и 7.

моделей распознавания ВП различных семейств с существующими антивирусными программами, который показал, что для некоторых семейств ВП предложенные в работе методы и модели превосходят существующие антивирусные продукты и способны распознавать неизвестные ВП.

Нейросетевой анализатор вредоносных программ с иммунным 8.

обучением использован для повышения эффективности системы безопасности компьютерной сети ООО «Ипра-софт», а эвристический анализатор вредоносного кода на основе искусственной иммунной сети использован для работы с сетевыми протоколами и в системном администрировании ООО «Интехсофт».

Результаты работы также использованы в учебном процессе 9.

Харьковского национального университета радиоэлектроники.

Накопленный опыт позволяет наметить пути дальнейших теоретических и практических исследований по совершенствованию методов и моделей распознавания ВП.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Абрамов Е.С. Метод обнаружения распределенных информационных воздействий на основе гибридной нейронной сети / Е.С. Абрамов, И.Д. Сидоров // Известия Южного федерального университета.

Технические науки. – 2009. – Т. 100. – № 11. – С. 154-164.

2. Аветисян А.И. Технологии статического и динамического анализа уязвимостей программного обеспечения / А.И. Аветисян, А.А. Белеванцев, И.И. Чукляев // Вопросы кибербезопасности. – 2014. – №3(4). – С. 20-28.

3. Агурьянов И.А. Классификация методов и средств защиты информации [Электронный ресурс] / И.А. Агурьянов. – Securitylab, 2012. – Режим доступа: http://www.securitylab.ru/blog/personal/aguryanov/30011.php.ru.

4. Аксак Н.Г. Система параллельно-распределенного экспертного оценивания / Н.Г. Аксак, А.Ю. Лебдкина, М.В. Кушнарв // Вісник ХНТУ. – Херсон: ХНТУ, 2011. – №2 (41). – C. 403-407.

Алексеев П.П. Антивирусы / П.П. Алексеев, А.П. Корш, 5.

Р.Г. Прокди. – СПб.: Наука и техника, 2010. – 80 с.

6. Алиев А.Т. Проактивные системы защиты от вредоносного программного обеспечения / А.Т. Алиев // Известия Южного федерального университета. Технические науки. – 2014. – № 2(151). – С.45-52.

7. Андреев Н.О. Перспективы развития антивирусных продуктов / Н.О. Андреев // Прикладная информатика, 2009. – № 1 – С. 64-76.

8. Андрейчиков А.В. Интеллектуальные информационные системы / А.В. Андрейчиков, О.Н. Андрейчикова.–М.: Финансы и статистика, 2004.–424с.

9. Ашманов И.С. Продвижение сайта в поисковых системах / И.С.

Ашманов И.С., А.А. Иванов. – М.: Издат. дом «Вильямс», 2007. – 304 с.

10. Бабенко Л.К. Классификация вредоносного программного обеспечения на основе поведенческих признаков / Л.К. Бабенко, Е.П. Тумоян, К.В. Цыганок, М.В. Аникеев // Известия Южного федерального университета. Технические науки. – 2012. – № 4(129). – С. 29-37.

11. Байдык Т.Н. Нейронные сети и задачи искусственного интеллекта / Т.Н. Байдык. – Киев: Наукова Думка, 2001. – 264 с.

12. Безобразов С.В. Алгоритмы исскуственных имунных систем и нейронних сетей для обнаружения вредоносных программ / С.В. Безобразов, В.А. Головко // Нейрониформатика. – 2010. – №7. – С. 273-288.

13. Безобразов С.В. Искусственные иммунные системы для защиты информации: сравнительный анализ методов негативной и позитивной селекций детекторов / С.В. Безобразов // Инженерный вестник. – 2006. – №1(21). – С. 76-82.

14. Безобразов С.В. Искусственные иммунные системы для защиты информации: обнаружение и классификация компьютерных вирусов / С.В. Безобразов, В.А. Головко // Нейроинформатика-2008: материалы IX Всеросс. науч.-техн. конф., Москва, МИФИ, 2008. – С. 23-27.

15. Безобразов, С.В. Применение нейросетевых детекторов в искусственных иммунных системах для обнаружения и классификации компьютерных вирусов / С.В. Безобразов, В.А. Головко // Нейрокомпьютеры.

– 2010. – № 5. – С. 17-31.

16. Бил Дж. Обнаружение вторжений / Дж. Бил. – М.: ООО «БиномПресс», 2006. – 656 с.

Бідюк П.І. Формалізація методів побудови штучних імунних мереж / 17.

П.І. Бідюк, В.І. Литвиненко, А.О. Фефелов // Наукові вісті НТУУ «КПІ». – 2007.

– C. 29-41.

18. Бодянский Е.В. Искусственные нейронные сети: архитектуры, обучение, применения / Е.В. Бодянский, О.Г. Руденко. – Харьков: ТЕЛЕТЕХ, 2004. – 372 с.

19. Борисов В.В. Нечеткие модели и сети / В.В. Борисов, В.В. Круглов, Ф.С. Федулов. – М: Горячая линия-Телеком, 2007. – 284 с.

20. Бритик В.И. Проекционный метод автоматической классификации с использованием таксономических алгоритмов / В.И. Бритик, Н.М. Кораблев, М.В. Кушнарев // Системи управління, навігації та зв’язку. – 2012. – Вип. 1(21). – Т. 2. – С. 74-80.

21. Васильев В.И. Нейронные сети при обнаружении атак в сети Internet (на примере атаки SYNFLOOD) / В.И. Васильев, А.Ф. Хафизов // Нейрокомпьютеры в информационных и экспертных системах. – М.:

Радиотехника, 2007. – №6. – С. 34-38.

22. Войцехович Л.Ю. Применение мультиагентной системы с нейросетевым классификатором для выявления атак в трафике TCP/IP / Л.Ю. Войцехович, В.А. Головко, Курош Мадани // Нейроинформатика. – 2011. – Ч. 1. – С. 190-201.

23. Гаврилов А.В. Применение иммунных систем в целях защиты корпоративной информации от нецелевого использования / А.В. Гаврилов, А.В. Тихомиров // Известия Южного федерального университета.

Технические науки. – 2010. – Т. 108. – № 7. – С. 154-163.

24. Гаврилов А.В. Применение постоянно модифицирующихся нейронных сетей для защиты программного обеспечения / А.В. Гаврилов // Нейрокомпьютеры: разработка, применение. – 2008. – № 1-2. – С. 90-101.

25. Гаврилова Т.А. Базы знаний интеллектуальных систем / Т.А. Гаврилова, В.Ф. Хорошевский. – СПб.: Питер, 2000. – 384 с.

26. Галушкин А.И. Нейронные сети: основы теории / А.И. Галушкин. – М.: Горячая линия–Телеком, 2010. – 480 с.

27. Гатаулин С. Распознавание вирусов с частичной полиморфностью / С. Гатаулин. – М.: Написано пером, 2012. – 51 с.

28. Головко В.А. Проектирование интеллектуальных систем обнаружения аномалий / В.А. Головко, С.В. Безобразов // Матер. междунар.

научно-технич. конф. «Открытые семантические технологии проектирования интеллектуальных систем» – OSTIS-2011. – С. 185-196.

29. Гошко С.В. Технологии борьбы с компьютерными вирусами / С.В. Гошко. – СПб.: Солон-Пресс, 2009. – 352 с.

30. Гришин А.В. Нейросетевые технологии в задачах обнаружения компьютерных атак / А.В. Гришин // Информационные технологии и вычислительные системы. – 2011. – №1. – С. 53 -64.

31. Демидова Л.А. Модифицированный алгоритм клонального отбора для анализа временных рядов с короткой длиной актуальной части / Л.А. Демидова, А.В. Корячко, Т.С. Скворцова // Системы управления и информационные технологии. – 2010. – № 4. – С. 131-136.

32. Доля А. Проактивные технологии для борьбы с вирусами / А. Доля // Экспресс Электроника. – 2006. – С. 28-36.

33. Емельянова Ю.Г. Анализ проблем и перспективы создания интеллектуальной системы обнаружения и предотвращения сетевых атак на облачные вычисления / Ю.Г. Емельянова, В.П. Фраленко // Программные системы: теория и приложения. – 2011. – № 4(8). – С. 17-31.

34. Емельянова Ю.Г. Нейросетевая технология обнаружения сетевых атак на информационные ресурсы / Ю.Г. Емельянова, А.А. Талалаев, И.П. Тищенко, В.П. Фраленко // Программные системы: теория и приложения. – 2011. – Т. 2. – № 3. – С. 3-15.

35. Зайцев О. Нейросети в системах безопасности / О. Зайцев // ITСпец. – 2007. – № 6. – С. 54–59.

36. Зайцев С.А. Обобщенная модель искусственной иммунной системы / С.А. Зайцев, С.А. Субботин // Нейроинформатика. – 2010. – Ч. 2 – С. 98-107.

37. Искусственные иммунные системы и их применение / Под ред.

Д. Дасгупты [пер. с англ. А.А. Романюхи]. – М.: ФИЗМАТЛИТ, 2006. – 344 с.

38. Касперски К. Записки исследователя компьютерных вирусов / К. Касперски. – СПб.: Питер, 2012. – 316 с.

39. Касперски К. Компьютерные вирусы изнутри и снаружи / К. Касперски. – СПб.: Питер, 2011. – 527 с.

Киктенко Т.А. Использование мультиагентного подхода в 40.

задачах обнаружения вредоносного кода / Т.А. Киктенко, М.В. Кушнарев, М.В. Мартынов // 17-й Международный молодежный форум «Радиоэлектроника и молодежь в XXI веке». Сб. Материалов форума Т.5. – Харьков: ХНУРЭ, 2014. – С.202-203.

41. Климентьев К.Е. Компьютерные вирусы и антивирусы: взгляд программиста / К.Е. Климентьев. – М.: ДМК, 2013. – 185 с.

42. Колеватов В.Ю. Методы искусственного интеллекта в задачах обеспечения безопасности компьютерных сетей / В.Ю. Колеватов, Е.В. Котельников // Вопросы защиты информации. – 2013. – № 1. – С. 1-23.

43. Колесников В.И. Детектирование вредоносных программ:

продвинутый подход / В.И. Колесников // Земский фершал, 2005 – Вып. 5. – С. 17-26.

44. Комар М.П. Метод построения совокупного классификатора трафика информационно-телекоммуникационных сетей для иерархической классификации компьютерных атак / М.П.Комар // Системи обробки інформації. – 2012. – Вип. 3(101). – Т. 1. – С.134-138.

45. Комар М.П. Нейросетевой подход к обнаружению сетевых атак на компьютерные системы / М.П. Комар, И.О. Палий, Р.П. Шевчук, Т.Б. Федысив // Інформатика та математичні методи в моделюванні. – 2011. – Т. 1. – №2. – С. 156-160.

46. Кораблев Н.М. Агентно-ориентированный подход на основе искусственных иммунных систем для решения задачи коммивояжера / Н.М.

Кораблв, Г.С. Иващенко, М.В. Кушнарев // Бионика интеллекта: науч.-техн.

журнал. – 2012. – № 2(79). – С. 33-37.

47. Кораблев Н.М. Взаимодействие агентов в мультиагентной системе с использованием искусственных иммунных систем / Н.М. Кораблев, М.В. Кушнарев, И.О. Кальницкий, Р.И. Подоляка // Сучасні напрями розвитку інформаційно-комунікаційних технологій та засобів управління:

Матеріали третьої міжнар. наук.-техн.конференції, 11-12 квітня 2013 р. – Харків: ДП «ХНДІ ТМ», 2013. – С. 51.

48. Кораблев Н.М. Гибридная модель эвристического анализатора вредоносных программ / Н.М. Кораблев, М.В. Кушнарев, Д.П. Ужвий // Сучасні напрями розвитку інформаційно-комунікаційних технологій та засобів управління: Матеріали п’ятої міжнар. наук.-техн.конференції, 23-24 квітня 2015 р. – Полтава: ПНТУ; Баку: ВА ЗС АР; Бєлгород: НДУ «БєлДУ»;

Кіровоград: КЛА НАУ; Харків: ДП «ХНДІ ТМ», 2015. – С. 27.

49. Кораблев Н.М. Иммунная модель обнаружения компьютерных вирусов на основе мультиагентного подхода / Н.М. Кораблев, М.В. Кушнарев, М.В. Мартынов // Друга міжнар. наук.-техн. конференція «Проблеми інформатизації». Тези доповідей. – Київ–Полтава–Катовице– Париж–Білгород–Черкаси–Харків, 2014. – С. 73.

50. Кораблев Н.М. Иммунный алгоритм обучения адаптивных нечетких нейронных сетей / Н.М. Кораблев, И.В. Сорокина, А.И. Русецкий // Системи управління, навігації та зв’язку. – 2008. – Вип. 4(8). – С. 62–67.

Кораблев Н.М. Использование адаптивного структурированного 51.

мультиантитела для обучения нейросетевого анализатора вредоносных программ / Н.М. Кораблев, М.В. Кушнарев // Обчислювальний інтелект (результати, проблеми, перспективи): Матеріали III-ої Міжнар. наук.-практ.

конференції. – Черкаси, 2015. – С.84-85.

52. Кораблев Н.М. Использование искусственной иммунной сети для обнаружения и анализа вредоносных программ / Н.М. Кораблев, М.В. Кушнарев, М.В. Мартынов // Перша міжнар. наук.-техн. конференція «Проблеми інформатизації». Тези доповідей. – Черкаси–Київ–Тольятті– Харків, 2013. – С. 51-52.

53. Кораблев Н.М. Модель интеллектуальной мультиагентной системы на основе искусственной иммунной сети / Н.М. Кораблев, М.В. Кушнарев // Интеллектуальные системы принятия решений и проблемы вычислительного интеллекта: Материалы междун. научн.конференции. – Херсон: 2013. – С. 456-457.

54. Кораблев Н.М. Модель эвристического анализатора вредоносных программ на основе искусственной иммунной сети / Н.М. Кораблев, М.В. Кушнарев // Системи обробки інформації. – 2013. – Вип. 8(115). – С. 216-222.

55. Кораблев Н.М. Модификация иммунного метода RLAIS для автоматической классификации объектов / Н.М. Кораблев, А.А. Фомичев, М.В. Кушнарев // Проблеми інформаційних технологій: наук.-техн. журнал. – 2014. – № 02(016). – С. 29-38.

56. Кораблев Н.М. Мультиагентная модель искусственной иммунной системы для распознавания вредоносных программ / Н.М. Кораблев, М.В. Кушнарев // Бионика интеллекта: науч.-техн. журнал. – 2014. – № 1 (82).

– С. 90-94.

57. Кораблев Н.М. Мультиагентная система на основе искусственной иммунной сети / Н.М. Кораблев, М.В. Кушнарев // Тези доповідей другої Міжнар. наук.-техн. конференції «Інформаційні проблеми теорії акустичних, радіоелектронних і телекомунікаційних систем IPST-2013» 29 вересня – 2 жовтня 2013 р., Алушта. – Харків, НТУ «ХПІ», 2013. – С. 50-51.

58. Кораблев Н.М. Нейросетевой эвристический анализатор вредоносных программ с иммунным обучением / Н.М. Кораблев, М.В. Кушнарев, Д.П. Ужвий // Радиоэлектроника и информатика: научнотехн.журнал. – 2014. – № 2 (65). – С. 19-25.

59. Кораблв Н.М. Нечеткая классификация объектов на основе искусственных иммунных систем / Н.М. Кораблев, А.А. Фомичев, М.В. Кушнарев // Наук. вісник Чернівецького ун-ту «Комп’ютерні системи та компоненти»: збірник наукових праць. – 2010. – Том 1. Вип.2. – С. 88-94.

60. Кораблв Н.М. Обнаружение и анализ вредоносных программ с использованием мультиагентного подхода / Н.М. Кораблв, М.В. Кушнарев, О.Г. Лебедев // Збірник наукових праць Харківського університету Повітряних Сил. – 2015. – Вип. № 1(42). – С. 42-47.

61. Кораблев Н.М. Обнаружение и анализ компьютерных вирусов на основе искусственной иммунной сети / Н.М. Кораблев, М.В. Кушнарев, Т.А. Киктенко // Сборник научных статей по итогам 2-й Междунар. научнопракт. конф. «Информатика, математическое моделирование, экономика». – Т. 2. – Смоленск, 2013. – С. 30-35.

62. Кораблев Н.М. Представление мультиагентной системы с помощью искусственной иммунной системы / Н.М. Кораблев, М.В. Кушнарев // Матеріали 2-ї Міжнародної наук.-техн. конференції «Обчислювальний інтелект (ОІ-2013)», (14-17 травня 2013, м. Черкаси). – Черкаси: Маклаут, 2013. – С. 107.

63. Кораблев Н.М. Эвристический анализатор вредоносных программ на основе нейронной сети / Н.М. Кораблев, М.В. Кушнарев, Д.П. Ужвий // Сучасні напрями розвитку інформаційно-комунікаційних технологій та засобів управління: Матеріали четвертої міжнар. наук.-техн.конференції, 4-5 грудня 2014 р. – Полтава: ПНТУ; Баку: ВА ЗС АР; Бєлгород: НДУ «БєлДУ»;

Кіровоград: КЛА НАУ; Харків: ДП «ХНДІ ТМ», 2014. – С. 36-37.

64. Кораблев Н.М. Мультиагентная система обнаружения компьютерных вторжений и распознавания вирусов / Н.М. Кораблев, Т.А. Киктенко, М.В. Кушнарев // Сучасні напрями розвитку інформаційнокомунікаційних технологій та засобів управління: матеріали третьої міжнар.

наук.-техн.конференції, 11-12 квітня 2013 р. – Харків: ДП «ХНДІ ТМ», 2013.

– С. 50.

65. Кораблев Н.М. Применение многоагентной системы для классификации компьютерных вирусов / Н.М. Кораблев, М.В. Кушнарев // Тези доповідей 2-ї міжнар. наук.-техн. конференції «Сучасні напрями розвитку інформаційно-комунікаційних технологій та засобів управління. – К.: ДП «ЦНДІ НіУ»; Х.: ДП «ХНДІ ТМ»; К.: КДАВТ, 2011. – С.37.

66. Корабльов М.М. Адаптація моделей нечіткого виводу з використанням штучних імунних систем / М.М. Корабльов, І.В. Овчаренко // Вісн. нац. ун-ту «Львівська політехніка». – 2007. – № 603. – С. 73-76.

Коргут С.А. Среда моделирования многоагентных систем / 67.

С.А. Коргут, М.В. Кушнарев, К.А. Лавриненко // Сучасні напрями розвитку інформаційно-комунікаційних технологій та засобів управління. Матеріали першої наук.-техн. конференції. – Х.: ДП "ХНДІ ТМ"; К.: ДП “ЦНДІ НіУ”, 2010. – С. 80.

Корнев А.С. Обнаружение компьютерных вирусов на основе 68.

использования искусственных иммунных сетей / А.С. Корнев, М.В. Кушнарев // 14-й міжнародний молодіжний форум «Радіоелектроніка і молодь в XXI ст.»: Зб. матер. форуму. – Ч.2. – Харків: ХНУРЕ, 2010. – С. 43.

Корнюшин Н.П.

Защита информационных процессов в 69.

компьютерных сетях / Н.П. Корнюшин, С.В. Глушков, С.К. Варлатая, М.В. Шаханов. – Владивосток: ДВТУ, 2015 – 17 с.

70. Корченко О. Г. Метод оцінки нейромережевих засобів щодо можливостей виявлення інтернет-орієнтованих кібератак / О.Г. Корченко, І.А. Терейковський, С.В. Казимірчук // Вісник інженерної академії наук. – 2014. – Вип. 2. – С. 87-93.

71. Котенко И.В. Агентно-ориентированное моделирование процессов защиты информации: противоборство агентов за доступность ресурсов компьютерных сетей / И.В. Котенко, А.В. Уланов // Труды МНТК «Интеллектуальные системы (AIS'05)» и «Интеллектуальные САПР (CADМ.: Физматлит, 2005. – С. 25-37.

72. Котенко И.В. Многоагентные технологии анализа уязвимостей и обнаружения вторжений в компьютерных сетях / И.В. Котенко // Новости искусственного интеллекта. – 2004. – № 1. – С. 56–72.

73. Котенко И.В. Моделирование противоборства программных агентов в Интернете: общий подход, среда моделирования и эксперименты / И.В. Котенко, А.В. Уланов // Защита информации. – 2006. – № 4. – С. 2–10.

74. Котенко И.В. Перспективные направления исследований в области компьютерной безопасности / И.В. Котенко, Р.М. Юсупов // Защита информации. INSIDE. – 2006. – № 2. – С. 46–57.

75. Крыжановский А.В. Применение искусственных нейронных сетей в системах обнаружения атак / А.В. Кржыжановский // Доклады ТУСУРа. – 2008. – № 2 (18), часть 1. – С. 37-41.

Кубиря А.В. Модели взаимодействия агентов на основе 76.

искусственных иммунных систем / А.В. Кубиря, М.В. Кушнарв // 16-й Международный молодежный форум "Радиоэлектроника и молодежь в XXI веке». Сб. Материалов форума. – Т.10. – Харьков: ХНУРЭ, 2012. – С. 23-24.

77. Курейчик В.М. Генетические алгоритмы и их применение / В.М. Курейчик. – Таганрог: Изд-во ТРТУ, 2002. – 383 c.

Кушнарев М.В. Мультиагентная система обнаружения и 78.

предотвращения вторжений в компьютер / М.В. Кушнарев, М.В. Мартынов // 18-й Междунар. молодежный форум "Радиоэлектроника и молодежь в XXI веке». Сб. Материалов форума. – Т. 3. – Харьков: ХНУРЭ, 2014. – С. 176-177.

Кушнарев М.В. Обучение нейросетевого эвристического 79.

анализатора вредоносных программ с помощью искусственных иммунных систем / М.В. Кушнарев, Д.П. Ужвий // 19-й Международный молодежный форум "Радиоэлектроника и молодежь в XXI веке». Сб. Материалов форума.

– Т.5. – Харьков: ХНУРЭ, 2015.– С. 154-155.

Лаборатория Касперского: технология фильтрации спама 80.

[Электронный ресурс]. Режим доступа: http://www.spamtest.ru.

Лавриненко К.А. Агентно-ориентированный подход к созданию 81.

системы поддержки принятия решений / К.А. Лавриненко, М.В. Кушнарев // Інформаційні технології в навігації і управлінні: стан і перспективи розвитку.

Матеріали другої міжнар. наук.-техн. конференції. – К.: ДП “ЦНДІ НіУ”, 2011. – С. 40.

82. Лапонина О.Р. Защита информации в сети Интернет / О.Р. Лапонина. – МГУ, 2012. – 28 с.

83. Литвиненко В.И. Гибридные искусственные иммунные системы и мягкие вычисления / В.И. Литвиненко // Індуктивне моделювання складних систем. – 2009. – № 2. – С. 114-130.

84. Литвиненко В.И. Иммунный классификатор для решения задач бинарной классификации (теоретические основы) / В.И. Литвиненко // Системні технології. – 2006. – Вип. 1(42).– С. 114-130.

85. Литвиненко В.И. Искусственные иммунные системы как средство индуктивного построения оптимальных моделей сложных объектов / В.И. Литвиненко // Проблемы управления и информатики.– 2008.–№ 3.–с.43-61.

86. Литвиненко В.И. Компьютерная система для решения задач классификации на основе модифицированных иммунных алгоритмов / В.И. Литвиненко, А.А. Дидык, Ю.А. Захарченко // Автоматика. Автоматизация.

Электротехнические комплексы и системы. – 2008. – №2(22). – С. 66-73.

87. Лукацкий А.В. Обнаружение атак / А.В. Лукацкий. – СПб.: «БХВПетербург», 2001. – 596 с.

88. Люггер Дж. Ф. Искусственный интеллект: стратегии и методы решения сложных проблем / Дж. Ф. Люггер. – М.: Издательский дом «Вильямс», 2004. – 864 с.

89. Магницкий Ю.Н. Использование бинарной нейронной сети для обнаружения атак на ресурсы распределенных информационных систем / Ю.Н. Магницкий // Динамика неоднородных систем. – 2008. – С. 200-205.

90. Мак-Федрис П. Microsoft Windows 7. Полное руководство / П. МакФедрис. – М.: Издательский дом «Вильямс», 2012. – 800 с.

91. Марков А.С. Статический сигнатурный анализ безопасности программ / А.С. Марков, А.А. Фадин // Программная инженерия и информационная безопасность. – 2013. – № 1(1). – С. 50-56.

92. Медведев Н.В. Применение метода статического сигнатурного анализа для выявления дефектов безопасности веб-приложений // Н.В. Медведев, А.С. Марков, А.А. Федин / Наука и образование: электронное научно-техническое издание. – 2012. – № 9. – С. 21-31.

Михайлов А.В. Компьютерные вирусы и борьба с ними / 93.

А.В. Михайлов. – СПб.: Диалог-МИФИ, 2011. – 104 с.

94. Михальов О.І. Математична модель імунної відповіді на вторгнення в комп'ютерну мережу / О.І. Михальов, Ю.О. Калиберда // Системні технології.

– 2008. – Вип. 3(56). – С. 175 - 178.

95. Михальов О.І. Побудова IDS на основі штучної імунної мережі / О.І. Михальов, Ю.О. Калиберда // // Системні технології. – 2010. – Вип. 3(68).

– С.106-110.

96. Молчанов Ю.А. Системное программное обеспечение / Ю.А. Молчанов. – СПб.: Издательский дом «Питер». – 2010. – 87 с.

97. Моррис Т.Ф. Большая книга веб-дизайна / Т.Ф. Моррис. – М.:

Litres, 2014. – С. 536-583.

98. Новиков Е.А. Сравнительный анализ методов обнаружения вторжений // Е.А. Новиков, А.А. Краснопевцев / Безопасность информационных технологий. – 2012. – № 1. – С. 47-50.

99. Норткат С. Обнаружение нарушений безопасности в сетях. / С. Норткат, Д. Новак. – М.: Издательский дом «Вильямс», 2003. – 235 с.

100. Рассел С. Искусственный интеллект: современный подход / С. Рассел, П. Норвиг. – М.: Издательский дом «Вильямс», 2007. – 1408 с.

101. Рувинская В.М. Информационная технология детектирования вредоносных программ на основе сценариев / В.М. Рувинская, А.В. Молдавская, М.И. Григоренко // Вісник Хмельницького національного університету. – 2014. – №5(217). – С. 193-198.

102. Рувинская В.М. Применение методов машинного обучения для формирования сценариев поведения вредоносных программ / В.М. Рувинская, А.В. Молдавская // Інформатика та математичні методи в моделюванні. – 2014. – № 2. – С. 149-157.

103. Рутковская Д. Нейронные сети, генетические алгоритмы и нечеткие системы / Д. Рутковская, М. Пилиньский, Л. Рутковский; [пер. с польск.

И.Д. Рудинского]. – М.: Горячая линия. Телеком, 2006. – 452 с.

104. Севостьянов И.О. Поисковая оптимизация. Практическое руководство по продвижению сайта в Интернете / И.О. Севостьянов. – СПб.:

Издательский дом «Питер», 2010. – 240 с.

105. Слеповичев И.И. Обнаружение DDoS-атак нечеткой нейронной сетью / И.И. Слеповичев, П.В. Ирматов, М.С. Комарова, А.А. Бежин // Известия Саратовского университета. Серия: Математика. Механика.

Информатика. – 2009. – Т. 9. – Вып. 3. – С. 84-89.

106. Субботін С.О. Неітеративні, еволюційні та мультиагентні методи синтезу нечіткологічних і нейромережних моделей / С.О. Субботін, А.О. Олійник, О.О. Олійник. – Запоріжжя: ЗНТУ, 2009. – 375 с.

107. Талалаев А.А.Разработка нейросетевого модуля мониторинга аномальной сетевой активности / А.А. Талалаев, И.П. Тищенко, В.П. Фраленко, В.М. Хачумов // Нейрокомпьютеры: разработка и применение. – 2011. – № 7. – С. 32-38.

108. Тарасов В.Б. От многоагентных систем к интеллектуальным организациям: философия, психология, информатика / В.Б. Тарасов. – М.: Эдиториал УРСС, 2002. – 352 с.

109. Терейковський І. Нейронні мережі в засобах захисту комп’ютерної інформації / І. Терейковський. – К.: ПоліграфКонсалтинг. – 2007. – 209 с.

110. Тимофеев А. Исследование и моделирование нейросетевого метода обнаружения и классификации сетевых атак / А. Тимофеев, А. Браницкий // International Journal Information Technologies & Knowledge. – 2012. – Vol.6. – № 3. – P. 257-265.

111. Тихонов А.Ю. Комбинированный (статический и динамический) анализ бинарного кода / А.Ю. Тихонов, А.И. Аветисян. // Труды института системного програмирования РАН. – 2012. – Том 22. – С. 131-152.

112. Хайкин С. Нейронные сети: полный курс, 2-е издание. – М.:

Издательский дом «Вильямс», 2006. – 1104 с.

113. Харченко С.С. Сигнатурный анализ программного кода / С.С. Харченко, Е.М. Давыдова, С.В. Тимченко // Ползуновский вестник. – 2012. – № 3. – С. 60-64.

114. Шабельников В.А. Мультиагентная искусственная иммунная система для адаптивной регистрации повреждений в распределенной сети мониторинга // Известия Волгоградского государственного технического университета. – 2011. – №11. – С. 100-104.

115. Шаньгин В. Защита информации в компьютерных системах и сетях / В. Шаньгин. – М.: ДМК, 2012. – 149 c.

116. Шибаева Т.А. Защита от внедрения и запуска вредоносных программ / Т.А. Шибаева, А.Ю. Щеглов, А.А. Оголюк // Вопросы защиты информации. – 2011. – № 2. – С. 26-30.

117. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си / Б. Шнайер. – М.: Триумф, 2002. – 816 с.

118. Эндрю З. Современные операционные системы / 3. Эндрю, С. Таненбаум. – СПб.: Издательский дом «Питер». – 2011. – 718 с.

119. Яковлев А.А. Раскрутка и продвижение сайтов: основы, секреты, трюки / А.А. Яковлев. – СПб.: БХВ-Петербург, 2007. – 336 с.

120. Abadeha M.S. Intrusion detection using a fuzzy genetics-based learning algorithm / M.S. Abadeha, J. Habibia, C. Lucasb // Journal of Network and Computer Applications. – 2007. – Vol 30. – P. 414–428.

121. Abadehа M.S. A parallel genetic local search algorithm for intrusion detection in computer networks / M.S. Abadeh, J. Habibi, Z. Barzegar, M. Sergi // Engineering Applications of Artificial Intelligence.–2007.– Vol 20.– P. 1058-1069.

122. Aickelin U. Artificial Immune Systems / U. Aickelin, D. Dasgupta // Search Methodologies. – 2005. – P. 375-399.

123. Aickelin U. Danger Theory: The Link between AIS and IDS / U. Aickelin, P. Bentley, S. Cayzer, J. Kim, J. McLeod // In Proceedings of ICARIS-2003, 2nd International Conference on Artificial Immune Systems. – P. 147–155.

124. Alkhateeb F. Multi-Agent Systems – Modeling, Interactions, Simulations and Case Studies / F. Alkhateeb, E. A. Maghayreh, I. Abu Doush // Published by InTech, Rijeka, Croatia. – 2011. – 502 p.

125. Application of Artificial Immune System Approach in MRI Classification / C. Muwang, C.T. Kuo, G.H. Chang ] // EURASIP Journal on Advances in Signal Processing. – 2008. – P. 208-212.

126. BaseGroup Labs: технологии анализа данных [Электронный ресурс]. Режим доступа: http://www.basegroup.ru.

127. Bezobrazov S. Artificial immune system approach for malware detection: neural networks applying for immune detectors construction / S. Bezobrazov, V. Golovko // Inernational journal of Computing. – 2008. – Vol. 7, №. 2. – P. 44-50.

128. Bezobrazov S. Neural Networks for Artificial Immune Systems: LVQ for Detectors Construction / S. Bezobrazov, V. Golovko // International Workshop on Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications. –Dortmund, 2007. – P. 180-184.

129. Castro L.N. An Artificial Immune Network for Multimodal Function Optimization / L.N. de Castro, J.I. Timmis // Evolutionary Computation: IEEE Congress, 3-7 April, 2002: proceedings. – Hawaii, 2002. – Vol. 1. – P. 674-699.

130. Castro L.N. Artificial Immune Systems: A Novel Paradigm to Pattern Recognition / L.N. de Castro, J.I. Timmis // Soft Computing. – 2002. – P. 67-84.

131. Castro L.N. Learning and optimization using the clonal selection principle / L. N. D. Castro, F. J. V. Zuben // IEEE Trans. on Evolut. Comput. – 2002. – Vol. 6.

– №3. – P. 239–251.

132. Castro L.N. The Clonal Selection Algorithm with Engineering Applications / L. N. Castro, F. J. Von Zuben // Genetic and Evolutionary Computation: Intern. Conf., July 9–13 2002: proc. – New York, 2002. – p. 36-37.

133. Cervantes J. Support vector machine classification based on fuzzy clustering for large data sets / J. Cervantes, X. Li, W. Yu // Springer, Mexican International Conference on Artificial Intelligence, MICAI-06, 2006. – P. 572-582.

134. Chen Y. Multiple sequence alignment and artificial neuralnetworks for malicious software detection / Y. Chen, A. Narayanan, Pang Shaoning, Tao Ban // Natural Computation. – 2012. – P. 261 – 265.

135. Dasgupta D. An immunity-based technique to characterize intrusions in computer networks / D. Dagupta, F. Gonzlez // IEEE Transactions on Evolutionary Computation. – 2002. – Vol. 6. – P. 281–291.

136. Dasgupta D. Recent Advanced in Artifical Immune Systems: Models and Applications / D. Dasgupta, S. Yu, F. Nino // Applied Soft Computing.

Elsevier, 2011. – P. 1574-1587.

137. Dasgupta D., Immunological computation, theory and applications / D. Dasgupta, L. F. Nino. – CRC Press, 2009. – 298 p.

138. Designing Ensembles of Fuzzy Classification Systems: An ImmuneInspired Approach / P.A.D. Castro, G.P. Coelho, M.F. Caetano // Springer Lecture Notes in Computer Science. – 2005. – Vol. 3627. – P. 469–482.

139. Dozier G. Vulnerability analysis of immunity-based intrusion detection systems using genetic and evolutionary hackers / G. Dozier, D. Brown, H. Hou, J. Hurley // Applied Soft Computing. – 2007. – № 7. – P. 547–553.

140. Du Toit T. Filtering spam e-mail with Generalized Additive Neural Networks / T. Du Toit, H. Kruger // Information Security for South Africa. – 2012.

– P. 1-8.

141. Duda R.O. Pattern classification / R.O. Duda, P.E. Hart, D.G. Stork. – Wiley & Sons, 2010. – 738 p.

142. Fenton N. Risk Assessment and Decision Analysis with Bayesian Networks / N. Fenton, M. Neil // Queen Mary University of London and Agena Ltd. – 2012. P. 73-85.

143. Friedman N. Bayesian Network Classifiers / N. Friedman, D. Geiger, M. Goldszmidt // Machine Learning. – 1997. – Vol. 29. – P. 131–165.

144. Golovko V. Neural Networks approaches for Intrusion Detection and Recognition / V. Golovko, L. Vaitsekhovich // Computing. – 2006. – Vol. 5. – № 3. – P. 118-125.

145. Golovko, V. Neural Network and Artificial Immune Systems for Malware and Network Intrusion Detection / V. Golovko, S. Bezobrazov, P. Kachurka, L. Vaitsekhovich // Studies in computational intelligence. – Springer Berlin/Heidelberg, 2010. – Vol. 263: Advances in machine learning II. – P. 485–513.

146. Gomez J. An Immuno-Fuzzy Approach to Anomaly Detection / J. Gomez, F.A. Gonzales, D. Dasgupta // The IEEE International Conference on Fuzzy Systems, The University of Memphis. – 2003. – P. 1219-1224.

147. Gonzales F.A. An Immunogenetic Technique to Detect Anomalies in Network Traffic / F.A. Gonzales, D. Dasgupta // Genetic and Evolutionary Computation: Intern. Conf., 2002: proceedings. – San Mateo, 2002. – P. 81-108.

148. Gorodetski V.I. Multi-agent technologies for computer network security: Attack simulation, intrusion detection and intrusion detection learning / V.I. Gorodetski, I.V. Kotenko, O. Karsaev // International Journal of Computer Systems Science & Engineering. – 2003. – № 4. – С. 191–200.

149. Graham P. Better Bayesian Filtering / P. Graham // Proceedings of the 2003 Spam Conference, Cambridge, 2003 // [Электронный ресурс]. Режим доступа: http://paulgraham.com/better.html.

150. Han J. Data Mining Concepts and Techniques Second Edition / J. Han, M. Kamber – Elsevier, 2006. – 772 p.

151. Hansung L. Intrusion Detection System Based on Multi-class SVM / L. Hansung, S. Jiyoung P. Daihee // Rough Sets, Fuzzy Sets, Data Mining and Granular Computing. Lecture Notes in Computer Science, 2005. – Vol. 3642. – Р. 511-519.

152. Hnatiuk S. Cyberterrorism: History of current trends and countermeasures. / S. Hnatiuk // Privacy Notice.–2013.– Vol.9.– № 2. – Р.118-129.

153. Intan R. Fuzzy Bayesian Belief Network for Analyzing Medical Track Record / R. Intan, O.Y. Yuliana. – Springer: Advances in Intelligent Information and Database Systems. – 2010. – Vol. 283. – P. 279-290.

154. Jerne N.K. Idiotypic networks and Other Preconecived Ideas / N.K. Jerne // Immunological review. – 1984. – Vol. 79. – P. 5–24.

155. Jerne N.K. Towards a network theory of the immune system / N. K. Jerne // Ann. Immunol. (Inst. Pasteur). – 1974. – V. 125C. – P. 373–389.

156. Korablev N. Immune Approach for Neuro-Fuzzy Systems Learning Using Multiantibody Model / N. Korablev, I. Sorokina // Springer Lecture Notes in Computer Science. – 2011. – Vol. 6825. – P. 395–405.

157. Korablyov M. The immune method for classifying objects on the basis of the target clonal selection (Immunologiczne metody klasyfikacji obiektw bazujce na selekcji klonalnej) / M. Korablyov, O. Fomichov, M. Kushnaryov, W. Wjcik // Elektronika (LIV). – 2013. – № 8. – P. 34-38.

158. Laskov P. Intrusion detection in unlabeled data with quarter-sphere Support Vector Machines / P. Laskov, C. Schafer, I. Kotenko // In Detection of Intrusions and Malware & Vulnerability Assessment, 2004. – P. 71-82.

159. Morton S. Using the danger model of immune systems for distributed defense in modern data networks / S. Morton // Computer Networks. – 2007.

Vol. 51. – P.1315–1333.

160. Petrov S.A. Building adaptive security system based on multi-agent system / S.A. Petrov // Materials of the second international research and practice conference. – Westwood – Canada, 2013. – Vol. 2. – P. 196-201.

161. Porras P.A. EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance / P.A. Porras, P.G. Neumann // Proceeding of the IEEE Symposium on Research in Security and Privacy.– Oakland, 1997– P. 87-98.

162. Sandhya P. Modeling intrusion detection system using hybrid intelligent systems / P. Sandhya, A. Ajith, G. Crina, T. Johnson // Journal of Network and Computer Applications. – 2007. – Vol. 30. – P.114–132.

163. Shivani S. Virus Detection using Artificial Neural Networks / S. Shivani, J. Himali, S. Sathvik, B. Kiran // International Journal of Computer Applications. – 2013. – Vol. 84. – № 5. – P. 17-33.

164. Shoham Y. Multiagent systems: Algorithmic, Game-Theoretic, and Logical Foundations / Y. Shoham // Cambridge University Press. – 2009. – 504 p.

165. Tarakanov A.O. Immunocomputing. Principles and applications / A.O. Tarakanov, V.A. Skormin, S.P. Sokolova. – Springer. – 2003. – 193 p.

166. The MathWorks – MATLAB and Simulink for Technical Computing // [Электронный ресурс]. Режим доступа: http://www.mathworks.com.

167. Timmis J. A Comment on opt-AINet: An Immune Network Algorithm for Optimisation / J. Timmis, C. Edmonds // Springer Lecture Notes in Computer Science. – 2004. – Vol. 3102. – P. 308-317.

168. Timmis J.I. Challenges for Artificial Immune Systems / J.I. Timmis // Springer Lecture Notes in Computer Science. – 2006. – Vol.3931. – P.355–367.

169. Timmis J.I. An Overview of Artificial Immune Systems / J.I. Timmis, T. Knight, L.N. De Castro // Computation in Cells and Tissues: Perspectives and Tools for Thought, Natural Computation Series, Springer, 2004. – Р. 51-86.

170. Watkins A.B. Parallelizing an Immune-Inspired Algorithm for Efficient Pattern Recognition / A B. Watkins, A. Phadke // Intelligent Engineering Systems through Artificial Neural Networks: Smart Engineering System Design: Neural Networks, Fuzzy Logic, Evolutionary Programming, Complex Systems and Artificial Life. – 2003. – Vol. 13.– P. 225-230.

171. Wierzchon S.T. Sztuczne systemy immunologiczne. Teoria i zastosowania. / S.T. Wierzchon // Akademicka Oficyna Wydawnicza EXIT, Warszawa, 2001. – 282 s.

172. Xiujian L. Improved Support Vector Machine Wireless Network Security Detection Algorithm Model / L. Xiujian, S. ZhiCheng, W. Jing // EMEITAdvances in Intelligent Systems Research, 2012. – Р. 2353-2356.

173. Zekri M. Artificial Immune System for Intrusion Detection / M. Zekri, L. Souici-Meslati // Evolutionary Computation.– 2011.– Vol. 13.– № 2. – 145-153.

Приложение А

Pages:     | 1 ||
Похожие работы:

«Суханов Юрий Владимирович ОБОСНОВАНИЕ ВЫБОРА СИСТЕМЫ ЛЕСОСЕЧНЫХ МАШИН ДЛЯ РУБОК УХОДА С УЧЕТОМ БИОЭНЕРГЕТИКИ 05.21.01 – Технология и машины лесозаготовок и лесного хозяйства АВТОРЕФЕРАТ диссертации на соискание...»

«НАУЧНЫЙ ВЕСТНИК МГТУ ГА №153 серия Аэромеханика, прочность, поддержание летной годности УДК 629.017.1 АНАЛИЗ И ПЕРСПЕКТИВЫ РАЗВИТИЯ СИСТЕМЫ СЕРТИФИКАЦИИ ОРГАНИЗАЦИЙ–ПОСТАВЩИКОВ АТИ В РАМКАХ ЗАКОНА О ТЕХНИЧЕСКОМ РЕГУЛИРОВАНИИ И.Г. КИРПИЧЕВ, А.Ю. КОНЬКОВ,...»

«Государственное бюджетное образовательное учреждение среднего профессионального образования "Армавирский машиностроительный техникум" Краснодарского края УТВЕРЖДАЮ Директор _ И.Г. Крупнова 31 августа 2015 г. ПОЛОЖЕНИЕ Версия № 1...»

«Баня масляная UT-4013 Инструкция по эксплуатации Паспорт Санкт-Петербург При возникновении вопросов, касающихся эксплуатации данного прибора, пожалуйста, обращайтесь в службу технической поддержки тел.: (812) 309-29-4...»

«Федеральное агентство по образованию Московский государственный технический университет имени Н.Э. Баумана А.М. Зимин АВТОМАТИЗИРОВАННЫЙ ЛАБОРАТОРНЫЙ ПРАКТИКУМ С УДАЛЕННЫМ ДОСТУПОМ В ПРАКТИЧЕСКОЙ ПОДГОТОВКЕ СТУДЕНТОВ Пособие для системы повышения квалификации руководителей, преподавателей и специалистов образовательных учрежден...»

«ТЕРМОЭЛЕКТРИЧЕСКИЙ СЕРВОПРИВОД TSP 220/NC РУКОВОДСТВО ПО ЭКСПЛУАТАЦИИ ФИАШ. 421312.023 РЭ Благодарим Вас за выбор нашего термоэлектрического сервопривода TSP 220/NC Перед эксплуатацией ознакомьтесь с настоящим руководством. Руководство по эксплуатации содержит о...»

«Перевертов В.П. КОНТРОЛЬ И ДИАГНОСТИКА ПАРАМЕТРОВ ТЕХНОЛОГИЧЕСКОГО ПРОЦЕССА И КШМ В ГПС Основным техническим базисом для проведения контроля параметров технологического процесса и горячештамповочного модуля (комплекса) являются информационно-измерительные системы, представля...»

«29.04.2015 подписано председателем Окружной комиссии по вопросам градостроительства, землепользования и застройки при Правительстве Москвы в ЮгоВосточном административном округе города Москвы ЗАКЛЮЧЕНИЕ по результатам публичных слушаний по проекту планировки тер...»

«Министерство образования и науки Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования "НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ТОМСКИЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ"...»

«Техническое задание на проектирование, поставку оборудования, монтаж и пуско-наладку визуализационно-аналитического коллективного комплекса единого диспетчерского центра (ВАКК ЕДЦ)...»

«История и культурология ИСТОРИЯ И КУЛЬТУРОЛОГИЯ УДК 621.3(091) В.В. Кибардин ИСТОРИЯ СТРОИТЕЛЬСТВА ПЕРВЫХ ЭЛЕКТРИЧЕСКИХ СТАНЦИЙ г. КРАСНОЯРСКА1 В статье рассматриваются исторические события по применению электрической энергии для привода машин и электрического освещения в России во второй поло...»

«Министерство образования Республики Беларусь Белорусский национальный технический университет Кафедра "Технология бетона и строительные материалы" МЕТОДИЧЕСКИЕ УКАЗАНИЯ к курсовому проекту по курсу "Технологии стеновых, отделочных и изоляционных материалов" для студентов специальности 1-70 01 01 "производство строитель...»

«Министерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования Санкт-Петербургский государственный лесоте...»

«Министерство образования и науки Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования "НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ТОМСКИЙ ПОЛИТЕХНИЧЕСК...»

«Одесская Областная Федерация Спортивного Туризма Одесский Национальный Политехнический Университет Турклуб "Романтик" Отчет о горном туристском спортивном походе 4 (четвёртой) категории сложности по Центральный Кавк...»

«Description of the Research / ТИМОДЕПРЕССИН Rationale for the Application (max. three pages) Brief overview of why the research program is recommended e.g. innovative and unique aspects of the research (-D-глутамил-D-триптофана натриевая соль) – новый класс "ТИМОДЕПРЕССИН" иммуносупрессоров, препарат для лечения аутоиммунных заболеван...»

«ОАО КУЗЕМБЕТЬЕВСКИИ РМЗ РЕСПУБЛИКА ТАТАРСТАН СКАЛЬПЕРАТОР БАРАБАННЫЙ БС-70 ТЕХНИЧЕСКОЕ ОПИСАНИЕ И РУКОВОДСТВО ПО ЭКСПЛУАТАЦИИ ПАСПОРТ 1. НАЗНАЧЕНИЕ ИЗДЕЛИЯ. Скальператор барабанный для предварительной очистки зерна марка БС -70 (далее по тексту – скальператор) предназначен для выделени...»

«Теплофизика и аэромеханика, 2007, том 14, № 3 УДК.533.924 ЭРОЗИЯ ТРУБЧАТЫХ ЭЛЕКТРОДОВ В ВИХРЕВЫХ ПЛАЗМОТРОНАХ Б.И. МИХАЙЛОВ Институт теоретической и прикладной механики им. С.А. Христиановича СО РАН, Новосибирск Рассмотрены стационарные режимы работы торцевых трубчатых электродов. Дано объяснение...»

«Боровицкий Дмитрий Сергеевич ВЫБОР СИГНАЛЬНЫХ ФОРМАТОВ ДЛЯ ПЕРСПЕКТИВНЫХ СРНС И ИХ ГИДРОАКУСТИЧЕСКИХ ФУНКЦИОНАЛЬНЫХ ДОПОЛНЕНИЙ Специальность: 05.12.14 – Радиолокация и радионавигация АВТОРЕФЕРАТ диссертации на соискание ученой степени кан...»

«Министерство образования и науки Российской Федерации федеральное государственное автономное образовательное учреждение высшего образования "НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ТОМСКИЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ" Институт физики высоких технологий Направление подготовки Материаловедение и технологии материалов Кафед...»

«Московский Государственный Технический Университет им. Н.Э. Баумана РУССКАЯ СИСТЕМА ОБУЧЕНИЯ РЕМЕСЛАМ Том I Москва РУССКАЯ СИСТЕМА ОБУЧЕНИЯ РЕМЕСЛАМ. Том I. М.: НОЦ "Контроллинг и управленческие инновации"; ООО "Высшая Школа Инженерного Бизнеса", 2015. – 238 с. Ббк 65.02 УДК 658.5 Редактор-составитель: А.Д. Кузьмичёв, редактор Ю.Г...»

«УФИМЦЕВ Евгений Михайлович ДИНАМИЧЕСКИЙ РАСЧЁТ СТАТИЧЕСКИ НЕОПРЕДЕЛИМЫХ ФЕРМ МЕТОДОМ ВРЕМЕННОГО АНАЛИЗА С УЧЁТОМ ФИЗИЧЕСКОЙ И КОНСТРУКТИВНОЙ НЕЛИНЕЙНОСТИ Специальность 05.23.17 – "Строите...»

«ОТЗЫВ ОФИЦИАЛЬНОГО ОППОНЕНТА на диссертационную работу Прохорова Е.И. "Адаптивная двухфазная схема решения задачи "структура – свойство", представленную на соискание ученой степени кандидата физико-математ...»

«ИСТОЧНИК БЕСПЕРЕБОЙНОГО ЭЛЕКТРОПИТАНИЯ ИБЭП-220/60(48)В-12А-1/2(400)-1U-LAN ИБЭП-220/60(48)В-12А-2/2(400)-1U-LAN руководство по эксплуатации 2015г. СОДЕРЖАНИЕ 1 ВВЕДЕНИЕ 2 ОСНОВНЫЕ ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ ИБЭП 3 УКАЗАНИЯ ПО БЕЗОПАСНОСТИ 4 УСТРОЙСТВО И ОСНОВНЫЕ ФУНКЦИИ ИБЭП 5 ПОРЯДОК УСТАНОВКИ ИБЭП 6 ВКЛЮЧЕНИЕ И ОТКЛ...»








 
2017 www.lib.knigi-x.ru - «Бесплатная электронная библиотека - электронные матриалы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.