Результат интеллектуальной деятельности: Способ обнаружения информационно-технических воздействий

Изобретение относится к области автоматизированных информационных систем, а именно к защите информации в информационных системах и может быть использовано для обнаружения информационно-технических воздействий (ИТВ) на информационные системы. Технический результат заключается в обеспечении возможности обнаружения информационно-технических воздействий, определения видов воздействий и оценки достоверности классификации воздействия.

Известен способ функционального поражения средств ИТВ, заключающийся в приеме сигнала источника излучения, определении в принятом сигнале наличия номера целевого информационно-технического средства и при его наличии считывании идентификационных данных оборудования информационно-технического средства в структуре кадра принятого сигнала. По идентификационным данным оборудования определяют его класс и тип (RU 2591050, 2013).

Недостатком способа являются его относительно узкие функциональные возможности, обусловленные возможностью обнаружения только тех ИТВ, источниками которых являются излучающие средства.

Известен способ защиты от проводимых одновременно компьютерных атак, который может использоваться для обнаружения ИТВ, как одиночных, так и проводимых совместно. Способ защиты от проводимых совместно компьютерных атак заключается в том, что обрабатывают на сенсорах все запросы к сервису с дальнейшим агрегированием полученной информации, используя полученную от сенсоров информацию, фильтруют трафик на центрах очистки по заданным правилам фильтрации, формируют множество ИТВ, измеряют и запоминают значения интенсивности воздействия, при которой система защиты информации начинает реагировать на ИТВ, формируют множество правил фильтрации, которые соответствуют определенным ИТВ, вводят полученное множество правил фильтрации в реальную систему, затем фильтруют трафик на центрах очистки, используя правила, скорректированные по множеству правил фильтрации (RU 2663473, 2017).

Недостатком способа также являются его относительно узкие функциональные возможности, обусловленные возможностью обнаружения только компьютерных атак.

Наиболее близкую по сущности совокупность признаков к заявляемому способу имеет изобретение (RU 2583703, 2011), включающее способ характеризации злоумышленной атаки в системе интеллектуальной сети, содержащий этапы, на которых: принимают от системы интеллектуальной сети данные информационной техники (IT), включающие в себя относящуюся к IT активность; принимают данные, не относящиеся к IT данным и включающие в себя данные о событии, относящемся к определенному местоположению, от множества электронных источников; выполняют предварительную обработку не относящихся к IT данных; применяют множество правил к предварительно обработанным не относящимся к IT данным, при этом ассоциируют нежелательное событие с относящейся к IT активностью; определяют вероятность того, что нежелательное событие указывает на злоумышленную деятельность; применяют к нежелательному событию характеризацию риска на основе указанного уровня вероятности и относящейся к IT активности.

В указанном способе анализ злоумышленной атаки осуществляется с использованием вероятностного подхода, при этом к вероятности возникновения неожиданной опасности и вероятности наличия уязвимости, ассоциированной с указанной неожиданной опасностью, применяются те же математические операции, что и к другим событиям безопасности. Из свойства неизвестности указанных случайных событий следует отсутствие у них свойства массовости (Вентцель Е.С. Теория вероятностей. - М.: Наука, гл. ред. физ.-мат. лит., 1969. - 576 с., с. 15), обеспечивающего выявление статистических закономерностей. В связи с неизвестностью законов распределения указанных случайных событий аппарат теории вероятностей не является адекватным для их оценки. Кроме того, большинство преднамеренных злоумышленных воздействий осуществляются по различным сценариям, степень неопределенности которых обусловлена целенаправленной деятельностью злоумышленника, при этом неопределенность указанных сценариев может заключаться в неполноте, неточности или недостоверности сведений об их параметрах, что также обусловливает наличие определенных трудностей при использовании для их анализа классического вероятностного подхода. Таким образом, применение неадекватного для характеризации злоумышленной атаки математического аппарата является недостатком прототипа.

В настоящее время на практике оценивание слабоформализуемых ситуаций, характеризуемых целенаправленной деятельностью человека, осуществляется на основе экспертных суждений. Возникающие ситуации, отражающие информационно-технические воздействия, могут задаваться нечеткими высказываниями, а параметры этих ситуаций могут быть в различной степени неопределенными.

Под нечетким высказыванием понимается предложение, относительно которого можно судить о степени его истинности или ложности в настоящее время, при этом степень истинности или степень ложности каждого нечеткого высказывания принимает значения из замкнутого интервала [0; 1] (Мелихов А.Н., Бернштейн Л.С., Коровин С.Я. Ситуационные советующие системы с нечеткой логикой. - М.: Наука, гл. ред. физ.-мат. лит., 1990. - 272 с., с. 11). Истинность или ложность нечетких высказываний, характеризующих возникающую ситуацию, оценивается экспертными методами и представляется субъективной уверенностью эксперта.

Известен математический аппарат, который позволяет корректно оперировать оценками субъективных степеней уверенности о неопределенных ситуациях (Shafer G. The mathematical theory of evidence / Princeton University Press. - Princeton: Princeton University Press, 1976. - 297 p.).

Требуемый технический результат заключается в обеспечении возможности обнаружения ИТВ, определения видов воздействий и оценки достоверности классификации воздействия.

Технический результат достигается тем, что в способе, включающем сбор сведений, содержащих данные информационной техники (IT), предварительную обработку сведений, применение множества правил к предварительно обработанным сведениям, дополнительно формируют основу анализа, включающую в себя множество известных ИТВ, при этом описывают известные виды ИТВ и их классифицируют; задают пороговый уровень соответствия не относящихся к IT сведений связанным с ИТВ событиям, критерии оценки субъективных вероятностей, пороговое значение сходства текущего события с известными ИТВ и пороговое значение достоверности классификации; осуществляют сбор сведений, не содержащих данных IT, от множества источников и включающих в себя сведения о местоположении, времени, продолжительности и характере событий, ассоциируемых с ИТВ, при этом сведения от различных источников получаются независимо; при применении множества правил к предварительно обработанным сведениям формируют подмножества основы анализа такие, что по меньшей мере одно из полученных сведений содержит по меньшей мере один признак по меньшей мере одного ИТВ; формируют вектор события; определяют субъективную вероятность того, что произошедшее событие указывает на ИТВ, при этом сопоставляют заданный критерий с относящимися к IT данными для определения нижнего значения субъективной вероятности в виде функции уверенности, сопоставляют заданный критерий с не относящимися к IT сведениями для определения верхнего значения субъективной вероятности в виде функции правдоподобия, определяют значения функции уверенности и функции правдоподобия; оценивают степень сходства текущего события с известными ИТВ, при этом сравнивают по нечетким признакам текущее событие с матрицей классификации; классифицируют текущее событие на основе указанных значений субъективной вероятности и результатов сравнения по нечетким признакам; определяют степень достоверности классификации текущей ситуации, при этом сравнивают результаты классификации на основе значений субъективной вероятности с результатами классификации по нечетким признакам; выводят результаты обнаружения ИТВ и его классификации.

Сущность изобретения поясняется чертежом, где на фиг. 1 представлена блок-схема способа обнаружения информационно-технических воздействий, где 1 - блок формирования исходных данных; 2 - блок сбора сведений о событиях, ассоциируемых с ИТВ; 3 - блок предварительной обработки сведений; 4 - блок применения множества правил к предварительно обработанным сведениям; 5 - блок формирования вектора события; 6 - блок определения субъективных вероятностей фокальных элементов; 7 - блок оценки степени сходства текущего события с известными ИТВ; 8 - блок определения степени достоверности классификации текущей ситуации; 9 - блок вывода результатов.

В блоке 1 из известных сведений о возможных ИТВ формируют основу анализа в виде множества где Ω - множество известных ИТВ ω_i При этом каждое ИТВ задается вектором события где λ_ij - признаки ИТВ. Множество векторов образует матрицу классификации каждая строка которой представляет определенный вид ИТВ. Признаки ИТВ задаются в виде нечетких множеств вида

где V_ij - нечеткое высказывание, содержащее признак ситуации, μ_ij - значение функции принадлежности для нечеткого высказывания, характеризующее степень сходства по признаку λ_ij текущей ситуации ω' с известным ИТВ ω_i.

Задают пороговый уровень соответствия не относящихся к IT сведений связанным с ИТВ событиям, критерии оценки субъективных вероятностей, пороговое значение сходства текущего события с известными ИТВ и пороговое значение достоверности классификации.

Пороговый уровень S_пор соответствия не относящихся к IT сведений событиям, указывающим на возможное осуществление ИТВ, определяется исходя их возможности выявления в этих сведениях косвенных или явных признаков ИТВ. Значения уровней соответствия задаются нечеткими высказываниями и определяются как крайне низкий, низкий, средний, высокий, очень высокий уровень.

Нижнее р_* и верхнее р^* значения субъективной вероятности определяют границы интервала, отражающего степень уверенности р(ω') относительно того, что действительное событие ω' является элементом некоторого подмножества событий A_n ⊂ Ω. Нижнее значение субъективной вероятности р_* определяется значением функции уверенности

в соответствии с выражениями

где m(B_k) - масса уверенности, отдаваемой подмножеству B_k ⊂ A_n.

Верхнее значение субъективной вероятности р^* определяется значением функции правдоподобия

в соответствии с выражением

Определение массы уверенности для каждого подмножества B_k ⊂ A_n, функции уверенности и функции правдоподобия осуществляется в соответствии с (Shafer G. The mathematical theory of evidence / Princeton University Press. - Princeton: Princeton University Press, 1976, c. 35-56).

Таким образом, из следует, что

Пороговое значение μ_пор сходства текущего события с известными ИТВ и пороговое значение достоверности классификации р_пор определяются исходя из конкретных условий и могут корректироваться в зависимости от приемлемости полученных конечных результатов. В дальнейшем, при определении сходства текущего события с известными ИТВ и оценке достоверности классификации операции осуществляются только при выполнении условий μ≥μ_пор и

В блоке 2 осуществляют сбор сведений, содержащих данные информационной техники (IT), включающие в себя относящуюся к IT активность и сведений, не содержащих данных IT и включающих в себя сведения о местоположении, времени, продолжительности и характере событий, ассоциируемых с ИТВ. Множество источников сведений определяется таким образом, чтобы получаемые из них сведения содержали информацию о признаках событий, при этом необходимым условием является попарная статистическая независимость источников сведений. Источниками сведений могут являться базы и банки данных, системы безопасности, журналы событий, беспроводные сенсорные сети и др.

В блоке 3 выполняют предварительную обработку сведений, при этом игнорируют не относящиеся к IT сведения, не удовлетворяющие заданному уровню соответствия по меньшей мере одному из множества связанных с ИТВ событий. Предварительная обработка может включать анализ полученных сведений, выявление наличия в них информации о признаках событий, регистрацию признаков события.

В блоке 4 применяют множество правил к предварительно обработанным сведениям: ассоциируют нежелательное событие, заключающееся в осуществлении ИТВ, с относящейся к IT активностью, при этом устанавливают соответствие признаков ИТВ, полученных в результате анализа не относящихся к IT сведений, зарегистрированным в IT событиям; формируют подмножества основы анализа называемые гипотезами, такие, что по меньшей мере одно из полученных сведений ϕ содержит по меньшей мере один признак λ по меньшей мере одного ИТВ ω, при этом подмножества A_n могут пересекаться в различной степени. Каждой гипотезе A_n присваивают массу уверенности m(A_n), представляющей степень субъективной уверенности в том, что определяемое событие является элементом данного подмножества A_n, при этом если m(A_n)>0, то гипотезу считают фокальным элементом в соответствии с (Shafer G. The mathematical theory of evidence / Princeton University Press. - Princeton: Princeton University Press, 1976, c. 35-36). Если подмножества A_n содержат подмножества B_k ⊂ A_n, то массы уверенности распределяются между подмножествами B_k, при соблюдении условия

для всех B_k ⊂ Ω.

В блоке 5 формируют вектор события где λ_j=(V_j, μ_j) - признаки текущего события, определяемые нечеткими высказываниями V_j, содержащими значения признаков текущего события, и значением функции принадлежности μ_j для нечеткого высказывания V_j. При этом каждому признаку λ_j устанавливают в соответствие значение функции принадлежности μ_j, равное среднему значению массы уверенности для всех подмножеств B_k ИТВ, характеризуемых данным признаком, в соответствии с выражением

где K' - количество подмножеств B_k, которым принадлежит ИТВ ω_i, характеризуемое признаком λ_ij.

В блоке 6 для всех фокальных элементов определяют субъективную вероятность того, что произошедшее событие указывает на ИТВ, для чего в соответствии с выражением (3) рассчитывают значение функции уверенности, при этом сопоставляют заданный критерий с относящимися к IT сведениями для определения нижнего значения субъективной вероятности; в соответствии с выражением (6) рассчитывают значение функции правдоподобия, при этом сопоставляют заданный критерий с не относящимися к IT сведениями для определения верхнего значения субъективной вероятности; определяют верхнюю и нижнюю границы интервала в соответствии с выражением (7). Результатом выполнения указанных операций может быть набор значений

В блоке 7 оценивают степень сходства текущего события с известными ИТВ, для чего осуществляют построчное и поэлементное сравнение вектора текущего события с матрицей классификации, при этом при поэлементном сравнении определяется эквивалентность нечетких высказываний относительно значений признака λ_j текущего события и признака λ_ij вида ИТВ в соответствии с выражением

При построчном сравнении определяется степень принадлежности текущего события к виду ИТВ по степени эквивалентности нечетких множеств в соответствии с выражением

Полученные для каждой строки значения эквивалентности сравниваются между собой в соответствии с выражением

Полученный результат отражает вид ИТВ, с которым текущее событие имеет наибольшее сходство.

В блоке 8 определяют степень достоверности классификации текущей ситуации, для чего осуществляют сравнение результатов классификации на основе значений субъективной вероятности с результатами классификации по нечетким признакам, при этом если для события выполняется условие (11) и значения для подмножества B_k, элементом которого является событие являются максимальными, то принимается, что классификация является достоверной и выводится сообщение об обнаружении ИТВ и его принадлежности к определенному виду; в противном случае выводится сообщение, в котором содержится максимальное значение функции принадлежности μ(μ_ij, μ_j) события и соответствующее данному событию значение достоверности события а также максимальные значения и соответствующие значения функции принадлежности μ(μ_ij, μ_j) для событий, входящих в подмножество B_k. Значения функций уверенности и правдоподобия интерпретируются как верхняя и нижняя субъективные вероятности достоверности классификации.

В блоке 9 выводят результаты обнаружения ИТВ, полученные в блоке 8.

Таким образом, способ позволяет на основании заранее введенного описания известных видов ИТВ и собранных сведений осуществить обнаружение ИТВ, определить вид воздействия и оценить достоверность классификации воздействия.

Преимущество применения данного способа состоит в том, что он позволяет получать оценки субъективных вероятностей ИТВ практически при любой степени неопределенности.