ѕ–ќ≈ “»–ќ¬јЌ»≈ »Ќ“≈ЋЋ≈ “”јЋ№Ќџ’ —»—“≈ћ ќЅЌј–”∆≈Ќ»я јЌќћјЋ»…

√лавна€ ї ѕубликации ї ѕ–ќ≈ “»–ќ¬јЌ»≈ »Ќ“≈ЋЋ≈ “”јЋ№Ќџ’ —»—“≈ћ ќЅЌј–”∆≈Ќ»я јЌќћјЋ»…

OSTIS–2011.– —. 185–196.

”ƒ  004.056.57:032.26

ѕ–ќ≈ “»–ќ¬јЌ»≈ »Ќ“≈ЋЋ≈ “”јЋ№Ќџ’ —»—“≈ћ ќЅЌј–”∆≈Ќ»я јЌќћјЋ»…

¬.ј. √оловко (gva@bstu.by)

Ѕрестский государственный технический университет, г.Ѕрест, –еспублика Ѕеларусь

—.¬. Ѕезобразов (bescase@gmail.com)

Ѕрестский государственный технический университет, г.Ѕрест, –еспублика Ѕеларусь

     ¬ работе привод€тс€ основные принципы построени€ интеллектуальных систем дл€ обнаружени€ компьютерных и медицинских атак, обнаружени€ вредоносных программ и диагностики эпилепсии. ƒл€ обнаружени€ компьютерных и медицинских атак  примен€ютс€ различные комбинации рециркул€ционной нейронной сети и многослойного персептрона. ƒл€ обнаружени€ компьютерных вирусов используетс€ подход, базирующийс€ на объединении искусственных иммунных и нейронных сетей. ƒетектирование эпилепсии базируетс€ на вычислении старшего показател€ Ћ€пунова, который характеризует степень хаотичности процесса.

 лючевые слова:   обнаружение аномалий, вредоносные программы, компьютерные вирусы, диагностика эпилепсии, нейронные сети, искусственные иммунные системы.

¬ведение

¬ насто€щее врем€ все больше возрастает тенденци€ проектировани€ систем искусственного интеллекта на основе нейронных сетей, искусственных иммунных систем, эволюционного программировани€ и других, биологически инспирированных подходов. Ёто св€зано с различными аспектами в развитии искусственного интеллекта. ѕервый состоит в способности нейроинтеллектуальных систем к обучению и самоорганизации, что позвол€ет создавать на базе их различные системы, обладающие свойством адаптации к внешней среде. ¬торой аспект этой проблемы характеризуетс€ способностью нейроинтеллектуальных систем после обучени€ обобщать и прогнозировать результаты обучени€. “акое обобщение осуществл€етс€ путем интеграции частных данных, в результате чего происходит определение закономерностей процесса. “ретий аспект заключаетс€ в способности таких систем решать трудно-формализуемые задачи, дл€ которых не существует эффективного математического алгоритма. ¬се это позвол€ет создавать на базе биологических подходов интеллектуальные системы в различных област€х применени€. “акие интеллектуальные системы способны к самоорганизации с целью адаптации к внешней среде. »сследовани€ в области нейроинтеллекта ориентированы в насто€щее врем€ в основном на создание специализированных систем дл€ решени€ конкретных задач. ќднако, несмотр€ на большое количество исследований по данной проблеме, в насто€щее врем€ практически отсутствует эффективный теоретический аппарат построени€ нейроинтеллектуальных систем дл€ решени€ различных задач. ќсобенно актуальным в области проектировани€ нейроинтеллектуальных систем €вл€етс€ интеграци€ различных подходов, таких как нейронные сети, искусственные иммунные системы и эволюционное программирование.

¬ данной статье рассматриваютс€ принципы построени€ интеллектуальных систем дл€ обнаружени€ аномалий. ¬ качестве аномалий здесь рассматриваютс€ как вредоносные воздействи€ на компьютерные системы (вирусы, атаки), так и нарушени€ нормальной  активности головного мозга (транзиторно-ишемические атаки, эпилептиформна€ активность), которые могут привести к катастрофическим последстви€м. ƒл€ таких процессов большое значение имеет оперативное обнаружение аномалий, чтобы предотвратить катастрофическое развитие ситуации.

¬ данной статье рассматриваютс€ различные подходы проектировани€ интеллектуальных систем. ¬ первом разделе приводитс€ объединение двух классов нейронных сетей дл€ обнаружени€ компьютерных атак и атак на нормальное кровоснабжение головного мозга. ¬о втором разделе рассматриваетс€ интеграци€ нейронных и искусственных иммунных систем дл€ обнаружени€ компьютерных вирусов. ¬ третьем разделе предлагаетс€ метод обнаружени€ эпилептической активности на основе анализа сигналов электроэнцефалограмм (EEG), который основан на интеграции нейронных сетей и теории хаоса.

1.  омбинирование нейронных сетей дл€ обнаружени€ атак на компьютерные системы и на нормальное кровоснабжение мозга

¬редоносные воздействи€ (атаки, вторжени€) на нормально протекающие процессы существуют в различных област€х практической де€тельности.  “аким атакам подвергаютс€ как компьютерные системы, так и живые организмы и, прежде всего мозг. Ќесмотр€ на различные объекты воздействи€ атак, концептуальные подходы к проблеме обнаружени€ вредоносных воздействий, как в компьютерных системах, так и в отдельном живом организме, могут быть идентичными. ¬ данном разделе приводитс€ нейросетева€ технологи€ обнаружени€ вредоносных атак, как на нормальное кровоснабжение головного мозга, так и на компьютерные системы.

“ранзиторно-ишемическа€ атака (“»ј)  на нормальное кровоснабжение головного мозга это самосто€тельна€ гетерогенна€ нозологическа€ единица, котора€ характеризует предынсультное состо€ние [ћастыкин и др., 2010]. ќсновна€ задача состоит в раннем обнаружении “»ј, дл€ того чтобы предупредить последующие серьезные нарушени€ мозгового кровообращени€. ¬ общем случае транзиторно-ишемические атаки можно разделить на три подтипа “»ј и класс Ќќ–ћј: 1.атеротромботический подтип (—уб“»ј1), 2. кардиоэмболический подтип (—уб“»ј2), 3. гипертензивный подтип (—уб“»ј3), 4. норма (Ќќ–ћј). ¬ качестве входных данных используетс€ 41-размерный вектор, который характеризует исходные данные (признаки и симптомы) пациента, такие как возраст, хронический бронхит, диастолическое давление и т.д. [ћастыкин и др., 2010].  ¬ качестве выходных данных используетс€ 4-мерный вектор, где 4 это количество классов “»ј плюс нормальное состо€ние.

.  омпьютерные атаки можно разделить на четыре основные категории: DoS, U2R, R2L и Probe [KDD, 1999], [Golovko et al., 2006]. јтака DoS – отказ в обслуживании, характеризуетс€ генерацией большого объема трафика, что приводит к перегрузке и блокированию сервера. јтака U2R предполагает получение зарегистрированным пользователем привилегий локального суперпользовател€ (администратора). јтака R2L характеризуетс€ получением доступа незарегистрированного пользовател€ к компьютеру со стороны удаленной машины. јтака Probe заключаетс€ в сканировании портов с целью получени€ конфиденциальной информации.

 ¬ качестве входных данных используютс€ параметры сетевого соединени€ [Golovko et al., 2007], [Golovko et al., 2010]. —оединение это последовательность TCP пакетов за некоторое конечное врем€, моменты начала и завершени€ которого четко определены, в течение которого данные передаютс€ от IP-адреса источника на IP-адрес приемника (и в обратном направлении) использу€ некоторый определенный протокол.  аждое сетевое соединение характеризуетс€ 41-им параметром сетевого трафика. ¬ качестве выходных данных используетс€ 5-мерный вектор, где 5 это количество классов атак плюс нормальное состо€ние. “аким образом,  задачи  обнаружени€ компьютерных атак и атак на нормальное кровоснабжение мозга €вл€ютс€ идентичными.

–ассмотрим нейросетевой подход решени€ данных задач, который состоит в последовательном объединении двух различных нейронных сетей.  Ќа рисунке 1 приведена система распознавани€ классов атак, котора€ состоит из рециркул€ционной нейронной сети  (RNN) и многослойного персептрона (MLP), которые соединены последовательно [√оловко, 2001]. «адачей такой системы €вл€етс€ обнаружение и распознавание атак.

Ќа первом этапе обработки входной информации происходит уменьшение размерности входного 41-размерного вектора входных данных в 12-размерный вектор выходных данных при помощи нелинейной рециркул€ционной нейронной сети. Ёто позвол€ет перейти от исходного пространства данных к вспомогательному, которое характеризуетс€ меньшей размерностью и информативностью исходного пространства. ¬ результате экспериментов было определено оптимальное число главных компонент  равное 12. ¬торой этап состоит в обнаружении и распознавании атак. ƒл€ этого используетс€ многослойный персептрон, который осуществл€ет обработку сжатого пространства входных образов с целью распознавани€ класса атаки.

 

 

 
 
 

 

 

 

 


–исунок 1 – Ќейросетева€ система обнаружени€ атак

 

–ассмотрим нелинейную рециркул€ционную сеть, котора€ представл€ет собой нелинейный репликатор (рисунок 2).

 

 
 
 

 

 

 

 

 

 

 

 

 

 


–исунок 2 – јрхитектура RNN

 

“ака€ сеть состоит из трех слоев. —крытый слой осуществл€ет сжатие входных образов. «начение j-го элемента скрытого сло€ определ€етс€ по формулам:

(1)

(2)

где F – функци€ активации; Sj – взвешенна€ сумма j-го нейрона; wij – весовой коэффициент между i-ым нейроном входного и j-ым нейроном скрытого сло€; xii-ый входной элемент.

«начени€ нейронных элементов выходного сло€ определ€ютс€ следующим образом:

(3)

,

(4)

 

 

где w’ji  – весовой коэффициент между j-ым нейроном скрытого и i-ым нейроном выходного сло€;  – i-ый выходной элемент.

ƒл€ обучени€ нелинейной RNN использовалс€ алгоритм обратного распространени€ ошибки. ¬ соответствии с ним весовые коэффициенты модифицируютс€ по следующим выражени€м:

(5)

(6)

где  - ошибка j-го нейрона, – производна€ нелинейной функции активации по взвешенной сумме.

.

(7)

 

¬ процессе обучени€ весовые коэффициенты скрытого сло€ ортонормируютс€ в соответствии с процедурой √рамма-Ўмидта. –ассмотрим отображение входного пространства образов дл€ нормального состо€ни€ и компьютерной атаки (тип атаки neptune) на плоскость двух первых главных компонент. »з рисунка 3 видно, что данные, соответствующие разным классам концентрируютс€ в разных област€х.

 

 
  gr22
 

 

 

 

 

 

 

 

 


 

 

 

 

 

 

 

 


–исунок 3 – ƒанные обработанные нелинейной RNN

 

ƒл€ обучени€ и тестировани€ использовалась база данных дл€ 101 пациента.  ажда€ запись соответствует одной из четырех групп классификации “»ј. –аспределение записей по классам следующее: “»ј1 – 22 записи, “»ј2 – 22 записи, “»ј3 – 22 записи и “»ј4 (норма) – 35 записей. ƒл€ обучени€ нейронных сетей в экспериментах использовались обучающие выборки размерностью 51 и 83. –езультаты тестировани€ приведены в таблице 1.

“аблица 1 – –езультаты тестировани€ дл€ “»ј

 ол-во образов в обучающей выборке

 ол-во образов в тестовой выборке

ћаксимальный процент распознавани€ на обучающей выборке

ћаксимальный процент распознавани€ на тестовой выборке

51

50

100%

76%

83

18

100%

77%

 

ƒл€ системы обнаружени€ компьютерных атак использовалась 10% выборка из базы KDD (почти  500 000 записей!). ƒл€ обучени€ нейронных сетей были отобраны 6186 примеров. ƒалее вс€ 10% выборка примен€лась дл€ тестировани€. –езультаты тестировани€ в режиме распознавани€ класса атаки приведены в таблице 2.

“аблица 2 – –езультаты тестировани€ дл€ компьютерных атак

класс

всего

обнаружено

распознано

DoS

391458

391441

(99.99%)

370741

(94.71%)

U2R

52

48

(92.31%)

42

(80.77%)

R2L

1126

1113

(98.85%)

658

(58.44%)

Probe

4107

4094

(99.68%)

4081

(99.37%)

нормальное состо€ние

normal

97277

---

50831

(52.25%)

 

Ќаилучший результат был достигнут дл€ атак класса DoS и Probe (почти однозначна€ распознаваемость). Ќесколько хуже определ€ютс€ U2R и R2L, соответственно 80,77% и 58,44%.

“аким образом, путем комбинировани€ двух различных нейронных сетей, а именно RNN и MLP, можно идентифицировать и распознавать компьютерные и медицинские атаки с достаточно высокой степенью точности. ќсновными преимуществами использовани€ подходов, основанных на нейронных сет€х, €вл€етс€ способность адаптироватьс€ к динамическим услови€м и быстрота функционировани€, что особенно важно при работе системы в режиме реального времени.

2. »нтеграци€ искусственных иммунных и нейронных сетей дл€ обнаружени€ вредоносных программ

¬ насто€щее врем€ количество вредоносных программ и компьютерных вирусов посто€нно увеличиваетс€. ”щерб, наносимый вредоносными программами, составл€ет, по некоторым подсчетам, миллиарды долларов в год [¬ирусЅлокјда, 2007].  ак показала практика, традиционный подход в области обнаружени€ вредоносных программ, основанный на сигнатурном анализе, не приемлем дл€ обнаружени€ неизвестных компьютерных вирусов. ќсновным недостатком сигнатурного анализа €вл€етс€ необходимость в посто€нном своевременном обновлении антивирусных баз, в которых хран€тс€ сигнатуры известных вирусов. ¬торым недостатком €вл€етс€ задержка в ответной реакции антивирусной индустрии на по€вление нового вируса, котора€ может достигать нескольких суток. «а это врем€ вредоносные программы способны заразить сотни тыс€ч компьютерных систем по всему миру и привести к огромным убыткам. ƒл€ устранени€ недостатков методов сигнатурного анализа в антивирусных программах примен€ютс€ разнообразные эвристические алгоритмы обнаружени€ вредоносных программ, которые основываютс€ на анализе поведени€ подозрительных объектов, а также анализе их исполн€емого кода. Ёвристические алгоритмы позвол€ют с определенной долей веро€тности выдавать заключение о вредоносности программ. ќднако, такие алгоритмы на сегодн€шний день характеризуютс€ высоким уровнем ошибок первого и второго рода. ѕоэтому актуальной задачей €вл€етс€ разработка эффективных методов обнаружени€ вредоносных программ, которые способны обнаруживать неизвестные компьютерные вредоносные программы.

¬ данном разделе рассматриваетс€ интеллектуальна€ система обнаружени€ компьютерных вирусов [Ѕезобразов и др., 2010a], [Ѕезобразов и др., 2010b], [Bezobrazov et al., 2010], котора€ базируетс€ на применении искусственных иммунных систем и нейронных сетей. “ака€ система  использует основные принципы функционировани€ биологической иммунной системы, где в качестве отдельного детектора используетс€ нейронна€ сеть.

Ќа рисунке 4 представлена структура нейросетевой искусственной иммунной системы дл€ обнаружени€ вредоносных программ. ќна состоит из следующих основных модулей: модуль генерации детекторов, модуль обучени€ иммунных детекторов, модуль отбора детекторов, модуль уничтожени€ детекторов, модуль обнаружени€ вредоносных программ, модуль идентификации вирусов, модуль клонировани€ и мутации детекторов, модуль формировани€ иммунной пам€ти.

 

–исунок 4 – —труктура нейросетевой искусственной иммунной системы дл€ обнаружени€ вредоносных программ

 

Ќейросетевые иммунные детекторы играют ключевую роль в обнаружении вредоносных программ. ѕройд€ стадии обучени€ и отбора, детекторы приобретают способность реагировать на вредоносные программы, сканиру€ их структуру, и, в то же врем€, игнорировать чистые файлы.

‘ункционирование нейросетевого иммунного детектора заключаетс€ в последовательности следующих действий:

1)        —лучайным образом из списка существующих файлов нейросетевой иммунный детектор выбирает файл дл€ проверки.

2)        ƒанные из файла проход€т предварительную обработку, св€занную с удалением «дыр» и незначащих нулей.

3)        ѕо методу скольз€щего окна, детектор сканирует файл и принимает решение о принадлежности провер€емого файла к классу чистых или к классу вредоносных программ.

4)        ≈сли нейросетевой иммунный детектор принимает решение о принадлежности провер€емого файла к классу чистых программ, детектор выбирает новый файл дл€ проверки.

5)        ≈сли нейросетевой иммунный детектор принимает решение о принадлежности провер€емого файла к классу вредоносных программ, он подает сигнал об обнаружении компьютерного вируса и нейросетева€ иммунна€ система переходит в особый режим функционировани€.

Ќа рисунке 5 представлен нейросетевой иммунный детектор. ќн состоит из нейронной сети встречного распространени€ [√оловко, 2001] и арбитра. Ќейронные элементы скрытого сло€ функционируют по принципу «победитель берет все», то есть выходное значение нейрона-победител€ равн€етс€ «1», а выходные значени€ остальных нейронных элементов равн€ютс€ «0».

 

 

–исунок 5 – Ќейросетевой иммунный детектор

 

¬ыходное значение j-го нейрона третьего сло€ определ€етс€ согласно формуле:

(8)

јрбитр принимает окончательное решение о том, €вл€етс€ ли сканируемый файл вредоносным. ƒл€ этого он вычисл€ет количество чистых и вредоносных фрагментов сканируемого файла

(9)

(10)

где  L – множество образов сканируемого файла, Yik – выходное значение i-го нейрона линейного сло€ при подаче на вход сети k-го образа.

ƒалее определ€ютс€ веро€тности принадлежности сканируемого файла соответственно к чистому и вредоносному классу

(11)

(12)

ќкончательное решение о принадлежности файла к чистому классу арбитр принимает следующим образом:

(13)

—оответственно, решение о принадлежности сканируемого файла к вредоносному классу принимаетс€ в соответствии со следующим выражением:

(14)

“аким образом, пространство выходных значений арбитра можно представить в табличном виде (таблица 3).

“аблица 3 – ѕространство выходных значений арбитра

Z1

Z2

класс

1

0

„истый

0

1

¬ирус

0

0

Ќе определено

 

≈сли выходные значени€ арбитра имеют нулевые значени€, то сканируемый файл отправл€етс€ на дополнительную проверку другому нейросетевому иммунному детектору.

¬ процессе сканировани€ провер€емого файла на нейросетевой детектор последовательно подаютс€ фрагменты файла по методу скольз€щего окна.

 ак было отмечено ранее, один иммунный детектор, благодар€ нейросетевой архитектуре способен обнаруживать несколько вредоносных программ. ѕричем, детектор приобретает способность обнаруживать принципиально новые вредоносные программы.

—равнительный анализ результатов обнаружени€ неизвестных вредоносных программ различными антивирусными программами показал, что разработанный нами иммунологический подход позвол€ет качественнее детектировать неизвестные вредоносные программы.

3. »нтеграци€ нейронных сетей и теории хаоса дл€ обнаружени€ эпилептической активности

 ¬ данном разделе рассматриваетс€ интеллектуальна€ система дл€ определени€ эпилептической активности на основе анализа сигналов EEG, которые отражают суммарную биоэлектрическую активность головного мозга и способны хранить в себе информацию о функциональном состо€нии мозга, общемозговых расстройствах и их характере [ арлов, 1990].

¬ качестве диагностического критери€ используетс€ значение старшего показател€ Ћ€пунова, которое €вл€етс€ положительным при хаотическом поведении системы, и снижаетс€ при наступлении эпилептических припадков [Maiwald et al., 2004]. Ќаличие у системы положительной экспоненты Ћ€пунова свидетельствует о том, что любые две близкие траектории быстро расход€тс€ с течением времени, то есть имеет место чувствительность к значени€м начальных условий. Ќа рисунке 6 представлена нейросетева€ система обнаружени€ аномалий в сигнале ЁЁ√. Ќа вход системы поступает набор сигналов ЁЁ√ одной регистрации. —истема производит предобработку сигналов, чтобы отфильтровать сигналы ЁЁ√ от шумов и артефактов (помехи, по€вл€ющиес€ на ЁЁ√ в результате моргани€, движени€ подбородком и т.п.). Ќаиболее эффективным дл€ такой обработки ЁЁ√ €вл€етс€ метод независимых компонент (ICA - Independent Component Analysis) [Hyvaerinen et al., 2000]. –езультатом предобработки €вл€ютс€ чистые сигналы ЁЁ√, содержащие электрическую активность головного мозга.

 

–исунок 6 – Ќейросетева€ система обнаружени€ эпилептиформной активности; на вход системы подаетс€ набор сигналов электроэнцефалограмм; λ(t) - р€д значений старшего показател€ Ћ€пунова

 аждый сигнал, полученный после фильтрации, подвергаетс€ адаптивной сегментации при помощи многослойного персептрона (MLP). «атем дл€ каждого выделенного сегмента производитс€ вычисление старшего показател€ Ћ€пунова. “аким образом, после расчета меры хаоса получаетс€ детерминированный р€д показателей Ћ€пунова  дл€ каждого чистого сигнала EEG.

(15)

»дентификаци€ аномалий производитс€ в соответствии со следующим критерием:

(16)

ƒл€ расчета старшего показател€ Ћ€пунова используетс€ подход, базирующийс€ на применении прогнозирующей нейронной сети [√оловко и др., 2004], [Golovko et al., 2004], [√оловко, 2005], [Golovko et al., 2007]. ƒл€ этого необходимо вначале определить временную задержку τ  и размерность пространства вложени€ m. ¬ качестве нейронной сети используетс€ многослойный персептрон, который состоит из k ³ m  1 входных нейронов, p скрытых и одного выходного нейронного элемента. «десь m – размерность пространства вложени€. ¬начале необходимо обучить такую нейронную сеть прогнозированию в соответствии с методом скольз€щего окна:

x(t+iτ)=F(x(t+(i–1)τ), x(t+(i–2)τ),…, x(t+(i–k)τ)),  ,

(17)

где τ – временна€ задержка.

ѕосле обучени€ сети легко осуществить эволюцию двух точек на фазовой траектории, использу€ итерационный подход. “аким образом, ключевой идеей предлагаемого метода €вл€етс€ вычисление при помощи прогнозирующей нейронной сети расхождени€ двух близлежащих траекторий на n шагов вперЄд, использу€ итерационный подход.  —хематично процедура вычислени€ старшего показател€ Ћ€пунова представлена на рисунке 7.

–исунок 7 – —хема расчета старшего показател€ Ћ€пунова

 

ѕо полученному значению старшего показател€ Ћ€пунова можно судить о состо€нии системы. ¬ частности, если значение показател€ снижаетс€, то при анализе сигналов EEG это свидетельствует о наличие аномалии в сигнале . ƒанный метод позвол€ет достаточно просто вычислить старший показатель Ћ€пунова при малом объеме экспериментальных данных.

–ассмотрим результаты экспериментов. ¬ качестве исходных данных использовались EEG данные дл€ двух пациентов Ѕрестской областной больницы (таблица 4). ” каждого пациента снимались данные EEG в течение 10 секунд. Ёти данные представл€ют собой набор из 19 сигналов по количеству установленных на голове электродов как показано на рисунке 8.

“аблица 4 – ќписание исходных данных (EEG) дл€ тестировани€ системы

ќбозна-

чение

¬озраст пациента

ƒиагноз

‘орма активности

“ип эпилептиформной активности

30

Ёпилепси€

√енерализо-ванна€

 омплексы остра€ - медленна€ волны в J и D диапазонах

56

”словна€ норма

-

-

 

ѕримечание - ѕод условной нормой понимаетс€ отсутствие в сигнале ЁЁ√  эпилептической активности.

 

 

–исунок 8 – ѕример регистрации электроэнцефалограммы

 

“ак как сигнал снимаетс€ с кожи головы, то он может содержать шумы и артефакты (электрические сигналы, €вл€ющиес€  результатом моргани€ глаз, сердечной активности и т.п.).

ƒл€ выделени€ электрической активности мозга используем метод независимых компонент ICA, который позвол€ет из линейных смесей независимых сигналов от различных источников выделить исходные несмешанные сигналы. —игналы раздел€ютс€ на восемь групп по зонам головы:

- лобна€ лева€ FL = {F1, F3, F7,Fz};

- лобна€ права€ FR = {F2, F4, F8,Fz};

- височна€ лева€ TL = {T3, T5, C3, Cz};

- височна€ права€ TR = {T4, T6, C4, Cz};

- теменна€ лева€ PL = {P3, C3, Pz, Cz};

- теменна€ права€ PR = {P4, C4, Pz, Cz };

- затылочна€ лева€ OL = {O1, Pz, Cz};

- затылочна€ права€ OR = {O2, Pz, Cz};

дл€ левого и правого полушари€ соответственно.

“аким образом, после фильтрации получаем 8 сигналов ЁЁ√, которые подвергаютс€ сегментации и анализу по представленной схеме. –езультаты обнаружени€ эпилептической активности в сигналах ЁЁ√ дл€ первых данных (1Ё), приведенных в таблице 4, показаны на рисунке 9.

 ак видно из рисунка 9 эпилептическа€ активность (черна€ область) возникает генерализованно, то есть одновременно во всех област€х головы в левом и правом полушарии, что соответствует генерализованной форме активности, установленной врачом. ƒл€ данных, обозначенных в таблице 4 идентификатором 2Ќ, было проведено аналогичное исследование, в результате которого эпилептических форм активности не было вы€влено.

4_9

–исунок 9 – –езультаты работы экспериментальной системы в виде двумерной карты обнаружени€ эпилептической активности по значению старшего показател€ Ћ€пунова Lmax

 

 ак показали эксперименты разработанна€ система показала способность выполн€ть классификацию EEG данных на два состо€ни€ (нормальна€ и эпилептическа€ активность) с 99,6% веро€тностью.

«аключение

¬ данной статье рассмотрены основные принципы построени€ интеллектуальных систем дл€ обнаружени€ компьютерных и медицинских атак, обнаружени€ вредоносных программ и диагностики эпилепсии. ƒл€ обнаружени€ компьютерных и медицинских атак  примен€ютс€ различные комбинации рециркул€ционной нейронной сети и многослойного персептрона. ƒл€ обнаружени€ вредоносных программ и компьютерных вирусов используетс€ подход, базирующийс€ на объединении искусственных иммунных и нейронных сетей. ƒетектирование эпилепсии базируетс€ на вычислении старшего показател€ Ћ€пунова, который характеризует степень хаотичности процесса. ƒл€ определени€ старшего показател€ Ћ€пунова используетс€ многослойный персептрон. Ёксперименты показали эффективность предложенных подходов. јвторы выражают глубокую признательность сотрудникам кафедры «»нтеллектуальне информационные технологии» Ѕрестского государственного технического университета Ћаврентьевой —.¬.,  очурко ѕ.ј. и ¬ойцеховичу Ћ.ё. за помощь в подготовке статьи.

Ѕиблиографический список

[Ѕезобразов и др., 2010a] Ѕезобразов, —.¬. јлгоритмы искусственных иммунных систем и нейронных сетей дл€ обнаружени€ вредоносных программ / —.¬. Ѕезобразов, ¬.ј. √оловко // Ќаучна€ сесси€ Ќ»я” ћ»‘» «Ќейроинформатика»: материалы ¬серосс. науч. конф., ћ»‘», ћосква, 25-29 €нв. 2010. – ћосква, 2010. – —. 273-287.

[Ѕезобразов и др., 2010b] Ѕезобразов, —.¬. ѕрименение нейросетевых детекторов в искусственных иммунных системах дл€ обнаружени€ и классификации компьютерных вирусов / —.¬. Ѕезобразов, ¬.ј. √оловко // Ќейрокомпьютеры. – 2010. – є 5. – —. 17-31.

[¬ирусЅлокада, 2007] ѕресс-÷ентр // јнтивирус ¬ирусЅлокјда [Ёлектронный ресурс]. – 2005. – –ежим доступа: http://www.anti-virus.by/press/viruses/1485.html. – ƒата доступа: 25.08.2007.

[√оловко, 2001] √оловко ¬.ј. Ќейронные сети: обучение, организаци€ и применение:  н. 4: учеб. пособие дл€ вузов/ ќбща€ ред. ј.». √алушкина. – ћ.: »ѕ–∆–, 2001. – 256 с.

[√оловко, 2005] √оловко ¬.ј. Ќейросетевые методы обработки хаотических процессов // ¬ книге  «Ћекции по Ќейроинформатике». – M.: ћ»‘», 2005. – C. 43-88.

[√оловко и др., 2004] √оловко ¬.ј., „умерин Ќ.ё. Ќейросетевые методы определени€ спектра Ћ€пунова хаотических процессов // Ќейрокомпьютеры: разработка и применение, 2004. – є1.

[ арлов, 1990]  арлов ¬.ј Ёпилепси€. – ћ.: ћедицина, 1990. - 336с.

[ћастыкин и др., 2010] ћастыкин, ј.—. Ќейросетевой подход к решению проблемы предотвращени€ атак на нормальное кровоснабжение мозга // ј.—.ћастыкин, ¬.¬.≈встигнеев, ¬.ј.√оловко, ≈.Ќ.јпанель, √.ё.¬ойцехович // ƒоклады јкадемии наук Ѕеларуси. – 2010. – “.54 – є 5.  – —.  81–90.

[Bezobrazov et al., 2010] Bezobrazov, S. Artificial immune systems of the neural network  for the malicious code detection / S. Bezobrazov, V.Golovko  // ICNNAI’2010: proceedings of the 6th International Conference on Neural Networks and Artificial Intelligence, Brest, 1-4 June 2010. / Brest State Technical University. – Brest, 2010. – P. 147-153.

[Golovko et al., 2010] Golovko, V. S. Bezobrazov, P. Kachurka, L. Vaitsekhovich. Neural Network and Artificial Immune Systems for Malware and Network Intrusion Detection / V. Golovko, S. Bezobrazov, P. Kachurka, L. Vaitsekhovich // Studies in computational intelligence.  – Springer Berlin/Heidelberg, 2010. – Vol.  263: Advances in machine learning II.P. 485–513.

[Golovko et al., 2007] Golovko, V., Bezobrazova, S., Bezobrazov, S., Rubanau, U. Application of Neural Networks to the Electroencephalogram Analysis for Epilepsy Detection  // Proceedings of the International Joint Conference on Neural Networks (IJCNN 2007), Orlando, FL , USA-  Orlando, 2007. - P. 2707-2711.

[Golovko et al., 2004] Golovko, V., Doudkin, A., Maniakov, N. Application of Neural Networks Techniques to Chaotic Signal Processing //Optical Memory and Neural Networks. – 2004. -  Vol.13, N. 4. - P.195-215.

[Golovko et al., 2006] Golovko, V., Vaitsekhovich, L. Neural Networks approaches for Intrusion Detection and Recognition / V. Golovko, L. Vaitsekhovich // Computing. – 2006. - Vol. 5, N.3. -  P. 118-125.

[Golovko et al., 2007] Golovko, V., Vaitsekhovich, L., Kochurko, P., Rubanau, U. Dimensionality Reduction and Attack Recognition using Neural Network Approaches / V. Golovko, L. Vaitsekhovich, P. Kochurko, U, Rubanau // Proceedings of the International Joint Conference on Neural Networks (IJCNN 2007), Orlando, FL, USA – Orlando, 2007. - P. 2734-2739.

[Hyvaerinen et al., 2000] Hyvaerinen A., Oja E. Independent component analysis: algorithms and applications // Neural Networks, є13, 2000, - P. 411-430.

[KDD, 1999] 1999 KDD Cup Competition. - Information on: http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html.

[Maiwald et al., 2004] Maiwald Th., Winterhalder M., Aschenbrenner-Scheibe R., Voss H. U., Schulze-Bonhage A., Timmer J. Comparison of three nonlinear seizure prediction methods by means of the seizure prediction characteristic // Physica D, 194 (2004), - P. 357–368.



03.12.2022

Ќавигаци€

Ќовости

01.05.2016

„итать далее...

29.01.2016

„итать далее...

  • ¬се новости (20)
  • –еклама

    —четчики


    яндекс.ћетрика
    яндекс цитировани€
    дл€ спамеров
    –Ю–љ–ї–∞–є–љ –Є–≥—А–∞ "Assassin's Creed"–Т –µ–Ї–∞—В–µ—А–Є–љ–±—Г—А–≥–µ –≥–і–µ –Ї—Г–њ–Є—В—М –≤–Є–∞–≥—А—Г–Ъ–∞–Ї –њ—А–Њ–≤–µ—А–Є—В—М –∞–≤—В–Њ –њ–Њ vin–Ш–≥—А–∞—В—М –Њ–љ–ї–∞–є–љ —О–ґ–љ—Л–є –њ–∞—А–Ї–њ—А–Њ–і–∞–ґ–∞ –њ–Є–ї–Њ–љ–Њ–≤ –∞–ї–Љ–∞—В—Л–£—Б–ї—Г–≥–∞ –Љ—Г–ґ –љ–∞ —З–∞—Б –≤ –Њ–Љ—Б–Ї–µDiablo 4–Ъ—Г–њ–Є—В—М –≤–Є–∞–≥—А—Г —Б–Њ—Д—В –≤ —А–Њ—Б—В–Њ–≤–µ–Њ—Б–љ–∞—Й–µ–љ–Є–µ –±–∞—А–∞ –Њ–Љ—Б–Ї–Є–≥—А–∞—В—М –Њ–љ–ї–∞–є–љ –Ї–Њ–њ–∞—В–µ–ї—М–Є–≥—А–∞—В—М –Њ–љ–ї–∞–є–љ —Б–њ–∞–љ—З –±–Њ–±–њ—А–Є–≤–Њ—А–Њ—В—Л –ї—О–±–Њ–≤—М –Њ–љ–ї–∞–є–љ,–≤–Є–љ–Ї—Б –Є–≥—А–∞ –і–ї—П –і–µ–≤–Њ—З–µ–Їdocument.write('');