автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Самообучающаяся система идентификации данных, поступающих в АСУ физической защитой критического объекта

кандидата технических наук
Волобуев, Евгений Сергеевич
город
Обнинск
год
2009
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Самообучающаяся система идентификации данных, поступающих в АСУ физической защитой критического объекта»

Автореферат диссертации по теме "Самообучающаяся система идентификации данных, поступающих в АСУ физической защитой критического объекта"

На правах рукописи

Волобуев Евгений Сергееви1

САМООБУЧАЮЩАЯСЯ СИСТЕМА ИДЕНТИФИКАЦИИ ДАННЫХ, ПОСТУПАЮЩИХ В АСУ ФИЗИЧЕСКОЙ ЗАЩИТОЙ КРИТИЧЕСКОГО ОБЪЕКТА

Специальность 05.13.19 - «Методы и системы защиты информации,

информационная безопасность»

Автореферат

диссертации на соискание ученой степени кандидата технических наук

Обнинск-2009

003470020

Работа выполнена в Государственном образовательном учреждении высшего профессионального образования «Обнинский государственный технический университет атомной энергетики» (ИАТЭ)

Научный руководитель

доктор технических наук, профессор Сальников Николай Леонидович

Официальные оппоненты

доктор технических наук Фисун Александр Павлович

кандидат технических наук, старший научный сотрудник Скиба Владимир Юрьевич

Ведущая организация

Закрытое акционерное общество «РНТ»

Защита диссертации состоится « 3 » июня 2009 г. в 12 час. 00 мин. на заседании диссертационного совета Д 219.007.02 по техническим наукам ФГУП Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации (ВНИИПВТИ) по адресу: 115114, г. Москва, 2-ой Кожевнический пер. д.8. Тел.: (495) 235-58-09.

С диссертацией можно ознакомиться в библиотеке ФГУП Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации (ВНИИПВТИ) по адресу: 115114, г. Москва, 2-ой Кожевнический пер. д.8. Автореферат разослан «30 » ¿^у^^ 2009 г.

Ученый секретарь диссертационного совета кандидат экономических наук

П.П. Гвритишвили

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Первым рубежом защиты критического объекта (КО), характерным примером которого выступает ядерно-опасный объект (ЯОО), является система физической защиты (ФЗ), которая включает в себя, наряду со службой безопасности, программно-технические комплексы, реализованные в виде автоматизированных систем управления (АСУ) доступом и охранной сигнализации. Подобные системы проектируются и реализуются как многоуровневые АСУ, предназначенные для сбора, обработки, хранения, отображения и передачи данных о состоянии ФЗ различных зон КО, а также защиты активов этого объекта. Управление отдельными компонентами АСУ ФЗ осуществляется с пунктов управления, оборудованных ПЭВМ, в которых концентрируются информационные ресурсы разного уровня конфиденциальности со средств и систем охранной сигнализации, телевизионного наблюдения и т.д. Характерной особенностью АСУ ФЗ КО является применение протоколов TCP/IP, технологии клиент-сервер, систем идентификации данных и т.п.

Большинство современных подходов к выявлению и блокированию нежелательных потоков данных, поступающих в АСУ, опирается на использование продукционных экспертных систем, представляющих собой набор правил, каждому из которых соответствует определенное действие защиты. Подобные подходы имеют следующие недостатки: 1) существующие системы могут выявлять и блокировать только заранее известные системе потоки данных; 2) набор правил необходимо своевременно обновлять; 3) правила обычно задаются в чётком виде, что затрудняет описание некоторых опасных входных данных; 4) правила обычно создаются вручную, что требует привлечения широкого круга квалифицированных специалистов.

Поэтому разработка и исследование новых методов идентификации данных, поступающих в АСУ ФЗ КО, позволяющих построить систему, способную не только выделять и блокировать нежелательные потоки данных, не нарушая при этом работы АСУ ФЗ КО, но и автоматически создавать новые правила идентификации, реализуя алгоритм распознавания неизвестных входных данных, является актуальной задачей.

Степень научной разработанности исследуемой проблемы. Решение исследуемой проблемы опирается на работы как отечественных, так и зарубежных ученых.

Модели защиты рассматривались в работах С. Мафтика, JI. Дж. Хоффмана, D.E. Bell, L.J. LaPadula, A.A. Грушо и Е.Е. Тимониной и др. авторов.

Анализ рисков, разработка политики безопасности и методик оценки безопасности информационных технологий рассматривались в работах C.B. Симонова, А.Ю. Щербакова, П.Д. Зегжды, Д.П. Зегжды, С.П. Расторгуева, В.Ю. Гайковича, А.Ю. Першина, В.А. Герасименко, A.A. Малюка, В.А. Конявского, В.В.Мельникова, В.А. Галатенко, A.M. Ивашко, В.А. Минаева, В.Н. Саблина, А.П. Фисуна, Д.И. Правико-ва, Н.Г. Милославской, А.И. Толстого, C.B. Пазизина, C.B. Погожина, Л.Г. Осовец-кого и др. авторов. Динамический анализ систем безопасности рассматривался в работах D. Denning, S.G. Aki и др. авторов, при этом исследовался подход, связанный с отслеживанием действий пользователей, анализом таких действий и решением о нарушении политики безопасности. Далее этот подход развивался в работах T. Lunt, целью которых являлся анализ аудиторской информации в реальном масштабе времени. При этом этот и другие подходы основывались на четко заданном априорном знании о том, какая информация представляет ценность и какие действия, связанные с этой информацией, ведут к ущербу.

Применение в современных системах идентификации входных данных статистического, экспертного и нейросетевого методов исследовались в работах A.B. Лукацкого, Дж. Кеннеди, А.Н. Горбаня, Д.А. Россиева, К. L. Fox, R. R. Henning, J. H. Reed and R. P. Simonian, A.B. Галатенко, Дж. Чирилло, С. Гриняева, Д. Кострова и др. авторов.

Методы самообучения при поступлении в систему известной информации рассматривались в работах B.JI. Бройдо, С.А. Редкозубова, A.A. Френкеля, М. Киселева, Е. Соломатина, A.A. Эрлиха, Г.К. Вороновского, Ф. Уоссермена, А.Н. Горбаня, D.O. Hebb, Т. Kohonen, Г.А. Реймарова, и др. авторов.

Методы самообучения при поступлении в систему неизвестной информации рассматривались в работах С.П. Расторгуева при разработке им теории СР-сетей, однако там формулировались только общие вопросы теории.

Построение самообучающихся систем идентификации данных (ССИД), поступающих в АСУ, способных анализировать как известную, так и неизвестную информацию, а также автоматически создавать новые правила идентификации, в литературе отражения не нашло. Сказанное определяет цель исследования настоящей работы.

Объектом исследования настоящей работы является автоматизированная система управления физической защитой критического объекта (АСУ ФЗ КО).

Предметом исследования является система идентификации данных, поступающих в АСУ ФЗ КО, поддерживающая заданный алгоритм её функционирования.

Целью исследования является разработка самообучающейся системы идентификации данных, поступающих в автоматизированную систему управления физической защитой критического объекта.

Научная задача исследования заключается в разработке метода, позволяющего усовершенствовать существующие подходы к созданию систем идентификации данных, поступающих в АСУ ФЗ КО, путем выявления аналитических зависимостей во входных потоках данных.

В ходе решения научной задачи для достижения сформулированной цели должны быть решены следующие частные задачи:

1. Разработать концептуальную модель самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО.

2. Разработать метод самообучения ССИД при поступлении в нее неизвестных данных.

3. Разработать структурную схему, алгоритм работы и программную реализацию прототипа самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО и провести их тестирование.

Методологическая схема исследования опирается на общую концепцию информационной безопасности систем ФЗ ядерно-опасных объектов и базируется на теории самозарождающихся и саморазрушающихся структур, для которых могут быть определены правила рождения и гибели элементов системы (СР-сетей).

Методы исследования. Работа базируется на использовании методов теории систем, системного анализа, теории принятия решений, теории вероятностей, теории графов, теории алгоритмов, теории нейронных сетей, теории СР-сетей, теоретических основ защиты информации.

Научная новизна исследования состоит в том, что в настоящей работе впервые рассмотрена задача построения самообучающейся системы идентификации данных, поступающих в АСУ ФЗ, работающей с неизвестной информацией, в отличие от существующих методов и систем идентификации, рассматривающих вопросы идентификации известной системе информации. В процессе решения сформулированных в работе частных задач, были получены следующие новые результаты:

1. Разработан метод идентификации неизвестных входных данных, позволяющий выделять во входных потоках аналитические зависимости, что дает возможность повысить точность (минимизировать ошибку) идентификации за счет использования СР-сетей, способных изменять собственную структуру адекватно воздействию входных данных путем создания и/или уничтожения своих компонентов.

2. Разработана концептуальная модель самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО, включающая разработанный автором ме-

тод идентификации, что позволило разработать структурную схему, алгоритм функционирования и прототип программной реализации самообучающейся системы идентификации неизвестных данных, поступающих в АСУ ФЗ КО.

3. Получены результаты тестирования разработанного алгоритма и программной реализации прототипа ССИД, позволяющие сделать вывод о повышенной точности разработанного автором метода идентификации неизвестных входных данных по сравнению с существующими аналогами.

Практическая значимость результатов исследования состоит в том, что разработанные на основании теоретических результатов исследования структурная схема, алгоритм работы ССИД, поступающих в АСУ ФЗ КО, а также программная реализация прототипа ССИД и результаты его тестирования, позволяющие выделять во входных потоках данных аналитические зависимости и идентифицировать неизвестные входные данные, могут быть реализованы в комплексном программном продукте всей системы, что может улучшить эффективность работы систем идентификации данных, поступающих в АСУ ФЗ КО в части уменьшения ошибок и времени идентификации. Практическая реализация подтверждается актами внедрения результатов исследования в органах государственной власти, на предприятиях разной формы собственности и в учебный процесс.

Достоверность и обоснованность полученных научных результатов достигнута путем системного решения задач, достаточно полного учета многократно проверенных на практике исходных данных, сочетанием формальных и неформальных методов исследования, проверкой и сопоставимостью отдельных результатов в рамках известных теоретических положений. Достоверность результатов:

• обеспечивается корректным использованием методов теории систем, системного анализа, теории принятия решений, теории вероятностей, теории графов, теории алгоритмов, теории нейронных сетей, теории СР-сетей, теоретических основ защиты информации;

• подтверждается совпадением полученных отдельных результатов (в части тестирования классической нейронной сети) с результатами исследований других авторов;

• апробирована опытом внедрения и практического использования в информационно-аналитическом управлении администрации Губернатора Калужской области, Орловском филиале ФГУП «Радиочастотный центр Центрального федерального округа и в департаменте системной интеграции ООО «ТопС Бизнес Интегратор».

Рекомендации по использованию результатов исследования:

• метод идентификации неизвестных входных данных с помощью СР-сетей может быть использован для построения самообучающихся систем идентификации данных, поступающих в АСУ различной конфигурации;

• структурная схема и алгоритм работы самообучающейся системы идентификации данных могут быть использованы при построении систем идентификации и разработке программного обеспечения, реализующего указанный алгоритм;

• программная реализация прототипа самообучающейся системы идентификации данных может быть использована для создания программного комплекса самообучающейся системы идентификации данных, поступающих в АСУ любого критического объекта, в том числе и АСУ физической защитой ЯОО.

На защиту выносятся:

1. Метод идентификации неизвестных входных данных с помощью СР-сетей, для которых могут быть определены правила создания и уничтожения компонентов системы.

2. Концептуальная модель самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО, использующая метод идентификации с помощью СР-

сетей и позволившая разработать структурную схему, алгоритм работы и программную реализацию прототипа ССИД.

3. Результаты тестирования алгоритма и программной реализации прототипа ССИД.

Апробация работы. Основные положения и результаты диссертационной работы докладывались и получили положительную оценку на семинарах и научно-технических конференциях, в числе которых: Всероссийская научно-практическая конференции «Методы и средства технической защиты конфиденциальной информации» (г. Обнинск, 2004 г.), IX Международная конференция «Безопасность АЭС и подготовка кадров» (г. Обнинск, 2005 г.), Международная ежегодная конференция «Risk Analysis in a Dynamic World: Making a Difference» (3-6 декабря 2006, Балтимор, Мэриленд, США).

Публикации. Основные результаты исследования опубликованы в 16 работах, полностью отражающих тему исследования, в том числе 9 статьях, опубликованных в изданиях, выпускаемых в РФ, в которых ВАКом рекомендуется публикация основных результатов диссертаций.

Структура и объем работы. Диссертация состоит из введения, четырех разделов, заключения, библиографического списка из 109 источников, 147 страниц, 21 рисунок, 10 таблиц, 2 приложения.

Содержание работы

Во введении отражается актуальность темы и предмет исследования, определяется основная цель и задачи исследования, отмечается вклад предшественников, решавших подобные задачи, и проводится его анализ, обосновывается новизна исследования и полученных результатов, научная и практическая значимость работы, приводятся рекомендации по использованию полученных результатов. Формулируются научные положения, выносимые на защиту, проводится обоснование структуры диссертации.

Первый раздел посвящен анализу современных методов идентификации входных данных и моделей систем защиты. В результате анализа выявлено следующее.

АСУ ФЗ КО представляет собой интегрированную систему, предназначенную для сбора, обработки, хранения, отображения, управления и передачи информации о состоянии ФЗ различных зон, защищаемой информации и состоит из подсистем, состав и назначение которых определяется количеством охраняемых зон, важностью информационных и других ресурсов, уровнем необходимой конфиденциальности и т.д.

Большинство современных подходов к выявлению и блокированию нежелательных потоков данных, поступающих в АСУ, опирается на использование продукционных экспертных систем и имеет ряд недостатков.

Поступающая в АСУ ФЗ новая информация может быть как известна, так и неизвестна системе. При поступлении известной информации система должна уметь решать задачи: 1) создание модели отдельного элемента, 2) определение топологии связей между элементами, функционирующими в рамках исследуемой системы, каждый из которых способен самостоятельно решать определенную технологическую задачу, 3) определение правил изменения связей. При поступлении в систему новой, неизвестной для нее информации система, кроме перечисленных задач, должна уметь определять правила рождения и гибели своих компонентов.

Проведен анализ методов самообучения АСУ ФЗ КО при поступлении в нее как известной, так и неизвестной информации, в результате которого выявилось, что ССИД должна иметь следующие обязательные функциональные подсистемы: а) подсистему распознавания известной информации; б) подсистему распознавания неизвестной информации; в) подсистему распознавания аномального поведения.

Второй раздел посвящен разработке концептуальной модели ССИД АСУ, позволяющей распознавать во входной информации аналитические зависимости, а также разработке метода самообучения ССИД АСУ ФЗ КО при поступлении в нее неизвестных данных; для реализации данного метода в составе ССИД с целью обеспечения ее функционирования предложены следующие методы: предварительной обработки входных данных, самообучения системы при поступлении в нее известной информации, обнаружения аномальной активности вычислительных процессов, выбора оптимального решения.

Основными задачами ССИД являются:

• сбор информации о возможных событиях внутри и вне системы;

• анализ и обработка собранной информации с целью выявления безопасных и потенциально опасных входных данных;

• направление безопасных входных данных в АСУ для работы с ними в штатном режиме;

• разделение потенциально опасных входных данных на известные и неизвестные системе;

• блокирование известных системе опасных данных;

• выявление системой в неизвестных входных данных аналитических зависимостей для их разделения на безопасные, опасные и не идентифицированные;

• направление безопасных данных в АСУ для работы с ними в штатном режиме, а опасных и не идентифицированных в блок принятия решений;

• блокирование опасных данных в блоке принятия решений;

• принятие решения об отнесении данных, признанных не идентифицированными, к опасным или безопасным по критерию К, отражающему уровень риска, адекватный уровню конфиденциальности информации, циркулирующей в АСУ;

• пропуск в АСУ для работы с ними в штатном режиме не идентифицированных данных, признанных по критерию К безопасными;

• блокирование не идентифицированных данных, признанных по критерию К опасными;

• проведение контрмер.

Решение указанных задач реализуется ССИД АСУ ФЗ. Содержание концептуальной модели ССИД можно представить формально в общем виде отображением ^ссид неупорядоченного множества входных данных Х(1) = {х/} в упорядоченное множество результатов идентификации У(/) = {у.} следующим образом:

' (2.1)

где

Х(1) - множество входных данных, поступающих в АСУ ФЗ из агента угроз;

Г(0 - результат идентификации входных данных (РИВД).

Учитывая, что РИВД является упорядоченным массивом данных, содержащим множества: 1) входных данных №(1)}, идентифицированных как «опасные», «безопасные» или «неизвестные», 2) признаков {/,} идентификации соответствующих данных, 3) допустимых решений {Щ о действиях с данными, упорядоченное отношением предпочтительности, можно записать:

¥(()= {{ДО}, {/,}, {£/,}}• (2.2)

Входные данные рассматриваются как объединение следующих множеств:

1) безопасных данных Х1)={с1,} для АСУ ФЗ,

2) опасных данныхХ0={о,} для АСУ ФЗ,

3) неизвестных данных которые невозможно однозначно отнести ни к опасным, ни к безопасным данным.-

В общем виде опасные данные Хо с функциями принадлежности могут быть как в виде отдельного множества опасных данных {Х0, //„}, так и находиться в каждом из множеств безопасных данных {Ад, и неизвестных {Ху, //„} данных.

С учетом сказанного, объединение вышеперечисленных множеств образует все множество входных данных, что может быть выражено следующим образом: Х={ХЬ /а> = \хо, Мо}^{Х/>, //„}.

С учетом изложенного выражение (2.1) можно записать в следующем виде: Рса,д -т (2.3)

Таким образом, задачей идентификации входных данных X является выделение множества опасных данных Х0 из всего множествах.

Концептуальная модель ССИД АСУ ФЗ КО и ее место в информационном обмене, изображена на рис. 2.1.

в информационном обмене

На рис. 2.1 приведены следующие компоненты информационного обмена, участником которого является ССИД АСУ ФЗ КО:

1)АУ (агент угроз) — внешняя АСУ, с которой осуществляет обмен данными АСУ ФЗ КО. АУ, помимо санкционированных, может осуществлять несанкционированные и непреднамеренные действия над активами АСУ ФЗ КО.

2) ВД (входные данные) - данные Х(1), поступающие от АУ в АСУ ФЗ.

3)ССИД (самообучающаяся система идентификации данных, поступающих в АСУ) - отображение (Рссид) множества входных данных Х(() во множество результатов идентификации

4) РИВД (результат идентификации входных данных).

На основании концептуальной модели ССИД разработан следующий метод.

Метод самообучения системы при поступлении в нее неизвестных данных предназначен для минимизации ошибки идентификации неизвестных системе данных путем выявления аналитических зависимостей. Разработка метода основывается на теории СР-сетей. Функционирование СР-сетей представляет собой три периодически повторяющихся такта обучения системы: 1) через уничтожение элементов; 2) через рождение элементов; 3) через подстройку весовых коэффициентов.

СР-сеть представляет собой совокупность формальных нейронов, каждый из которых способен выполнять некоторое элементарное действие (ЭД). В частности, бездействие, так же, является ЭД. Элементарные действия могут представлять собой как математические операции, так и алгоритмы, включая реализованные программно мемо-функции. Под воздействием внешнего «напряжения» (воздействия) рождаются новые нейроны, которые должны скомпенсировать это напряжение. Каждый нейрон имеет свою «жизненную силу» (ЖС) - величину внешнего напряжения, для компенсации которого он был рожден. При этом если внешнее напряжение превышает ЖС какого-либо нейрона, то этот нейрон погибает. Таким образом, формируется структура, позволяющая реагировать на внешнее воздействие и способная к самосовершенствованию.

На СР-сеть наложены следующие ограничения: 1) возникшее напряжение должно компенсироваться созданием новых нейронов; 2) количество созданных элементов должно быть минимально достаточным для компенсации напряжения; 3) при рождении нейронов выбирается нейрон с тем ЭД, которое максимально способствует минимизации напряжения; 4) рожденные нейроны в дальнейшем, наряду с входными данными, оказывают влияние на рождение следующих нейронов.

Проведено построение СР-сепш, состоящей из входного, скрытого и выходного слоев нейронов. Данные, поступающие в СР-сеть, представляют собой строку, состоящую из десяти чисел в двоичной системе исчисления. Девять из них являются параметрами идентификации 1Р-пакетов, а десятое - параметром определения атаки. Входной слой нейронов состоит из девяти нейронов (выбранное количество соответствует девяти параметрам идентификации 1Р-пакета). В скрытом слое нейронов в процессе жизнедеятельности СР-сетей используются нейроны четырех основных типов, выполняющих следующие ЭД: логические «И», «ИЛИ» и «НЕ», а также тождественное преобразование - «Т». Выходной слой СР-сети состоит из одного нейрона.

В режиме обучения сети полученное выходное значение сравнивается с заданным. При совпадении значений с коэффициентом совпадения от 0,9 до 1, процессы обучения СР-сети прекращаются, что говорит о получении необходимого результата.

Функционирование разработанной СР-сети в режиме «обучение» характеризуется тем, что каждая входная/выходная последовательность порождает свою специфическую структуру нейронов, при необходимости блокируя внутри себя ранее рожденные структуры, являющиеся носителями старого знания. Обучение СР-сети ведется с учителем. Из блока «База данных сигнатур опасных входных данных» на вход СР-сети подаются заранее сформированные обучающие множества, содержащие сигнатуры известных атак. Таким образом, входные данные оказывают воздействие на вход СР-сети значениями входных переменных Х\, Х2, ..., Х„. Сама СР-сеть состоит из элементов Аъ А2,... Ак, а учитель предъявляет на выход значение У. При этом процесс обучения по каждому обучающему набору {Хи Х2,..., Х„, У) состоит из двух этапов:

1) уничтожение нейронов, если возникающее напряжение превышает ЖС;

2) рождение нейронов, способных выполнить ЭД (операция с[), исходя из требования вычисления следующей целевой функции:

шт(У- с!(Х„ Х2, ...,ХП, А„ А2,... Ак))2

с!

Минимизация целевой функции по с1 осуществляется с помощью генетических алгоритмов. В том случае, когда рождение или гибель нового нейрона становятся невозможными, применяется метод подстройки весовых коэффициентов для входных связей нейрона.

Функционирование разработанной СР-сети в режиме «работа» характеризуется тем, что на вход СР-сети подаются данные, которые системе не встречались в

режиме «обучение». СР-сеть проводит попытку их идентификации и определения с заданной точностью, являются ли эти данные опасными (атакой) или безопасными.

Метод самообучения системы при поступлении в нее неизвестной информации реализован в «Блоке идентификации неизвестных входных данных на основе СР-сети».

Для реализации данного метода в составе ССИД с целью обеспечения ее функционирования предложены следующие методы.

Метод предварительной обработки входных данных предназначен для сбора, предварительного анализа и преобразования входных данных с целью уменьшения их объема путем для дальнейшей идентификации. Предварительный анализ производится путем сравнения входных данных с заданными правилами фильтрации. С помощью этих правил могут быть идентифицированы как безопасные, так и опасные входные данные. Данный метод реализован в блоках: «Блок датчиков безопасности», «Блок предварительного анализа входных данных» и «Блок преобразования входных данных».

Метод самообучения системы при поступлении в нее известных данных предназначен для минимизации времени идентификации данных, соответствующих известным сигнатурам. Разработка данного метода основывается на теории многослойных искусственных нейронных сетей (НС).

Предварительное обучение нейронной сети проводится с помощью алгоритма обратного распространения ошибки. Обучение ведется с помощью сигнатур данных, хранящихся в «Базе данных сигнатур безопасных входных данных» и в «Базе данных сигнатур опасных входных данных».

Функционирование разработанной нейронной сети в режиме «работа» заключается в том, что на вход НС подаются данные, которые системе встречались в режиме «обучение». НС проводит попытку их идентификации и определения с заданной точностью являются ли эти данные опасными (атакой) или безопасными. Данный метод реализован в «Блоке идентификации известных входных данных на основе нейронной сети».

Метод обнаружения аномальной активности вычислительных процессов предназначен для минимизации ошибки идентификации неизвестных системе данных путем обнаружения отклонения от нормы активности вычислительных процессов в АСУ. Задача обнаружения аномальной активности заключается в составлении профиля поведения путем фиксирования поведения заведомо исправной АСУ. Затем путем фиксирования поведения АСУ, подвергающейся известной атаке, и последующего поиска отклонений от сформированного профиля во время эксплуатации системы. Для решения вышеуказанной задачи применяются НС теории адаптивного резонанса А11Т1.

Метод обнаружения аномальной активности данных реализован в «Блоке обнаружения аномальной активности входных данных на основе нейронной сети».

Метод выбора оптимального решения предназначен для принятия решения об адекватной реакции ССИД на входные данные в соответствии с критерием Гурвица (Н№), отражающим максимально уравновешенную позицию компромисса, уровень которого определяется значением его параметра. Данный параметр изменяется в зависимости от уровня конфиденциальности информации, обрабатываемой в АСУ. Действия У АСУ по выбору оптимального решения по ее защите можно описать в виде функции предпочтения/ использующей критерий выбора К: У =/(■$ Р, А, 2, В, К), где 5 - нечеткое множество ситуаций, Р - механизм прогнозирования, А - нечеткое множество целей, 2 — нечеткое множество вариантов решений задач защиты, В - нечеткое множество ограничений, К- критерий выбора оптимального решения.

Выявление критерия выбора оптимального решения проводится путем сравнения критериев выбора оптимального решения. Если цель защиты определена, то такая ситуация может быть описана критерием выбора К с параметром аеСа , характеризующим некоторые условия, наступление которых невозможно контролировать, и описывается функцией Т = /(х, а) . В этих условиях выбор х - стратегии, которая обеспечивает экстремум функционала Т, будет существенно зависеть от а: х= х(а).

В задачах защиты функция Т = /(х, а) имеет дискретный характер, следовательно, любому допустимому решению х соответствуют различные входные данные (угрозы) яу и результаты решенийСемейство решений в этом случае описывается матрицей 11/7,11, где строками являются решения, (стратегии), а столбцами - входные данные При выборе наилучшего решения учитываются все возможные последствия варианта х,. Для этого вводятся подходящие оценочные (целевые) функции. При этом матрица решений сводится к одному столбцу - вектору результатов/,г, в котором любому варианту х, приписывается некоторый результат являющийся функцией всех последствий этого решения. Эта функция имеет разный вид в зависимости от позиции ЛПР: оптимистической, пессимистической, компромисса и позиции нейтралитета.

Автором диссертационной работы в качестве критерия выбора оптимального решения К предложено применить критерий Гурвица (НЩ, отражающий максимально уравновешенную позицию компромисса, поскольку она заключается в компромиссе между оптимистической и пессимистической позициями, уровень которого определяется значением параметра компромисса.

Вектор результатов: /г = гшпу + шаху /ц.

I ./

2т =тах/л

I

Изменяя параметр компромисса «с» от 0 до 1 получаем:

1)при с - 1 - критерий Гурвица отражает позицию крайнего пессимизма и превращается в минимаксный критерий (ММ-критерий) (защита гос. тайны);

2) при с - 0.5 - средняя точка зрения (защита конфиденциальной информации);

3) при с = 0 - критерий Гурвица отражает позицию предельного оптимизма (защита общедоступной информации).

Данный метод реализован в «Блоке принятия решений».

Третий раздел посвящен реализации методов идентификации данных в структурной схеме, алгоритме работы ССИД АСУ ФЗ и прототипе самообучающейся системы идентификации данных, включающей разработку ее состава и назначения основных функциональных частей, реализацию алгоритма работы. Проведено текстовое описание алгоритма и его графическое исполнение. Разработанный прототип ССИД встроен в состав АСУ ФЗ КО.

Основные функциональные части ССИД АСУ определяются задачами, сформулированными в концептуальной модели ССИД АСУ и реализуются в шести подсистемах, состоящих из восьми блоков (датчиков безопасности, предварительного анализа входных данных, преобразования входных данных, идентификации известных входных данных на основе НС, идентификации неизвестных входных данных на основе СР-сети, слежения за состоянием системы, обнаружения аномальной активности вычислительных процессов на основе НС, принятия решений) и баз данных сигнатур безопасных и опасных входных данных.

Структурная схема разработанной ССИД АСУ ФЗ КО, включающая в себя вышеописанные компоненты, приведена на рис. 3.1.

Рис. 3.1. Структурная схема ССИД АСУ ФЗ КО

Разработка алгоритма работы самообучающейся системы идентификации входных данных

Алгоритм предназначен для управления ССИД АСУ ФЗ КО. Данная система имеет в своем составе основные компоненты (блоки) перечисленные выше. Общие требования к входным и выходным данным, обеспечивающие информационную совместимость решаемых задач в системе следующие:

а) входные и выходные данные в АСУ ФЗ КО представлены в виде пакетов протоколов IP и ARP на сетевом уровне и пакетов протоколов TCP, UDP, ICMP - на транспортном уровне;

б) сигнатуры баз данных, входные и выходные данные в нейронной сети и СР-сети представлены в двоичном виде.

Перечень массивов информации, используемых при реализации алгоритма, включает IP, ARP, TCP, UDP и ICMP-пакеты, сигнатуры опасных и безопасных данных.

Перечень массивов информации, формируемых в результате реализации алгоритма, включает IP, ARP, TCP, UDP и ICMP-пакеты, сигнатуры опасных данных.

Алгоритм решения выполнен как в виде текста, так и графически.

Начальное состояние

Обучающие данные

Ввод данныч

т

Уничтожение

нейронов

Пет____

■ Да

Создание нейронов с собственными ЭД используя генетические алгоритмы

Реализация метода самообучения системы при поступлении в нее неизвестной информации.

Метод самообучения системы при поступлении в нее неизвестной информации реализован путем разработки алгоритма функционирования и программного продукта СР-сети. Алгоритм использует представление СР-сети в виде ориентированного графа, узлами которого являются нейроны СР-сети, а ребрами - их синаптические связи.

Нейроны с точки зрения объектно-ориентированного программирования представлены в виде класса объектов. Каждый объект-нейрон обладает следующими полями: 1) собственное элементарное действие (ЭД), 2) «-мерный массив потомков нейрона (выходов нейрона), 3) п-мерный массив весов, соответствующих потомкам, 4) счетчик посещений нейрона, начальное значение которого равно числу входов нейрона. Для вычисления выходного значения СР-сети применяется алгоритм обхода графа, представляющий собой стандартный рекурсивный алгоритм поиска в глубину, доработанный в части подсчета количества посещений узлов и вычисления значения их выходов. Данный алгоритм реализован в «модуле вычисления сети». В начальном состоянии СР-сеть состоит из заранее определенных к входных и т выходных нейронов, при этом, скрытый слой сети представляет собой совокупность к нейронов с ЭД «ничего не делать».

Алгоритм функционирования СР-сети представлен на рис. 3.2. На основании приведенного алгоритма разработана программная реализация СР-сети, включающая в себя шесть модулей: 1) модуль начального состояния, 2) модуль генетических алгоритмов, 3) модуль вычисления СР-сети, 4) модуль уничтожения нейронов, 5) модуль создания нейронов, 6) модуль подстройки весовых коэффициентов.

Рис. 3.2. Алгоритм функционирования СР-сети

С целью тестирования разработанного прототипа ССИД проводится его встраивание в состав АСУ ФЗ КО, вариант которого приведен на рис. 3.3.

В четвертом разделе проводится проверка адекватности алгоритма СР-сети, а также приводятся результаты тестирования прототипа ССИД в составе АСУ ФЗ КО. Поскольку главным блоком ССИД является блок идентификации неизвестных входных данных на основе СР-сети, первоначально проводится проверка адекватности и корректности метода самообучения системы при поступлении в нее неизвестной информации и алгоритма функционирования вышеуказанного блока путем сравни-

Подстройка весов новых

нейронов используя генетические алгоритмы

тельного тестирования программной реализации СР-сети и классической нейронной сети с помощью математических функций. Затем проводится тестирование прототипа ССИД с помощью реальных данных, циркулирующих в АСУ ФЗ конкретного критического объекта. Целью тестирования прототипа ССИД является исследование адекватности и корректности алгоритма его функционирования на основании оценки точности идентификации входных данных.

8

Гм Завод №1

Сервер завода

ч. /"Интегрирован ная\ <> ( система ) ^ V безопасности )

Вычислительная сеть критического объекта

Щр

Управление

Система

подготовки Центральный Центральный Резервный Резервный и выдачи пункт сервер пульт пульт

пропусков управления

объекта

управления управления Завода № 1 Завода №2

ССИД

и

/Автомобильный4 КПП

г;-1

Сервер автомобильного КПП

^ ^Нешеходный^Ч /'Аэропорт \ V /Ж/Д вокзалЛ

Сервер пешеходного КПП

Мобильный регистратор

Мобильный ¡регистратору

Рис. 3.3. Вариант встраивания прототипа ССИД в структуру АСУ ФЗ КО

Проверка адекватности разработанного алгоритма СР-сети проводится путем: 1) сравнительного тестирования программной реализации СР-сети и классической нейронной сети с помощью математических функций, а также 2) с помощью реальных данных.

1) Тестирование программной реализации СР-сети и классической нейронной сети с помощью математических функций заключается в оценке возможности обучения и вычислений программной реализации СР-сети. Для сравнительной оценки точности идентификации входных данных СР-сетью предварительно проводится тестирование НС. Для тестирования НС и СР-сети используется решение задачи кусочно-нелинейной аппроксимации заданных функций.

Тестирование классической НС и СР-сепш состоит из двух стадий: 1) обучение и оценка сетевых параметров; 2) аппроксимация и оценка сетевых параметров.

Для аппроксимации функций используется трехслойная НС прямого распространения с двумя скрытыми слоями. Обучение ведется с учителем с использовани-

ем алгоритма обратного распространения ошибки. Данные обучения и аппроксимации, а также оцениваемые параметры для нейронной и СР сетей одинаковы. Результаты тестирования НС и СР-сети представлены в табл. 4.1.

Таблица 4.1

Функции Число нейронов сети Число обучающих итераций Число итераций работы Средняя относительная ошибка обучения, % Средняя относительная ошибка работы,% Максимальная ошибка обучения, % Максимальная ошибка работы,%

Классическая нейронная сеть

/1 10 16641 1000 0,145 0,83 0,412 1,32

/2 10 16641 1000 0,212 0,72 0,652 1,44

/3 10 16641 1000 0,293 1,14 0,792 1,61

СР-сеть

/1 3 16641 1000 1Д2Е-3 1,83Е-2 1,24Е-3 1,91Е-2

/2 6 16641 1000 1,56Е-3 1/72Е-2 6,37Е-3 1,87Е-2

/3 7 16641 1000 0,134 0,89 0,567 1,13

Малые значения ошибок функций/| и/2 объясняются совпадением с используемыми в алгоритме CP-сетей видами математических операций и доказывают способность CP-сетей выявлять во входных данных аналитические зависимости. Это позволяет алгоритму найти структуру, похожую или совпадающую с математическими формулами функций. Таким образом, точность аппроксимации определятся точностью алгоритма подстройки весов.

Сравнение данных табл. 4.1 позволяет сделать вывод о более высокой точности идентификации CP-сети по сравнению с классической нейронной сетью при меньшем количестве используемых нейронов. При подсчете их количества не учитываются нейроны с ЭД «ничего не делать» так как они эквивалентны обычным синап-тическим связям. При этом количество обучающей выборки, подаваемой на вход нейронной и CP-сетей, равно 16641 векторов обучения, а количество рабочей выборки равно 1000 векторов аппроксимации.

Сравнительная оценка временных характеристик обучения и работы (аппроксимации) проводился на ПЭВМ со следующими параметрами: 1) Тип процессора - 1.6 ГГц Intel® Celeron® М processor 380; 2) Частота системной шины - 400 МГц; 3) ОЗУ - 1 Гб DDR RAM.

Результаты оценки временных характеристик обучения и работы нейронной и CP-сетей для функций/,,/2,/ъ приведены в табл. 4.2.

Таблица 4.2

Результаты оценки временных характеристик обучения и работы НС и СР-сети

Время Время обучения, сек Время работы, сек

Функции /2 /з П h /з

Нейронная сеть 96,2 70,7 100,7 8,3 8,5 9,4

СР-сеть 361,1 403,2 452,2 5,8 6,5 7,2

На основании вышеизложенного можно сделать следующие выводы:

1) По точности идентификации известных данных СР-сети не уступают нейронным сетям (ДЕ = ЕСР- Енс ~ 0,5-И,5%).

2) Время идентификации с применением СР-сетей сокращается на 20 - 30%; потери во времени при обучении вызваны адекватными требованиями самообучения и не являются критичными для производительности ССИД в целом.

3) CP-сети, в отличие от нейронных сетей, способны выделять аналитические зависимости в потоке входных данных и идентифицировать неизвестные данные.

4) Адекватность и корректность метода самообучения системы при поступлении в нее неизвестной информации и алгоритма функционирования блока идентификации неизвестных входных данных на основе CP-сети доказаны сравнительными результатами тестирования.

2) Тестирование прототипа ССИД с помощью реальных данных, циркулирующих в АСУ ФЗ критического объекта, проводится с целью исследования адекватности и корректности алгоритма его функционирования на основании оценки точности идентификации входных данных.

Тестирование ССИД проводилось на ряде критических объектов в различных регионах страны (Московская, Орловская и Калужская области), АСУ ФЗ которых, построены по сходному принципу и различаются лишь своей конфигурацией, количеством сетевого оборудования, серверов и рабочих станций в сети. В связи с общностью принципа построения АСУ ФЗ, в качестве примера в настоящей диссертационной работе приведены данные, полученные на одном из этих объектов. На этом объекте, имеющем 23 сервера и 534 рабочих станции, в течение 7 суток с помощью системы обнаружения атак Snort и ССИД был исследован сетевой трафик, содержащий 4 657 812 пакетов безопасных данных и 33 436 атаки.

Вид данных и результаты тестирования ССИД приведены в табл. 4.3.

Таблица 4.3

Вид данных и результаты тестирования ССИД_

Безопасные Известные Неизвестные

Вид данных данные, опасные опасные данные,

пакеты данные, атаки атаки

Исследованы 4 657 812 16718 16 718

Идентифицированы ССИД 4 489 745 15 697 13 458

Ошибка идентификации, % 3,6 6,1 19,5

Зависимость результатов идентификации с применением разработанной автором СР-сети в сравнении с классической нейронной сетью от доли неизвестных данных, содержащихся во входном потоке данных, приведена на рис. 4.1.

« 100%

CP сеть — Нейронная сеть

| 60% сз ю

| 40% я

X

I" 20%

к и

5? 0%

0% 20% 40% 60% 80% 100% Доля неизвестных данных во входном потоке

Рис. 4.1. Зависимость результатов идентификации с применением СР-сети в сравнении с классической НС от доли неизвестных данных

Результаты тестирования прототипа ССИД позволяют сделать вывод об адекватности, корректности и точности, разработанных в диссертационной работе методов и алгоритмов.

Полученные результаты идентификации известных данных (содержащихся в базе данных сигнатур) показали, что прототип ССИД не уступает существующим системам обнаружения атак. Кроме этого, в отличие от существующих систем идентификации данных, прототип ССИД позволяет идентифицировать и неизвестные данные (не содержащиеся в базе данных сигнатур).

Заключение содержит общий вывод о результатах проведенного исследования и перечень основных результатов диссертационной работы.

Основные результаты работы

В результате выполнения настоящей работе сделано следующее:

1. Проведен анализ методов идентификации как известных, так и неизвестных системе входных данных. Определено, что самообучающаяся система идентификации данных (ССИД), поступающих в АСУ ФЗ КО, должна основываться на модели системы защиты с полным перекрытием.

2. Разработана концептуальная модель ССИД АСУ ФЗ, при этом: а) описана общая концепция построения ССИД АСУ ФЗ, б) сформулированы основные понятия, используемые ССИД АСУ с целью распознавания входных данных, в) сформулированы основные задачи ССИД АСУ, г) введены ограничения на работу модели.

3. На основании концептуальной модели ССИД разработан метод самообучения системы при поступлении в нее неизвестных данных, предназначенный для минимизации ошибки идентификации неизвестных системе данных путем выявления во входных потоках данных аналитических зависимостей.

Для реализации данного метода в составе ССИД с целью обеспечения ее функционирования предложены следующие методы:

а) Метод предварительной обработки входных данных, предназначенный для сбора, анализа и преобразования исследуемых данных с целью уменьшения их объема путем фильтрации априорно известной информации.

б) Метод самообучения системы при поступлении в нее известных данных предназначенный для минимизации времени идентификации данных, соответствующих известным сигнатурам.

в) Метод обнаружения аномальной активности вычислительных процессов предназначенный для минимизации ошибки идентификации неизвестных системе данных путем обнаружения отклонения от нормы активности вычислительных процессов в АСУ.

г) Метод выбора оптимального решения, предназначенный для принятия решения об адекватной реакции ССИД на входные данные в соответствии с критерием Гурвица (Н№), отражающим максимально уравновешенную позицию компромисса, уровень которого определяется значением его параметра. Данный параметр изменяется в зависимости от уровня конфиденциальности информации, обрабатываемой в АСУ.

4. Разработанные методы реализованы в структурной схеме, алгоритме работы и программной реализации прототипа самообучающейся системы идентификации данных. Прототип ССИД состоит из блока датчиков безопасности и программных реализаций блоков предварительного анализа входных данных, баз данных сигнатур атак, идентификации известных входных данных на основе нейронной сети, идентификации неизвестных входных данных на основе СР-сети, обнаружения аномальной активности входных данных и принятия решений.

5. Особое место уделено разработке алгоритма работы «Блока идентификации неизвестных входных данных на основе СР-сети» и программной реализация СР-сети. Приведено описание ее функциональных модулей, а также сравнительные результаты тестирования СР-сети и классической нейросетевой структуры, использующей алгоритм обратного распространения ошибки. Данные тестирования подтвердили адекватность алгоритма СР-сети.

6. Разработанный прототип ССИД встроен в состав АСУ ФЗ конкретного критического объекта, и прошел тестирование с помощью реальных данных этого объекта, подтвердившее точность, адекватность и корректность полученных значений.

Полученные результаты исследования позволили:

1. Разработать метод идентификации неизвестных входных данных с помощью СР-сетей, для которых могут быть определены правила создания и уничтожения компонентов системы.

2. Разработать концептуальную модель самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО, использующую метод идентификации с помощью СР-сетей и позволившую разработать структурную схему, алгоритм работы и программную реализацию прототипа ССИД.

3. Получить результаты тестирования алгоритма и программной реализации прототипа ССИД.

Таким образом, в диссертационной работе, являющейся научной квалификационной работой, на основании выполненных автором исследований, осуществлено решение задачи, представляющей собой научно обоснованную разработку нового метода идентификации неизвестных входных данных, позволяющего создать самообучающуюся систему идентификации данных, поступающих в автоматизированную систему управления физической защитой критического объекта, имеющей существенное значение в области информационной безопасности.

Полученные результаты позволяют на основании разработанного прототипа ССИД разработать полный пакет программного обеспечения и провести его сертификацию.

Основные положения диссертации опубликованы в 16 работах, в том числе:

Публикации в изданиях, в которых ВАКом рекомендуется публикация основных результатов диссертаций.

1. Волобуев C.B., Волобуев Е.С. Применение нечеткой логики к задачам защиты социотехнических систем // Вопросы защиты информации. 2001. №4 (55). С. 2 - 10.

2. Волобуев C.B., Волобуев Е.С. Моделирование информационного взаимодействия систем // Вопросы защиты информации. 2003. № 3 (62). С. 54 - 61.

3. Волобуев Е.С. О реализации алгоритма распознавания входных данных, поступающих в АСУ // Вопросы защиты информации. 2004. № 2 (65). С. 52 - 53.

4. Волобуев Е.С. Об одной реализации алгоритма распознавания входных данных, поступающих в автоматизированную систему // Вопросы защиты информации. 2004. №3(66). С. 46-51.

5. Волобуев Е.С. Контроль информационного и программного обеспечения АСУ с помощью самообучающейся системы обнаружения сетевых вторжений // Вопросы защиты информации. 2005. № 3 (70). С 26 - 33.

6. Волобуев Е.С., Волобуев C.B. О результатах разработки и тестирования алгоритма функционирования и программной реализации СР-сети для создания подсистемы идентификации входных данных // Безопасность информационных технологий. 2006. №3. С. 49-55.

7. Волобуев Е.С., Волобуев C.B. К вопросу о разработке подсистемы идентификации входных данных на основе СР-сети // Вопросы защиты информации.2007. № 1 (76). С. 31-38.

8. Волобуев C.B., Волобуев Е.С. О разработке концептуальной модели безопасного функционирования и развития социотехнических информационных систем // Вопросы защиты информации. 2007. № 2 (77). С. 46 - 51.

9. Волобуев C.B., Волобуев Е.С. О разработке математической модели процесса идентификации входных данных самообучающейся системой защиты социотехни-ческой информационной системы // Вопросы защиты информации. 2007. № 3 (78). С. 41-46.

Публикации в других изданиях.

10.Волобуев C.B. Волобуев Е.С. К вопросу обеспечения информационной безопасности автоматизированных систем. Сборник научных трудов кафедры АСУ ИАТЭ «Диагностика и прогнозирование состояния объектов сложных информационных интеллектуальных систем». № 15, 2004. С. 3 - 10.

11.Волобуев Е.С. О реализации алгоритма распознавания входных данных, поступающих в автоматизированную систему. Сборник материалов Всероссийской научно-практической конференции «Методы и средства технической защиты конфиденциальной информации». - Обнинск: ГОУ «ГЦИПК», 2004. С.39 -40.

12.Волобуев Е.С. Анализ современного состояния методов контроля информационного и программного обеспечения АСУ ФЗ ЯОО. Сб. тезисов докладов IX Международной конференции «Безопасность АЭС и подготовка кадров», Обнинск, 2428 октября 2005 г. 4.2. - Обнинск: ИАТЭ, 2005. С. 6- 7.

13.Волобуев Е.С. О применении CP-сетей в системах контроля информационного и программного обеспечения АСУ физической защиты ядерно-опасных объектов. Сб. тезисов докладов IX Международной конференции «Безопасность АЭС и подготовка кадров», Обнинск, 24-28 октября 2005 г. 4.2. - Обнинск: ИАТЭ, 2005. С. 13-15.

14.Сальников H.JI. Волобуев Е.С. О возможности применения CP-сетей в системах контроля информационного и программного обеспечения АСУ физической защиты ядерно-опасных объектов. Сб. научных трудов каф. АСУ ИАТЭ «Диагностика и прогнозирование состояния объектов сложных информационных интеллектуальных систем». № 16, 2006. - Обнинск: ИАТЭ, 2005. С. 47 - 53.

15.Volobuev Е, Volobuev S, Ferguson Е, Morel В, Linkov I. Evolving neural networks: Foundation and application for cybersecurity and military settings. Proceedings of the Society for Risk Analysis (SRA) Annual Meeting 2006 "Risk Analysis in a Dynamic World: Making a Difference" December 3-6, 2006, Baltimore, Maryland. P. 145.

16.Волобуев E.C., Волобуев C.B. О результатах разработки самообучающейся системы контроля и защиты информационного и программного обеспечения АСУ физической защитой ядерно-опасных объектов. Диагностика и прогнозирование состояния сложных систем. Сборник научных трудов в № 17 кафедры АСУ / Под ред. д.т.н. проф. A.B. Антонова. - Обнинск: ИАТЭ, 2007. - С. 41 -48.

(

Оглавление автор диссертации — кандидата технических наук Волобуев, Евгений Сергеевич

Определения.

Обозначения и сокращения.

Введение.

1. Анализ современных методов идентификации данных и моделей систем защиты.

1.1. Общая формулировка задачи исследования.

1.2. Существующие методы идентификации данных.

1.3. Анализ методов, пригодных для идентификации как известных, так и неизвестных системе входных данных.

1.4. Модели систем защиты.

1.5. Постановка задачи диссертационного исследования.

1.6. Выводы по разделу 1.

2. Разработка концептуальной модели и методов идентификации данных ССИД.

2.1. Концептуальная модель самообучающейся системы идентификации данных.

2.2. Метод предварительной обработки входных данных.

2.3. Метод самообучения системы при поступлении в нее известной информации.

2.4. Метод самообучения системы при поступлении в нее неизвестной информации.

2.5. Метод обнаружения аномальной активности вычислительных процессов.

2.6. Метод выбора оптимального решения.

2.7. Выводы по разделу 2.

3. Реализация методов идентификации данных в структурной схеме, алгоритме работы и прототипе самообучающейся системы идентификации данных.

3.1. Разработка структурной схемы ССИД.

3.2. Разработка алгоритма работы самообучающейся системы идентификации данных.

3.3. Разработка программной реализации прототипа ССИД.

3.4. Встраивание разработанного прототипа ССИД в состав АСУ ФЗ критического объекта.

3.5. Выводы пр разделу 3.

4. Проверка адекватности алгоритма CP-сети и результаты тестирования прототипа ССИД в составе АСУ ФЗ КО.

4.1. Проверка адекватности алгоритма CP-сети.

4.2. Тестирование прототипа ССИД с помощью реальных данных, циркулирующих в АСУ ФЗ критического объекта.

4.3. Выводы по разделу 4.

Введение 2009 год, диссертация по информатике, вычислительной технике и управлению, Волобуев, Евгений Сергеевич

Актуальность исследования. Первым рубежом защиты жизненно важных элементов любого критического объекта (КО), характерным примером которого является ядерно-опасный объект (ЯОО), является система физической защиты, включающая в себя, наряду со службой безопасности, также программно-технические комплексы, реализованные в виде автоматизированных систем управления (АСУ) доступом и охранной сигнализации. Подобные системы проектируются и реализуются как многоуровневые (интегрированные) АСУ, предназначенные для сбора, обработки, хранения, отображения и передачи данных о состоянии физической защиты различных зон КО, защищаемой информации об объекте, а также защиты активов этого объекта. Конкретная структура АСУ физической защиты (АСУ ФЗ) КО определяется множеством факторов, среди которых можно отметить такие, как количество охраняемых зон, важность информационных и других защищаемых ресурсов (активов), уровень необходимой конфиденциальности, материальные возможности организации и т.д. Управление отдельными компонентами АСУ ФЗ КО осуществляется с пунктов управления, оборудованных ПЭВМ, в которых концентрируются информационные ресурсы разного уровня конфиденциальности со средств и систем охранной сигнализации, телевизионного наблюдения и т.д. Характерной особенностью современных интегрированных АСУ ФЗ КО является применение протоколов TCP/IP, технологии клиент-сервер, систем идентификации данных и т.п.

Поскольку в АСУ ФЗ, в соответствии с определением автоматизированной системы, реализуется информационная технология выполнения установленных функций как совокупности действий АСУ, направленных на достижение цели физической защиты объекта, следовательно, при реализации информационной технологии в АСУ ФЗ важно обеспечить выполнения алгоритма ее функционирования; т.е. алгоритма, задающего условия и последовательность действий компонентов АСУ при выполнении ею своих функций.

Выполнение заданного алгоритма функционирования АСУ может быть нарушено поступлением в систему данных, которые могут привести к нарушению веса, количества и направленности связей между ее компонентами, в результате чего может произойти перепрограммирование и (или) их уничтожение, как этих компонентов, так и ее активов. Поэтому в АСУ ФЗ КО должна быть встроена система, обеспечивающая выполнение заданного алгоритма функционирования АСУ, т.е. система идентификации данных, поступающих в АСУ ФЗ, способная блокировать поступление в систему опасных для ее функционирования потоков данных.

Большинство современных подходов к выявлению и блокированию нежелательных потоков данных, поступающих в АСУ, опирается на использование продукционных экспертных систем, представляющих собой набор правил, каждому из которых соответствует определенное действие, которое необходимо выполнить, если выполняются условия соответствующей продукции. Подобные подходы имеют следующие недостатки:

1) существующие системы могут выявлять и блокировать только те нежелательные потоки данных, которые заранее известны системе;

2) набор правил, в соответствии с которыми происходит анализ данных, необходимо своевременно обновлять;

3) правила обычно задаются в чётком виде, что затрудняет описание некоторых опасных для системы входных данных;

4) правила обычно создаются и обновляются вручную, поэтому к их созданию и обновлению необходимо привлечение широкого круга квалифицированных специалистов.

Поэтому разработка и исследование новых методов идентификации данных, поступающих в АСУ ФЗ КО, позволяющих построить систему, умеющую не только выделять и блокировать нежелательные потоки данных, не нарушая при этом работы АСУ ФЗ КО, но и автоматически создавать новые правила идентификации, реализуя алгоритм распознавания неизвестных входных данных, является актуальной задачей.

Степень научной разработанности исследуемой проблемы. Решение исследуемой проблемы опирается на работы как отечественных, так и зарубежных ученых.

Применение в современных системах идентификации входных данных статистического и экспертного методов исследовались в [6, 12, 14, 15, 19 — 22], применение нейросетевого метода исследовалось в [12, 14 — 18]. Реализация статистического, экспертного и нейросетевого методов в системах обнаружения аномального поведения и злоумышленного поведения или злоупотреблений рассматривалась в [12, 14 - 17, 19 - 24]. Комбинированные системы, объединяющие в себе системы обнаружения аномальной и злоумышленной деятельности, рассматривались в [18, 25, 26].

Методы самообучения при поступлении в систему известной информации рассматривались в [30 - 45, 47 - 57]. Методы самообучения при поступлении в систему неизвестной информации рассматривались в [28, 29, 58], однако там формулировались только общие вопросы теории.

Модели защиты рассматривались в [59 - 62]. Подходы, в которых используют категорирование: нарушителей, информации, средств защиты и т.п. сформулированы в РД Гостехкомиссии России [7]. Однако эти РД не содержат положений, связанных с определением рисков и реализуют модель, в которой не рассматриваются категории угроз, уязвимостей и их взаимосвязей. От указанных проблем свободны Общие Критерии [64, 65]. Анализ рисков, построение и поддержка политики безопасности, и разработка методик оценки безопасности информационных технологий рассматривался в [63, 66 - 90 и др.]. Динамический анализ систем безопасности рассматривался в [87 - 90], при этом исследовался подход, связанный с отслеживанием действий пользователей, анализом таких действий и решением о нарушении политики безопасности. Далее этот подход развивался в работах [91, 92], целью которых являлся анализ аудиторской информации в реальном масштабе времени. При этом этот и другие подходы основывались на четко заданном априорном знании о том, какая информация представляет ценность и какие действия, связанные с этой информацией, ведут к ущербу.

Построение самообучающихся систем идентификации данных, поступающих в АСУ, способных анализировать не только известную, но и неизвестную информацию, а также автоматически создавать новые правила идентификации, в литературе отражения не нашло. Сказанное определяет цель исследования настоящей работы.

Объектом исследования настоящей работы является автоматизированная система управления физической защитой критического объекта (АСУ ФЗ КО), предназначенная для сбора, обработки, хранения, отображения, управления и передачи данных о состоянии физической защиты различных зон КО, защищаемой информации об объекте и активов этого объекта.

Предметом исследования является система идентификации данных, поступающих в АСУ ФЗ КО, поддерживающая заданный алгоритм функционирования.

Целью исследования является разработка самообучающейся системы идентификации данных, поступающих в автоматизированную систему управления физической защитой критического объекта.

Научная задача исследования заключается в разработке нового метода, позволяющего усовершенствовать существующие подходы к созданию систем идентификации данных, поступающих в АСУ ФЗ КО, путем выявления аналитических зависимостей во входных потоках данных.

В ходе решения научной задачи для достижения сформулированной цели должны быть решены следующие частные задачи:

1. Разработать концептуальную модель самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО.

2. Разработать метод самообучения ССИД при поступлении в нее неизвестных данных.

3. Разработать структурную схему, алгоритм работы и программную реализацию прототипа самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО и провести их тестирование.

Методологическая схема исследования опирается на общую концепцию информационной безопасности систем физической защиты ядерно-опасных объектов [1] и базируется на теории самозарождающихся и саморазрушающихся структур (СР-сетей) - сетей, для которых могут быть определены правила рождения и гибели элементов системы [28, 29, 58].

Методы исследования. Работа базируется на использовании и развитии методов теории систем, системного анализа, теории принятия решений, теории вероятностей, теории графов, теории алгоритмов, теории нейронных сетей, теории СР-сетей, теоретических основ защиты информации.

Научная новизна исследования состоит в том, что в настоящей работе впервые рассмотрена задача построения самообучающейся системы идентификации данных, поступающих в АСУ ФЗ, работающей с неизвестной информацией, в отличие от существующих методов и систем идентификации, рассматривающих вопросы идентификации известной системе информации. В процессе решения сформулированных в работе частных задач, были получены следующие новые результаты:

1. Разработан метод идентификации неизвестных входных данных, позволяющий выделять во входных потоках аналитические зависимости, что дает возможность повысить точность (минимизировать ошибку) идентификации за счет использования нейронных сетей, способных изменять собственную структуру адекватно воздействию входных данных путем создания и/или уничтожения компонентов (СР-сетей).

2. Разработана концептуальная модель самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО, включающая новый метод идентификации, что позволило разработать структурную схему, алгоритм функционирования и прототип программной реализации самообучающейся системы идентификации неизвестных данных, поступающих в АСУ ФЗ КО.

3. Получены результаты тестирования разработанного алгоритма и программной реализации прототипа ССИД, позволяющие сделать вывод о повышенной точности предложенного метода идентификации неизвестных входных данных по сравнению с существующими аналогами.

Практическая значимость результатов исследования состоит в том, что разработанные на основании теоретических результатов исследования структурная схема, алгоритм работы самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО, а также программная реализация прототипа самообучающейся системы идентификации данных и результаты его тестирования, позволяющие выделять во входных потоках данных аналитические зависимости и идентифицировать неизвестные входные данные, могут быть реализованы в комплексном программном продукте всей системы, что может улучшить эффективность работы систем идентификации данных, поступающих в АСУ ФЗ КО в части уменьшения ошибок и времени идентификации. Практическая реализация подтверждается актами внедрения результатов исследования в органах государственной власти, на предприятиях разной формы собственности и в учебный процесс.

Достоверность и обоснованность полученных научных результатов достигнута путем системного решения задач, достаточно полного учета многократно проверенных на практике исходных данных, сочетанием формальных и неформальных методов исследования, проверкой и сопоставимостью отдельных результатов в рамках известных теоретических положений. Достоверность результатов:

• обеспечивается корректным использованием методов теории систем, системного анализа, теории принятия решений, теории вероятностей, теории графов, теории алгоритмов, теории нейронных сетей, теории самозарождающихся и саморазрушающихся структур (СР-сетей), теоретических основ защиты информации;

• подтверждается совпадением полученных отдельных результатов (в части тестирования классической нейронной сети) с результатами исследований других авторов;

• апробирована опытом внедрения и практического использования в информационно-аналитическом управлении администрации Губернатора Калужской области, Орловском филиале ФГУП «Радиочастотный центр Центрального федерального округа, и в департаменте системной интеграции ООО «ТопС Бизнес Интегратор».

Рекомендации по использованию результатов исследования:

• метод идентификации неизвестных входных данных с помощью СР-сетей может быть использован для построения самообучающихся систем идентификации данных, поступающих в АСУ различной конфигурации;

• структурная схема и алгоритм работы самообучающейся системы идентификации данных могут быть использованы при построении систем идентификации и разработке программного обеспечения, реализующего указанный алгоритм;

• программная реализация прототипа самообучающейся системы идентификации данных может быть использована для создания программного комплекса самообучающейся системы идентификации данных, поступающих в АСУ любого критического объекта, в том числе и АСУ физической защитой ядерно-опасного объекта.

На защиту выносятся:

1. Метод идентификации неизвестных входных данных с помощью нейронных сетей, для которых могут быть определены правила создания и уничтожения компонентов системы.

2. Концептуальная модель самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО, использующая метод идентификации с помощью СР-сетей и позволившая разработать структурную схему, алгоритм работы и программную реализацию прототипа ССИД.

3. Результаты тестирования алгоритма и программной реализации прототипа ССИД.

Апробация работы. Основные положения и результаты диссертационной работы докладывались и получили положительную оценку на семинарах и совещаниях, научно-технических конференциях, в числе которых: Всероссийская научно-практическая конференции «Методы и средства технической защиты конфиденциальной информации» (г. Обнинск, 2004 г.), IX Международная конференция «Безопасность АЭС и подготовка кадров» (г. Обнинск, 2005 г.), Международная ежегодная конференция «Risk Analysis in a Dynamic World: Making a Difference» (3-6 декабря 2006, Балтимор, Мэриленд, США).

Публикации. Основные результаты исследования опубликованы в 16 работах, полностью отражающих тему исследования, общим объемом 5 п.л., в том числе 9 статьях, опубликованных в изданиях, выпускаемых в РФ, в которых ВАКом рекомендуется публикация основных результатов диссертаций.

Структура и объем работы. Диссертация состоит из введения, четырех разделов, заключения, библиографического списка из 109 источников, 149 страниц, 21 рисунка, 10 таблиц, 1 приложения.

Заключение диссертация на тему "Самообучающаяся система идентификации данных, поступающих в АСУ физической защитой критического объекта"

4.3; Выводы по разделу 4 . .

1. Проведено исследование и, доказаны адекватность и корректность алгоритма СР-сети с помощью сравнительных результатов тестирования СР-сети и классической нейросетевой структуры, использующей алгоритм обратного распространения ошибки.

2. Применение СР-сетей для аппроксимации и идентификации входных данных позволяет достичь более высокой точности результатов, чем при использовании традиционных нейронных сетей, в частности:

• по точности идентификации известных данных СР-сети не уступают нейронным сетям (ДЕ = Еср—Енс ~ 0,5^1,5%);

• время идентификации с применением СР-сетей сокращается на.20 — 30%; потери: во времени при обучении вызваны адекватными требованиями самообучения (создания структуры сети) и не являются критичными для производительности ССИД в целом

• СР-сети, в. отличие от нейронных сетей, способны выделять аналитические зависимости в потоке входных данных и идентифицировать неизвестные данные.

3. Разработанный прототип ССИД прошел тестирование с помощью реальных данных на критическом объекте, АСУ ФЗ которого, построена по принципу, положенному в основу построения СУДОС «Цирконий-М». Тестирование прототипа ССИД, реализующего разработанные в диссертации методы и алгоритмы, показало высокую точность, адекватность и корректность полученных значений, в частности:

• ошибка первого рода: Р\ = 3,6 %;

• ошибка второго рода для известных данных Р2 ИЗн. = 6,1 %;

• ошибка второго рода для неизвестных данных Р211еизв. = 19,5 %.

На основании проведенного тестирования прототипа ССИД получены результаты, позволяющие сделать вывод об адекватности, корректности и высокой точности, разработанных в диссертационной работе методов и алгоритмов.

Результаты тестирования на основе идентификации известных данных, содержащихся в базе данных сигнатур, показали, что прототип ССИД не уступает существующим системам обнаружения атак. Кроме этого, в отличие от существующих систем идентификации данных, прототип ССИД позволяет идентифицировать и неизвестные данные (не содержащиеся в базе данных сигнатур).

ЗАКЛЮЧЕНИЕ

В результате выполнения настоящей работе сделано следующее:

1. Проведен анализ методов идентификации как известных, так и неизвестных системе входных данных. Определено, что самообучающаяся система идентификации данных (ССИД), поступающих в АСУ ФЗ КО, должна основываться на модели системы защиты с полным перекрытием.

2. Разработана концептуальная модель ССИД АСУ ФЗ, при этом: а) описана общая концепция построения ССИД АСУ ФЗ, б) сформулированы основные понятия, используемые ССИД АСУ с целью распознавания входных данных, в) сформулированы основные задачи ССИД АСУ, г) введены ограничения на работу модели.

3. На основании концептуальной модели ССИД разработан метод самообучения системы при поступлении в нее неизвестных данных, предназначенный для минимизации ошибки идентификации неизвестных системе данных путем выявления во входных потоках данных аналитических зависимостей.

Для реализации данного метода в составе ССИД с целью обеспечения ее функционирования предложены следующие методы: а) Метод предварительной обработки входных данных, предназначенный для сбора, анализа и преобразования исследуемых данных с целью уменьшения их объема путем фильтрации априорно известной информации. б) Метод самообучения системы при поступлении в нее известных данных предназначенный для минимизации времени идентификации данных, соответствующих известным сигнатурам. в) Метод обнаружения аномальной активности вычислительных процессов предназначенный для минимизации ошибки идентификации неизвестных системе данных путем обнаружения отклонения от нормы активности вычислительных процессов в АСУ. г) Метод выбора оптимального решения, предназначенный для принятия решения об адекватной реакции ССИД на входные данные в соответствии с критерием Гурвица (Н\¥), отражающим максимально уравновешенную позицию компромисса, уровень которого определяется значением его параметра. Данный параметр изменяется в зависимости от, уровня конфиденциальности информации, обрабатываемой в АСУ.

4. Указанные методы реализованы в структурной схеме, алгоритме работы и программной реализации прототипа самообучающейся системы идентификации данных. Прототип ССИД состоит из блока датчиков безопасности и программных реализаций блоков предварительного анализа входных данных, баз данных сигнатур атак, идентификации известных входных данных на основе нейронной сети, идентификации неизвестных входных данных на основе СР-сети, обнаружения аномальной активности вычислительных процессов и принятия решений.

Особое место уделено разработке алгоритма работы «Блока идентификации неизвестных входных данных на основе СР-сети» и программной реализация СР-сети. Приведено описание ее функциональных модулей, а также сравнительные результаты тестирования СР-сети и классической нейросетевой структуры;, использующей алгоритм обратного распространения ошибки. Данные тестирования-подтвердили адекватность алгоритма СР-сети.

5. Разработанный прототип* ССИД встроен в состав АСУ ФЗ конкретного критического объекта, АСУ ФЗ^ которого, построена по принципу, положенному в основу построения СУДОС «Цирконий-М», и прошел; тестирование с помощью реальных данных этого объекта, подтвердившее высокую точность, адекватность и корректность полученных значений.

Полученные результаты исследования позволили разработать:

1. Разработан метод идентификации неизвестных входных данных с помощью нейронных сетей, для которых могут быть определены правила создания и уничтожения компонентов системы.

2. Разработана концептуальная модель самообучающейся системы идентификации данных, поступающих в АСУ ФЗ КО, использующая метод идентификации с помощью СР-сетей и позволившая разработать структурную схему, алгоритм работы и программную реализацию прототипа ССИД.

3: Получены результаты тестирования алгоритма и программной реализации, прототипа ССИД.

Таким образом, в диссертационной работе, являющейся научной квалификационной работой, на основании выполненных автором исследований, осуществлено решение задачи, представляющей собой научно обоснованную разработку нового метода идентификации неизвестных входных данных, позволяющего создать самообучающуюся систему идентификации данных, поступающих в автоматизированную систему управления физической защитой критического объекта, имеющей существенное значение в области информационной безопасности.

Полученные результаты позволяют на основании разработанного прототипа ССИД разработать полный пакет программного обеспечения и провести его сертификацию.

Библиография Волобуев, Евгений Сергеевич, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. Концепция информационной безопасности систем физической защиты ядерно-опасных объектов. Приложение № 1 к приказу Минатома России от 06.04.99 № 227.

2. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.

3. Гостехкомиссия России. Информационная безопасность и защита информации. Сборник терминов и определений. М., 2001. - 150 с.

4. ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.

5. Защита от несанкционированного доступа к информации. Термины и определения: Руководящий документ // Сборник руководящих документов по защите информации от несанкционированного доступа. — М.: Гостехкомиссия России, 1998.

6. Защита программного обеспечения / Под ред. Д. Гроувера. М.: Мир, 1992.-296 с.

7. Ожегов С.И. и Шведова Ю.Н. Толковый словарь русского языка: 80000 слов и фразеологических выражений/Российская АН.; Российский фонд культуры; 3-е изд., стереотипное. М.: Азъ, 1995. - 928 с.

8. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования.

9. Волобуев C.B. Философия безопасности социотехнических систем: информационные аспекты. М: Вузовская книга, 2002. - 360 с.

10. Волобуев C.B. Информационная безопасность автоматизированных систем. Учебное пособие по курсу «Методы и средства защиты информации». — Обнинск: ИАТЭ, 2001. 80 с.

11. Волобуев С.В. Защита в операционных системах. Учебное пособие по курсу «Методы и средства защиты компьютерной информации». Обнинск: ИАТЭ, 2003. — 79 с.

12. Лукацкий А.В. Обнаружение атак. СПб.: БХВ-Петербург, 2001. - 624 е.: ил.

13. ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации.

14. Лукацкий А.В. Системы обнаружения атак// Банковские технологии, № 2,1999.

15. Кеннеди Дж. Нейросетевые технологии в диагностике аномальной сетевой активности (перевод с англ. А.В. Лукацкого и др.) // сборник статей НИП «Ин-формзащита», 2000.

16. Горбань А.Н., Россиев Д.А. Нейронные сети на персональном компьютере. Новосибирск: Наука (Сиб. отделение), 1996. 276 с.

17. К. L. Fox, R. R. Henning, J. Н. Reed and R. P. Simonian. «А Neural Network Approach towards Intrusion Detection». In Proceedings of the 13th National Computer Security Conference, October 1990.

18. Баранов А.П., Зегжда Д.П., Зегжда П.Д., Ивашко A.M., Корт С.С. Теоретические основы информационной безопасности. Дополнительные главы. Учебное пособие. СПб.: СПбГТУ, 1998.

19. Галатенко А.В. Активный аудит. Jetlnfo, №8, 1999.

20. Edward Amoroso. Intrusion Detection. An Introduction to Internet Surveillance, Correlation, Trace Back, Traps, and Response. Intrusion. Net Books, 1999.

21. Лукацкий А.В. Безопасность сети банка глазами специалистов. «Аналитический банковский журнал», 1—2, 1999. с. 104 106.

22. Thomas Н. Ptacek, Timothy N. Newsham. Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection. Secure Networks, Inc. January, 1998.

23. Чирилло Дж. Обнаружение хакерских атак. Для профессионалов (+CD). СПб.: Питер, 2002. - 864с.: ил.

24. Н. S. Javits and A. Valdes «The SRI Statistical Anomaly Detector» In Proceedings of the 14th National Computer Security Conference, October 1991.

25. Гриняев С. H. Системы обнаружения вторжений. // «BYTE/Россия», № 10,2001.

26. Костров Д. П. Системы обнаружения атак // «BYTE/Россия», № 9, 2002.

27. PacTopiyeB С.П. Введение в теорию информационного противоборства. СПб.: Изд-во СПбГТУ, 2000. 74 с.

28. Расторгуев С.П. Информационная война.- М: Радио и связь, 1999. 416с.

29. Расторгуев С.П! Философия информационной войны. М.: 2002 г.

30. Бройдо B.JI. Достоверность экономической информации в ЭВМ. — Д.: Изд-во Ленингр. ун-та, 1984. 199 с.

31. Редкозубов С.А. Статистические методы прогнозирования в АСУ. М.: Энергоиздат, 1981.-151 с.

32. Френкель A.A. Математические методы анализа динамики и прогнозирования производительности труда. М.: Экономика, 1972. - 190 с.

33. Киселев М., Соломатин Е. Средства добычи знаний в бизнесе и финансах. // Открытые системы, № 4, 1997. С.41 44.

34. Эрлих A.A. Прогнозы цен: технический анализ или история повторяется. // Банковские технологии, № 2, 1996. С.62 66.

35. Вороновский Г.К., и др. Генетические алгоритмы, искусственные нейронные сети и проблемы виртуальной реальности / Г.К. Вороновский, К.В. Махо-тило, С.Н. Петрашев, С.А. Сергеев. Х.ЮСНОВА, 1997. - 112 с.

36. Уоссермен Ф. Нейрокомпьютерная техника: Теория и практика. М.: Мир, 1992.

37. Горбань А.Н., Дунин-Барковский B.JL, Кирдин А.Н.и др. Нейроинфор-матика. — Новосибирск: Наука. Сибирское предприятие РАН, 1998. 296с.

38. Hebb D. 0. 1961. Organization of behavior. New York: Science Edition.

39. Kohonen T. 1984. Self-organization and associative memory. Series in Information Sciences, vol. 8. Berlin: Springer Verlag.

40. Rosenblatt F. 1962. Principles of neurodynamics. New York: Spartan Books. (Русский перевод: Розенблатт Ф. Принципы нейродинамики. М.: Мир., 1965.)

41. Widrow В. 1959. Adaptive sampled-data systems, a statistical theory of adaptation. 1959 IRE WESCON Convention Record, part 4, pp. 88-91. New York: Institute of Radio Engineers.

42. Widrow В., Hoff M. 1960. Adaptive switching circuits. I960 IRE WESCON Convention Record, pp. 96-104. New York: Institute of Radio Engineers.

43. Галатенко A.B. О применении методов теории вероятностей для решения задач информационной безопасности. Вопросы кибернетики. М.: 1999, РАН, НИИСИ.

44. Рынок программных средств. PolyAnalist решает задачи интеллектуального анализа данных. //SW-Moscow. № 46 (96). С. 1, 27. 1998.

45. Реймаров Г.А., Ионов В.В., Кононов А.И. Пакет программ многомерного статистического анализа «СТРЕП 2». — Обнинск, 1997.

46. Швартау У. Анатомия дружеского взлома. //Сети. Май, 1998. С.97 104.

47. Котлер Ф. Основы маркетинга М.: Издательство «Прогресс», 1991. - 736с.

48. Вилкас Э.И., Майминас Е.З. Решения: теория, информация, моделирование. М.: Радио и связь, 1981. - 328 с.

49. Горский Ю.М. Информационные аспекты управления и моделирования. -М.: Наука, 1978.-223 с.

50. Мескон М.Х., Альберт М., Хедоури Ф. Основы менеджмента. М.: Дело, 1992.-702 с.

51. Ларичев О.И. Теория и методы принятия решений М.: Логос, 2000. - 176с.

52. Реймаров Г.А., Кононов А.И. Комплексная автоматизированная система аттестации кадров «Персона». — Обнинск, 1998.

53. Анищенко A.B., Безрядин В.А., Нестеровский И.П. Сравнительный анаiлиз вариантов расчета достоверности логических выводов в экспертных системах поддержки решений по защите информации. //Вопросы защиты информации. 1996.№ 1(32). С.31 -33.

54. ДА-система. Общая характеристика, http://www.context.ru/.

55. Пильдес Д. Обзор системы MineSet 1.0 фирмы Silicon Graphics. http://veronica.etu.ru/pildes/MINESET/HTMLS/.

56. Расторгуев С.П. Инфицирование как способ защиты жизни. М.: «Агентства Яхтсмен». 1996.

57. Мафтик С. Механизмы защиты в сетях ЭВМ М.: Мир, 1993. - 216 с.

58. Хоффман JI. Дж. Современные методы защиты информации. М: Советское Радио. - 1980. — 264 с.

59. Bell D. Е. and LaPadula L. J. Secure Computer Systems: Unified Exposition and Multics Interpretation, MTR-2997 Rev. 1, MITRE Corp., Bedford, Mass., March 1976.

60. Грушо A.A., Тимонина E.E. Теоретические основы защиты информации. M., Издательство Агентства «Яхтсмен», 1996. - 192 е.

61. Симонов C.B. Методология и технологии анализа рисков Вопросы защиты информации, № 1 (60), 2003. С. 23 44.

62. ГОСТ Р ИСО/МЭК 15408 2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. - М.: Госстандарт России, 2002.

63. Гостехкомиссия России. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. М., 2002.

64. Конявский В.А., Лопаткин C.B. Компьютерная преступность. Т. 1. -М., Издательство «РФК-Имидж Лаб», 2006. 560 с.

65. Зегжда П.Д., Зегжда Д.П. и др. Теория и практика обеспечения информационной безопасности. Под редакцией Зегжды П.Д. М.: - Издательство Агентства «Яхтсмен», 1996 г. - 298 с.

66. Расторгуев С.П. Программные методы защиты информации в компьютерах и сетях. М.: Яхтсмен, 1993. - 188 с.

67. Гайкович В.Ю., Першин А.Ю. Безопасность электронных банковских систем. М.: Единая Европа, 1994. - 370 с.

68. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн. М.: Энергоатомиздат, 1994. - 400 с.

69. Мельников В.В. Защита информации в компьютерных системах. — М.: Финансы и статистика; Электронинформ, 1997. 368 с.

70. Герасименко В.А., Малюк A.A. Основы защиты информации. Учебник. — М.: МИФИ, 1997.-537 с.

71. Галатенко В.А. Информационная безопасность: практический подход /Под ред. Бетелина В.Б.; Рос. акад. наук. НИИ систем, исслед. М.: Наука, 1998. - 301 с.

72. Зегжда Д.П., Ивашко А.М.Как построить защищенную информационную систему. СПб.: Мир и семья-95,1997. - 293с.

73. Зегжда Д. П., Ивашко A.M. Основы безопасности информационных систем. М.: Горячая линия - Телеком, 2000. - 452с.

74. Петров A.A. Компьютерная безопасность. Криптографические методы защиты. М.: ДМК, 2000. - 448 с.

75. Теоретические основы информатики и информационная безопасность: Под ред. докторов технических наук, профессоров В.А. Минаева, В.Н. Саблина. -М.: Радио и связь, 2000. 468 с.

76. Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности. Учебное пособие. М.: Радио и связь, 2000.-192 с.

77. Белкин П.Ю., Михальский О.О., Першаков A.C. и др. Защита программ и данных. Учебное пособие. — М.: Радио и связь, 2000. — 168 с.

78. Петраков A.B. Основы практической защиты информации. 2-е изд. Учебное пособие. М.: Радио и связь, 2000. —368 с.

79. Проскурин В.Г., Крутов C.B., Мацкевич И.В. Защита в операционных системах. Учебное пособие. М.: Радио и связь, 2000. — 168 с.

80. Милославская Н.Г., Толстой А.И. Интрасети: доступ в Internet, защита. Учебное пособие. М.: Юнити, 2000. - 528 с.

81. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. Под ред. Шаньгина В.Ф. 2-е изд., перераб. и доп. - М.: Радио и связь, 2001.-376 с.

82. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах. Учебное пособие. М.: Горячая линия - Телеком, 2001.- 148 с.

83. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. — М.: издатель Молгачева С.В., 2001. 352 с.

84. Осовецкий Л.Г., Шевченко В.В. О методе оценки безопасности продуктов информационных технологий//Системы связи. 2002. февраль-март. С. 82 83.

85. D. Denning. An Intrusion Detection Model. IEEE Transactions on Software Engineering, v. SE-13, № I, 1987, pp 222-232.

86. Denning D., et al. Views for Multilevel Database Security. IEEE Transactions on Software Engineering, v. SE-13, № 2, 1987, pp 129-140.

87. Denning D, et al. Multilevel Relational DataModel, Proceedings. IEEE Symposium on Privacy and Security, Oakland, CA, April 27-29, 1987, IEEE Computer Society Press, 1987, pp. 220-242.

88. Aki S.G., Denning D. Checking Classification Constraints for Consistency and Completeness, Proceedings. IEEE Symposium on Privacy and Security, Oakland, CA, April 27-29,1987, IEEE Computer Society Press, 1987, pp. 196-201.

89. Lunt, T. Access Control Policies: Some Unanswered Questions. Computers & Security, Vol. 8, No. 1, Pg. 43, 1 February 1989.

90. Lunt T. et al. Knowledge-based Intrusion Detection. Proceedings of 1989 Governmental Conference Artificial Intelligence Systems. March, 1989.

91. Волобуев C.B. О принципах построения модели изменяющейся системы защиты // Вопросы защиты информации, № 2 (65). 2004. С.34 — 41.

92. Волобуев Е.С. Об одной реализации алгоритма распознавания входных данных, поступающих в автоматизированную систему // Вопросы защиты информации, № 3 (66), 2004. С. 46 51.

93. ГОСТ 2.701-84. Схемы. Виды и типы. Общие требования к выполнению.

94. Волобуев Е.С. Контроль информационного и программного обеспечения АСУ с помощью самообучающейся системы обнаружения сетевых вторжений // Вопросы защиты информации, № 3 (70). 2005. С. 26 33.

95. ГОСТ 24.211-82. Требования к содержанию документа «Описание алгоритма».

96. ГОСТ 24.301-80. Требование к содержанию документа «Описание алгоритма в виде текста».

97. ГОСТ 19.002-80. Схемы алгоритмов и программ. Правила выполнения.

98. ГОСТ 19.003-80. Схемы алгоритмов и программ. Обозначение условные графические.

99. Шеннон Р. Дж. Имитационное моделирование систем искусство и наука. - М.: Мир, 1988. - 420 с.

100. Чистяков В.П. Курс теории вероятностей. М.: Наука. Гл. ред. физ.-мат. лит. -1987. - 240 с.

101. Волобуев E.C., Волобуев C.B. О результатах разработки и тестирования алгоритма функционирования и программной реализации CP-сети для создания подсистемы идентификации входных данных // Безопасность информационных технологий. 2006. № 3. С. 49 55.

102. Волобуев Е.С., Волобуев C.B. К вопросу о разработке подсистемы идентификации входных данных на основе CP-сети // Вопросы защиты инфор-мации.2007. № 1 (76). С. 31-38.

103. Волобуев C.B., Волобуев Е.С. О разработке концептуальной модели безопасного функционирования и развития социотехнических информационных систем // Вопросы защиты информации. 2007. № 2 (77). С. 46 — 51.

104. Волобуев C.B., Волобуев Е.С. О разработке математической модели процесса идентификации входных данных самообучающейся системой защиты социотехнической информационной системы // Вопросы защиты информации. 2007. №3(78). С. 41 -46.