×
02.10.2019
219.017.d096

Способ обнаружения информационно-технических воздействий

Вид РИД

Изобретение

Юридическая информация Свернуть Развернуть
Краткое описание РИД Свернуть Развернуть
Аннотация: Изобретение относится к области автоматизированных информационных систем, а именно к защите информации в информационных системах, и может быть использовано для обнаружения информационно-технических воздействий (ИТВ) на информационные системы. Технический результат заключается в обеспечении оценки достоверности классификации воздействия. Обнаружение ИТВ заключается в сборе сведений, содержащих данные информационной техники (IT), применении множества правил к предварительно обработанным сведениям, классифицируют известные виды ИТВ, осуществляют сбор сведений, не содержащих данных IT, ассоциируемых с ИТВ, формируют подмножества основы анализа такие, что по меньшей мере одно из полученных сведений содержит по меньшей мере один признак ИТВ, при этом сопоставляют заданный критерий с относящимися к IT данными для определения нижнего значения субъективной вероятности в виде функции уверенности, сопоставляют заданный критерий с не относящимися к IT сведениями для определения верхнего значения субъективной вероятности в виде функции правдоподобия, определяют значения функции уверенности и функции правдоподобия; оценивают степень сходства текущего события с известными ИТВ. 1 ил.
Реферат Свернуть Развернуть

Изобретение относится к области автоматизированных информационных систем, а именно к защите информации в информационных системах и может быть использовано для обнаружения информационно-технических воздействий (ИТВ) на информационные системы. Технический результат заключается в обеспечении возможности обнаружения информационно-технических воздействий, определения видов воздействий и оценки достоверности классификации воздействия.

Известен способ функционального поражения средств ИТВ, заключающийся в приеме сигнала источника излучения, определении в принятом сигнале наличия номера целевого информационно-технического средства и при его наличии считывании идентификационных данных оборудования информационно-технического средства в структуре кадра принятого сигнала. По идентификационным данным оборудования определяют его класс и тип (RU 2591050, 2013).

Недостатком способа являются его относительно узкие функциональные возможности, обусловленные возможностью обнаружения только тех ИТВ, источниками которых являются излучающие средства.

Известен способ защиты от проводимых одновременно компьютерных атак, который может использоваться для обнаружения ИТВ, как одиночных, так и проводимых совместно. Способ защиты от проводимых совместно компьютерных атак заключается в том, что обрабатывают на сенсорах все запросы к сервису с дальнейшим агрегированием полученной информации, используя полученную от сенсоров информацию, фильтруют трафик на центрах очистки по заданным правилам фильтрации, формируют множество ИТВ, измеряют и запоминают значения интенсивности воздействия, при которой система защиты информации начинает реагировать на ИТВ, формируют множество правил фильтрации, которые соответствуют определенным ИТВ, вводят полученное множество правил фильтрации в реальную систему, затем фильтруют трафик на центрах очистки, используя правила, скорректированные по множеству правил фильтрации (RU 2663473, 2017).

Недостатком способа также являются его относительно узкие функциональные возможности, обусловленные возможностью обнаружения только компьютерных атак.

Наиболее близкую по сущности совокупность признаков к заявляемому способу имеет изобретение (RU 2583703, 2011), включающее способ характеризации злоумышленной атаки в системе интеллектуальной сети, содержащий этапы, на которых: принимают от системы интеллектуальной сети данные информационной техники (IT), включающие в себя относящуюся к IT активность; принимают данные, не относящиеся к IT данным и включающие в себя данные о событии, относящемся к определенному местоположению, от множества электронных источников; выполняют предварительную обработку не относящихся к IT данных; применяют множество правил к предварительно обработанным не относящимся к IT данным, при этом ассоциируют нежелательное событие с относящейся к IT активностью; определяют вероятность того, что нежелательное событие указывает на злоумышленную деятельность; применяют к нежелательному событию характеризацию риска на основе указанного уровня вероятности и относящейся к IT активности.

В указанном способе анализ злоумышленной атаки осуществляется с использованием вероятностного подхода, при этом к вероятности возникновения неожиданной опасности и вероятности наличия уязвимости, ассоциированной с указанной неожиданной опасностью, применяются те же математические операции, что и к другим событиям безопасности. Из свойства неизвестности указанных случайных событий следует отсутствие у них свойства массовости (Вентцель Е.С. Теория вероятностей. - М.: Наука, гл. ред. физ.-мат. лит., 1969. - 576 с., с. 15), обеспечивающего выявление статистических закономерностей. В связи с неизвестностью законов распределения указанных случайных событий аппарат теории вероятностей не является адекватным для их оценки. Кроме того, большинство преднамеренных злоумышленных воздействий осуществляются по различным сценариям, степень неопределенности которых обусловлена целенаправленной деятельностью злоумышленника, при этом неопределенность указанных сценариев может заключаться в неполноте, неточности или недостоверности сведений об их параметрах, что также обусловливает наличие определенных трудностей при использовании для их анализа классического вероятностного подхода. Таким образом, применение неадекватного для характеризации злоумышленной атаки математического аппарата является недостатком прототипа.

В настоящее время на практике оценивание слабоформализуемых ситуаций, характеризуемых целенаправленной деятельностью человека, осуществляется на основе экспертных суждений. Возникающие ситуации, отражающие информационно-технические воздействия, могут задаваться нечеткими высказываниями, а параметры этих ситуаций могут быть в различной степени неопределенными.

Под нечетким высказыванием понимается предложение, относительно которого можно судить о степени его истинности или ложности в настоящее время, при этом степень истинности или степень ложности каждого нечеткого высказывания принимает значения из замкнутого интервала [0; 1] (Мелихов А.Н., Бернштейн Л.С., Коровин С.Я. Ситуационные советующие системы с нечеткой логикой. - М.: Наука, гл. ред. физ.-мат. лит., 1990. - 272 с., с. 11). Истинность или ложность нечетких высказываний, характеризующих возникающую ситуацию, оценивается экспертными методами и представляется субъективной уверенностью эксперта.

Известен математический аппарат, который позволяет корректно оперировать оценками субъективных степеней уверенности о неопределенных ситуациях (Shafer G. The mathematical theory of evidence / Princeton University Press. - Princeton: Princeton University Press, 1976. - 297 p.).

Требуемый технический результат заключается в обеспечении возможности обнаружения ИТВ, определения видов воздействий и оценки достоверности классификации воздействия.

Технический результат достигается тем, что в способе, включающем сбор сведений, содержащих данные информационной техники (IT), предварительную обработку сведений, применение множества правил к предварительно обработанным сведениям, дополнительно формируют основу анализа, включающую в себя множество известных ИТВ, при этом описывают известные виды ИТВ и их классифицируют; задают пороговый уровень соответствия не относящихся к IT сведений связанным с ИТВ событиям, критерии оценки субъективных вероятностей, пороговое значение сходства текущего события с известными ИТВ и пороговое значение достоверности классификации; осуществляют сбор сведений, не содержащих данных IT, от множества источников и включающих в себя сведения о местоположении, времени, продолжительности и характере событий, ассоциируемых с ИТВ, при этом сведения от различных источников получаются независимо; при применении множества правил к предварительно обработанным сведениям формируют подмножества основы анализа такие, что по меньшей мере одно из полученных сведений содержит по меньшей мере один признак по меньшей мере одного ИТВ; формируют вектор события; определяют субъективную вероятность того, что произошедшее событие указывает на ИТВ, при этом сопоставляют заданный критерий с относящимися к IT данными для определения нижнего значения субъективной вероятности в виде функции уверенности, сопоставляют заданный критерий с не относящимися к IT сведениями для определения верхнего значения субъективной вероятности в виде функции правдоподобия, определяют значения функции уверенности и функции правдоподобия; оценивают степень сходства текущего события с известными ИТВ, при этом сравнивают по нечетким признакам текущее событие с матрицей классификации; классифицируют текущее событие на основе указанных значений субъективной вероятности и результатов сравнения по нечетким признакам; определяют степень достоверности классификации текущей ситуации, при этом сравнивают результаты классификации на основе значений субъективной вероятности с результатами классификации по нечетким признакам; выводят результаты обнаружения ИТВ и его классификации.

Сущность изобретения поясняется чертежом, где на фиг. 1 представлена блок-схема способа обнаружения информационно-технических воздействий, где 1 - блок формирования исходных данных; 2 - блок сбора сведений о событиях, ассоциируемых с ИТВ; 3 - блок предварительной обработки сведений; 4 - блок применения множества правил к предварительно обработанным сведениям; 5 - блок формирования вектора события; 6 - блок определения субъективных вероятностей фокальных элементов; 7 - блок оценки степени сходства текущего события с известными ИТВ; 8 - блок определения степени достоверности классификации текущей ситуации; 9 - блок вывода результатов.

В блоке 1 из известных сведений о возможных ИТВ формируют основу анализа в виде множества где Ω - множество известных ИТВ ωi При этом каждое ИТВ задается вектором события где λij - признаки ИТВ. Множество векторов образует матрицу классификации каждая строка которой представляет определенный вид ИТВ. Признаки ИТВ задаются в виде нечетких множеств вида

где Vij - нечеткое высказывание, содержащее признак ситуации, μij - значение функции принадлежности для нечеткого высказывания, характеризующее степень сходства по признаку λij текущей ситуации ω' с известным ИТВ ωi.

Задают пороговый уровень соответствия не относящихся к IT сведений связанным с ИТВ событиям, критерии оценки субъективных вероятностей, пороговое значение сходства текущего события с известными ИТВ и пороговое значение достоверности классификации.

Пороговый уровень Sпор соответствия не относящихся к IT сведений событиям, указывающим на возможное осуществление ИТВ, определяется исходя их возможности выявления в этих сведениях косвенных или явных признаков ИТВ. Значения уровней соответствия задаются нечеткими высказываниями и определяются как крайне низкий, низкий, средний, высокий, очень высокий уровень.

Нижнее р* и верхнее р* значения субъективной вероятности определяют границы интервала, отражающего степень уверенности р(ω') относительно того, что действительное событие ω' является элементом некоторого подмножества событий An ⊂ Ω. Нижнее значение субъективной вероятности р* определяется значением функции уверенности

в соответствии с выражениями

где m(Bk) - масса уверенности, отдаваемой подмножеству Bk ⊂ An.

Верхнее значение субъективной вероятности р* определяется значением функции правдоподобия

в соответствии с выражением

Определение массы уверенности для каждого подмножества Bk ⊂ An, функции уверенности и функции правдоподобия осуществляется в соответствии с (Shafer G. The mathematical theory of evidence / Princeton University Press. - Princeton: Princeton University Press, 1976, c. 35-56).

Таким образом, из следует, что

Пороговое значение μпор сходства текущего события с известными ИТВ и пороговое значение достоверности классификации рпор определяются исходя из конкретных условий и могут корректироваться в зависимости от приемлемости полученных конечных результатов. В дальнейшем, при определении сходства текущего события с известными ИТВ и оценке достоверности классификации операции осуществляются только при выполнении условий μ≥μпор и

В блоке 2 осуществляют сбор сведений, содержащих данные информационной техники (IT), включающие в себя относящуюся к IT активность и сведений, не содержащих данных IT и включающих в себя сведения о местоположении, времени, продолжительности и характере событий, ассоциируемых с ИТВ. Множество источников сведений определяется таким образом, чтобы получаемые из них сведения содержали информацию о признаках событий, при этом необходимым условием является попарная статистическая независимость источников сведений. Источниками сведений могут являться базы и банки данных, системы безопасности, журналы событий, беспроводные сенсорные сети и др.

В блоке 3 выполняют предварительную обработку сведений, при этом игнорируют не относящиеся к IT сведения, не удовлетворяющие заданному уровню соответствия по меньшей мере одному из множества связанных с ИТВ событий. Предварительная обработка может включать анализ полученных сведений, выявление наличия в них информации о признаках событий, регистрацию признаков события.

В блоке 4 применяют множество правил к предварительно обработанным сведениям: ассоциируют нежелательное событие, заключающееся в осуществлении ИТВ, с относящейся к IT активностью, при этом устанавливают соответствие признаков ИТВ, полученных в результате анализа не относящихся к IT сведений, зарегистрированным в IT событиям; формируют подмножества основы анализа называемые гипотезами, такие, что по меньшей мере одно из полученных сведений ϕ содержит по меньшей мере один признак λ по меньшей мере одного ИТВ ω, при этом подмножества An могут пересекаться в различной степени. Каждой гипотезе An присваивают массу уверенности m(An), представляющей степень субъективной уверенности в том, что определяемое событие является элементом данного подмножества An, при этом если m(An)>0, то гипотезу считают фокальным элементом в соответствии с (Shafer G. The mathematical theory of evidence / Princeton University Press. - Princeton: Princeton University Press, 1976, c. 35-36). Если подмножества An содержат подмножества Bk ⊂ An, то массы уверенности распределяются между подмножествами Bk, при соблюдении условия

для всех Bk ⊂ Ω.

В блоке 5 формируют вектор события где λj=(Vj, μj) - признаки текущего события, определяемые нечеткими высказываниями Vj, содержащими значения признаков текущего события, и значением функции принадлежности μj для нечеткого высказывания Vj. При этом каждому признаку λj устанавливают в соответствие значение функции принадлежности μj, равное среднему значению массы уверенности для всех подмножеств Bk ИТВ, характеризуемых данным признаком, в соответствии с выражением

где K' - количество подмножеств Bk, которым принадлежит ИТВ ωi, характеризуемое признаком λij.

В блоке 6 для всех фокальных элементов определяют субъективную вероятность того, что произошедшее событие указывает на ИТВ, для чего в соответствии с выражением (3) рассчитывают значение функции уверенности, при этом сопоставляют заданный критерий с относящимися к IT сведениями для определения нижнего значения субъективной вероятности; в соответствии с выражением (6) рассчитывают значение функции правдоподобия, при этом сопоставляют заданный критерий с не относящимися к IT сведениями для определения верхнего значения субъективной вероятности; определяют верхнюю и нижнюю границы интервала в соответствии с выражением (7). Результатом выполнения указанных операций может быть набор значений

В блоке 7 оценивают степень сходства текущего события с известными ИТВ, для чего осуществляют построчное и поэлементное сравнение вектора текущего события с матрицей классификации, при этом при поэлементном сравнении определяется эквивалентность нечетких высказываний относительно значений признака λj текущего события и признака λij вида ИТВ в соответствии с выражением

При построчном сравнении определяется степень принадлежности текущего события к виду ИТВ по степени эквивалентности нечетких множеств в соответствии с выражением

Полученные для каждой строки значения эквивалентности сравниваются между собой в соответствии с выражением

Полученный результат отражает вид ИТВ, с которым текущее событие имеет наибольшее сходство.

В блоке 8 определяют степень достоверности классификации текущей ситуации, для чего осуществляют сравнение результатов классификации на основе значений субъективной вероятности с результатами классификации по нечетким признакам, при этом если для события выполняется условие (11) и значения для подмножества Bk, элементом которого является событие являются максимальными, то принимается, что классификация является достоверной и выводится сообщение об обнаружении ИТВ и его принадлежности к определенному виду; в противном случае выводится сообщение, в котором содержится максимальное значение функции принадлежности μ(μij, μj) события и соответствующее данному событию значение достоверности события а также максимальные значения и соответствующие значения функции принадлежности μ(μij, μj) для событий, входящих в подмножество Bk. Значения функций уверенности и правдоподобия интерпретируются как верхняя и нижняя субъективные вероятности достоверности классификации.

В блоке 9 выводят результаты обнаружения ИТВ, полученные в блоке 8.

Таким образом, способ позволяет на основании заранее введенного описания известных видов ИТВ и собранных сведений осуществить обнаружение ИТВ, определить вид воздействия и оценить достоверность классификации воздействия.

Преимущество применения данного способа состоит в том, что он позволяет получать оценки субъективных вероятностей ИТВ практически при любой степени неопределенности.

Способ обнаружения информационно-технических воздействий (ИТВ), заключающийся в том, что осуществляют сбор сведений, содержащих данные информационной техники (IT), включающие в себя относящуюся к IT активность; выполняют предварительную обработку сведений, при этом игнорируют не относящиеся к IT сведения, не удовлетворяющие заданному уровню соответствия по меньшей мере одному из множества связанных с ИТВ событий; применяют множество правил к предварительно обработанным сведениям, при этом ассоциируют нежелательное событие с относящейся к IT активностью, отличающийся тем, что формируют основу анализа, включающую в себя множество известных ИТВ, описывают известные виды ИТВ и их классифицируют; задают пороговый уровень соответствия не относящихся к IT сведений связанным с ИТВ событиям, задают критерии оценки субъективных вероятностей, задают пороговое значение сходства текущего события с известными ИТВ и пороговое значение достоверности классификации; осуществляют сбор сведений, не содержащих данных IT, от множества источников и включающих в себя сведения о местоположении, времени, продолжительности и характере событий, ассоциируемых с ИТВ, при этом сведения от различных источников получают независимо; при применении множества правил к предварительно обработанным сведениям формируют подмножества основы анализа такие, что по меньшей мере одно из полученных сведений содержит по меньшей мере один признак ИТВ; формируют вектор события; определяют субъективную вероятность того, что произошедшее событие указывает на ИТВ, при этом сопоставляют заданный критерий с относящимися к IT данными для определения нижнего значения субъективной вероятности в виде функции уверенности, сопоставляют заданный критерий с не относящимися к IT сведениями для определения верхнего значения субъективной вероятности в виде функции правдоподобия, определяют значения функции уверенности и функции правдоподобия; оценивают степень сходства текущего события с известными ИТВ, при этом сравнивают по нечетким признакам текущее событие с матрицей классификации; классифицируют текущее событие на основе указанных значений субъективной вероятности и результатов сравнения по нечетким признакам; определяют степень достоверности классификации текущей ситуации, при этом сравнивают результаты классификации на основе значений субъективной вероятности с результатами классификации по нечетким признакам; выводят результаты обнаружения ИТВ и его классификации.
Источник поступления информации: Роспатент

Showing 1-10 of 97 items.
25.08.2017
№217.015.9dbe

Многоканальный приемник с кодовым разделением каналов для приема квадратурно-модулированных сигналов повышенной структурной скрытности

Изобретение относится к области радиосвязи и может найти применение в системах беспроводного доступа, сухопутной подвижной и спутниковой связи, призванных функционировать в условиях радиоэлектронной борьбы. Технический результат - обеспечение надежного приема сигналов с высокой структурной...
Тип: Изобретение
Номер охранного документа: 0002610836
Дата охранного документа: 16.02.2017
25.08.2017
№217.015.abe6

Установка бесперебойного питания объекта

Использование: в области электротехники. Технический результат – обеспечение выравнивания напряжений. Установка содержит первый канал электроснабжения, образованный клеммами сети (1), линиями электропередачи, автоматом включения резерва и клеммами для подключения нагрузки, и второй канал...
Тип: Изобретение
Номер охранного документа: 0002612196
Дата охранного документа: 03.03.2017
25.08.2017
№217.015.ade6

Способ моделирования целевых программ создания технических систем

Изобретение относится к области моделирования процессов создания технических систем. Согласно способу моделирования целевых программ создания технической системы осуществляют моделирование формирования базы данных объектов групп «Цели», «Исполнители», «Задачи», «Техническая система», «Ресурсы»,...
Тип: Изобретение
Номер охранного документа: 0002612462
Дата охранного документа: 09.03.2017
25.08.2017
№217.015.ae04

Устройство симметрирования напряжения в трёхпроводной сети

Использование: в области электротехники. Технический результат заключается в повышении точности симметрирования напряжения при обрыве фазы. Устройство содержит клеммы сети, трехфазное реле контроля напряжения сети с размыкающими контактами, три реле контроля напряжения, каждое из которых...
Тип: Изобретение
Номер охранного документа: 0002612395
Дата охранного документа: 09.03.2017
25.08.2017
№217.015.bc9c

Источник синусоидального напряжения

Изобретение относится к области электротехники и может быть использовано в качестве источника синусоидального напряжения в системах электроснабжения автономных объектов. Источник содержит функционально включенные аккумуляторную батарею, шины постоянного тока, инвертор, трехфазный фильтр,...
Тип: Изобретение
Номер охранного документа: 0002616189
Дата охранного документа: 13.04.2017
25.08.2017
№217.015.c2f5

Способ нанесения антикоррозионного покрытия на детонирующий удлиненный заряд

Изобретение относится к бортовой и наземной пироавтоматике изделий ракетно-космической, авиационной, военно-морской и специальной техники, в частности к исполнительным устройствам систем разделения - детонирующим удлиненным зарядам, а также к областям защиты металлоконструкций и изделий от...
Тип: Изобретение
Номер охранного документа: 0002618044
Дата охранного документа: 02.05.2017
25.08.2017
№217.015.c4c6

Генератор нагретых импульсных гранулярных струй

Изобретение относится к технике испытаний горючих материалов на воспламеняемость и, в частности, к определению времени зажигания и скорости горения образцов твердых энергетических материалов с использованием нагретых сыпучих твердых теплоносителей для инициирования зажигания и сопровождения...
Тип: Изобретение
Номер охранного документа: 0002618267
Дата охранного документа: 03.05.2017
25.08.2017
№217.015.c509

Автономная ветряная электростанция

Изобретение относится к ветросиловым установкам для преобразования ветряной энергии в электрическую энергию. Автономная ветряная электростанция содержит вертикальный вал вращения (2), у которого рабочими органами являются лопасти (3), выполненные в виде части полой сферы или части полого...
Тип: Изобретение
Номер охранного документа: 0002618152
Дата охранного документа: 02.05.2017
25.08.2017
№217.015.cfe4

Комбинированный датчик обнаружения возгораний

Изобретение относится к области противопожарной защиты и может быть использовано в качестве комбинированного датчика обнаружений возгораний в установках автоматического пожаротушения. Датчик содержит блок питания с трансформатором согласования напряжений блока питания, три датчика обнаружения...
Тип: Изобретение
Номер охранного документа: 0002620964
Дата охранного документа: 30.05.2017
26.08.2017
№217.015.d764

Способ сокращения потерь скорости и времени при осуществлении маневра заданной конфигурации беспилотным летательным аппаратом планирующего типа

Изобретение относится к способу осуществления маневра заданной конфигурации беспилотного летательного аппарата (БЛА) планирующего типа. Для осуществления маневра исходную краевую задачу наведения разбивают на множество промежуточных краевых задач, при решении которых требуемые значения...
Тип: Изобретение
Номер охранного документа: 0002623361
Дата охранного документа: 23.06.2017
Showing 1-2 of 2 items.
29.12.2017
№217.015.f558

Логический вычислитель в системе остаточных классов

Изобретение относится к вычислительной технике и может быть использовано для аппаратной реализации криптографических примитивов. Технический результат изобретения заключается в обеспечении вычисления в системе остаточных классов. Технический результат достигается за счет логического вычислителя...
Тип: Изобретение
Номер охранного документа: 0002637488
Дата охранного документа: 04.12.2017
16.06.2023
№223.018.7c5b

Герметичный бокс для размещения оптического оборудования и герметизирующая панель для герметичного бокса

Группа изобретений относится к крупногабаритным газонаполненным корпусным конструкциям лазерной техники. Герметичный бокс для размещения оптического оборудования содержит металлический корпус и силовой каркас, выполненные в виде единой сборно-сварной конструкции из герметично закрепленных на...
Тип: Изобретение
Номер охранного документа: 0002749348
Дата охранного документа: 08.06.2021
+ добавить свой РИД