CC BY
39
В.П. Ирхин,
доктор технических наук, доцент, Воронежский институт ФСИН России
А.Н. Лукин,
доктор технических наук, профессор, Воронежский институт ФСИН России
С.Н. Панычев,
доктор технических наук, доцент, Воронежский институт ФСИН России
СПОСОБ ПОВЫШЕНИЯ АДАПТИВНОСТИ ИНФОРМАЦИОННО-УПРАВЛЯЮЩЕЙ СИСТЕМЫ КРИТИЧЕСКОГО ПРИМЕНЕНИЯ К НЕСАНКЦИОНИРОВАННЫМ ВОЗДЕЙСТВИЯМ И ЧРЕЗВЫЧАЙНЫМ СИТУАЦИЯМ
METHOD OF INCREASE OF THE ADAPTIVE INFORMATION-CONTROL SYSTEMS OF CRITICAL APPLICATION TO TAMPERING AND EMERGENCIES
Предложен новый способ распознавания несанкционированных воздействий при наличии жестких ограничений на временной и вычислительный ресурс подсистемы защиты информационно-управляющей системы критического применения и произведена его оценка. Показано, что он повышает адаптивность защитных механизмов информацион-но-управляющей системы, что снижает риск возникновения чрезвычайной ситуации.
A new methodfor detection of unauthorized actions in the presence of severe restrictions on the time and computational resource protection subsystem management information systems of critical applications and its assessment are made. It is shown that it increases the adaptability of the protective mechanisms of information management system, which reduces the risk of an emergency.
Распознавание, как известно, является одной из ключевых проблем выявления несанкционированных воздействий на информационно-управляющие системы критического применения (ИУС КП), особенно остро стоящей в условиях ограничения временного и вычислительного ресурса на работу подсистемы защиты информации (ПСЗИ). Также необходимо отметить, что задача распознавания информационного воздействия сводится к решению трех подзадач: сбор первичной информации; ее предварительная обработка с целью формирования совокупности признаков (нормировка, отбор, сопоставление и т.д.) и классификация, т.е. принятие решения о том, к какому из заданных классов относится наблюдаемое воздействие [1].
Рассмотрим более конкретно задачу классификации. Эффективность выполнения данной задачи в конкретных условиях напрямую зависит от выбранного метода классификации. Все известные методы, использующие понятие расстояния, предполагают наличие одного или нескольких эталонов для каждого класса.
Задача распознавания может быть сформулирована следующим образом. Имеется множество взаимоисключающих классов W = (W1,..., Wm ), каждый класс состоит из
объектов, принадлежность объектов классу определяется соответствующей ему совокупностью признаков, причем количество признаков для всех классов фиксировано. Рассматривается некоторый объект О , представленный в виде результатов наблюдений (измерений) его признаков. Задача распознавания состоит в том, чтобы отнести исследуемый объект О к одному из взаимоисключающих классов Wi, где i = 1,m .
Условиями выполнения этой задачи является применение системы выявления вредоносных воздействий на ИУС КП, используемую при интенсивном информационном противодействии, как следствие, ограниченность времени для принятия решения о контрпротиводействии. Таким образом, способ распознавания вредоносных воздействий должен обеспечивать эффективное функционирование ИУС КП в динамично меняющихся условиях. Рассмотрим известные методы распознавания. Существует метод распознавания, основанный на использовании алгоритма минимума расстояния [2—4]. В данном методе используется словарь признаков (таблица).
Словарь признаков
Классы Объекты Значения признаков
Х1 Х2 XN
^ 1 Шц х11,1 х112 х 11 ,\г
^12 х12,1 х122 х12N
Ш1г х1г,1 х1г,2 х1 гМ
^т1 хт 1,1 хт 1,2 хт1М
^т2 хт 2,1 хт22 хт2М
^тг хтг,1 хтг2 хтг,М
В нем на языке этих признаков описаны объекты (О^ = (х^х, XiJ■ 2,...,Х^М), где I = 1, m , J = 1, г , которые составляют классы распознавания О{, где i = 1, m . При появлении в информационном N-мерном пространстве I воздействия О =(х1, x2,..., xN), не совпадающего по характеристикам ни с одним объектом ни одного из известных классов воздействий, вычисляют среднеквадратичное расстояние Li, где i = 1, m , между распознаваемым объектом и классом путем перебора и усреднения расстояний d^j, где / = 1, m ,
J = 1, г , между неизвестным объектом и объектами, составляющими класс (рис. 1).
Рис. 1. Определение меры близости с использованием алгоритма
минимума расстояний
Для этого по формуле (1) рассчитывают расстояние между объектами
N
Р=1
где г = 1, т , J = 1, г .
Далее вычисляют среднеквадратичное расстояние Д(о, О г) между распознавае
мым объектом и классом по формуле
(2)
где г = 1, т , J = 1, г .
Подобную процедуру повторяют для каждого класса. На основании близости к какому- либо классу принимают решение о принадлежности рассматриваемого объекта
О к этому классу , где г = 1, т . Решающее правило выглядит следующим образом:
Данный метод обладает следующими недостатками: большие вычислительные затраты при увеличении количества объектов рассматриваемых классов и анализируемых признаков и, как следствие, большое количество времени при принятии решения.
Еще одним методом распознавания является метод, основанный на использовании алгоритма «ближайших соседей» [1]. Сущность этого метода похожа на метод, основанный на использовании алгоритма минимума расстояний, однако принадлежность неизвестного объекта О классу Ог, где г = 1, т , определяется вычислением меры близости для класса не усреднением расстояний ^, где г = 1, т, J = 1, г, а определением наибольшего количества из К объектов принадлежащих одному классу и находящихся на минимальном от него расстоянии. Решающее правило выглядит следующим образом:
К
где 8{Ъ — символ Кронекера, 8{Ъ = 1 при Ъ е г, г = 1, т и 8{Ъ = 0 при Ъ £ г, г = 1, т,
К — пороговое значение ближайших соседей.
Недостатками данного метода, как и предыдущего, являются большие вычислительные затраты при увеличении количества рассматриваемых объектов и анализируемых признаков, а также малая эффективность при осуществлении вредоносного воздействия. Также существует предложенный Журавлевым Ю.И. метод, относящийся к многоэтапным методам распознавания и основанный на использовании алгоритма «вычисления оценок» (АВО) [2—4]. Сущность метода заключается в определении степени похожести распознаваемого объекта, в нашем случае вредоносного воздействия, на объекты, входящие в состав априорно известного класса по так называемым системам опорных множеств.
Опыт решения задач распознавания свидетельствует о том, что часто основная информация заключена не в отдельных признаках, а в их сочетаниях. Поскольку не всегда известно, какие именно сочетания информативны, то в методе АВО степень похожести объектов вычисляется не последовательным сопоставлением отдельных признаков, а сопоставлением всех возможных (или определенных) сочетаний признаков,
ое Ог, если Li (о, ) = гст {Д. (о, )}.
(3)
ое Ог, если Д = max ^ 8гЪ ,
(4)
Ъ=1
входящих в описание объектов. Совокупность признаков принятых в качестве информативных в каждом конкретном случае составляет систему опорных множеств rt, где t
изменяется от 1 до максимально принятого значения опорных множеств.
В общем случае реализация метода АВО сводится к формализации следующих этапов:
1) выделяется система опорных множеств Г), по которым производится анализ распознаваемых объектов;
2) вводится понятие близости на множестве частей описаний объектов;
3) задаются правила.
Решающее правило в данном методе может принимать различные формы, в частности распознаваемая строка признаков может быть отнесена к классу, которому соответствует максимальная оценка меры близости, например
соє Wi ^ max Yr (о, Wi), (5)
где i = 1, m, t = 1,tmx , Yr (w, W,) — мера близости на множестве частей описаний объектов, определяемая по формуле
t max
YT: (w, О,) = £ГД®,0,), (6)
t =1
либо эта оценка будет превышать оценки всех остальных классов не меньше чем на определенную пороговую величину Я и т.д.
Однако этот метод при определенном достоинстве, таком как простота исполнения, все же обладает недостатком, это значительное число машинных операций при большой мощности словаря признаков, что снова неприемлемо в условиях ограничения временного и вычислительного ресурса.
Таким образом, рассмотренные методы неэффективны в условиях быстроме-няющейся информационной обстановки.
Решим эту проблему следующим образом. Пусть, как в предыдущих случаях, существует словарь признаков (таблица), в котором на языке этих признаков описаны объекты, составляющие классы распознавания. Причем условием распознавания является то, что ошибка измерения меры близости неопознанного объекта к классу не должна превышать величины R(W ,_1, О,) — меру близости между классами, определяемую по формуле
R(Wi_l, Wi ):
і
1
d (o_lv о X (7)
где г = 1,т, ё2(от_1у,От1) — расстояния между объектами соседних классов; г — количество объектов в классе.
Выделим дополнительно в словаре признаков границы класса распознавания, состоящие из объектов класса, которые описываются экстремальными (максимальными или минимальными) значениями по одному и более признакам.
Пример описания границ класса в двухмерном инф ормационном пространстве показан на рис. 2.
r
r
i_1
(miii; miti) (Jfi; mill) (man; min) Jfi
Рис. 2. Пример описания границ класса распознавания в двухмерном информационном пространстве
При появлении неопознанного вида воздействий в информационном N -мерном пространстве I, меру близости Lt, где i = 1, m, определяем путем вычисления расстояния до границы класса (рис. 3).
Для этого по формуле (1) вычисляем расстояние d2p1, где i = 1,m , от объекта
распознавания О до граничного объекта Olrpmin , где i = 1,m с координатами, имеющими минимальные значения для данного класса распознавания Wt, где i = 1,m . Далее вычисляем расстояние df 2, где i = 1, m , от объекта распознавания О до граничного объекта (О^^^ , где i = 1,m с координатами, имеющими максимальные значения для данного класса распознавания W;, где i = 1,m .
Сравниваем полученные расстояния d2p1 и dl^p2, где i = 1,m . В случае если dl2p1<d2:p2, то вычисляемd2iгїj2+tz расстояния, где i = 1,m , kz =1,C'N, значение CN находим по формуле
Рис. З. Определение меры близости до границы класса
Значения величин ё2гр2+к2 — это расстояния до граничных объектов оггр* , где г = 1,т с координатами, имеющими ^ = 1 значений максимальными, остальные — минимальными для данного класса распознавания Ог, где г = 1, т . Сравниваем полученные расстояния и определяем минимальное из них.
После этого вычисляем расстояния й1 ггр2+к, где г = 1, т , &, находим по формуле
(у Л
к =
Ж
у
+кг+,, (9)
где к^ =1,С^+у , С^+у находим согласно выражению (8), в котором ^+у = + у,
У = 1( N - 2).
Полученные величины — это расстояния до граничных объектов оггр* , где
і = 1,т , с координатами, имеющими sq+y = sq + у, где у = \(М—2) значений — максимальные, остальные — минимальные для данного класса распознавания О і, где
і = 1, т . Сравниваем полученные расстояния и определяем минимальное из них.
В случае если d2p1 >d2p2, где і = 1, т, вычисляем расстояния с12гр2+кг, где і = 1, т .
кг = 1,С^, значение С^1 определяем по формуле (8).
Полученные значения величин являются расстояниями до граничных объектов Огр* , где г = 1,т с координатами, имеющими = 1 значений минимальными, осталь-
ные — максимальными для данного класса распознавания Ог, где г = 1,т . Сравниваем полученные расстояния и определяем минимальное из них.
Далее вычисляем расстояния ё2гГрг+к, где г = 1, т , к находим по формуле (9).
Полученные величины — это расстояния до граничных объектов оггр* , где г = 1,т с координатами, имеющими +у = + у, где у = 1,(Д-2) минимальные, осталь-
ные максимальные для данного класса распознавания Ог, где г = 1,т . Сравниваем полученные расстояния и определяем минимальное из них.
В результате полученных вычислений получаем N расстояний от объекта распознавания ш до граничных объектов класса оггр* , где г = 1,т, все эти объекты имеют
одну общую координату хр , где р = 1,N, и отличаются друг от друга также по одной
координате хр* , где р=1,N. Запоминаем значение общей координаты.
Далее рассматриваем пару граничных объектов, отличающихся друг от друга только по одной координате хр* , где р = 1,N , находим значение этой координаты для ближайшего объекта, принадлежащего классу распознавания по формуле
ё1аб(..,Хртш,..)+й _ ёг'аб(..,Хршах,..) /1 г.4
хр* =------------~2-------------+ xpmn, (10)
2-а
где а = (хршах _ хрш1п) — расстояние между объектами, принадлежащими классу распознавания и отличающимися только по одной координате, ё2гр (.., хр ш1п,..) и ё2гр(.., хр шах,..)
— расстояние от объекта распознавания О до граничных объектов класса Щ1р* , где
г = 1, т , отличающихся только по одной координате и имеющих минимальное хршп и максимальное хртах , где р = 1,N — значение этой координаты соответственно.
Данную процедуру повторяем для всех пар граничных объектов, отличающихся друг от друга только по одной координате.
Таким образом, мы получим координаты граничного объекта бггр* , где г = 1,т , находящегося на наименьшем удалении от объекта распознавания О. Вычислим расстояние dг2p*, где г = 1,т, от объекта распознавания О до найденного граничного объекта бггр* , где О — найденное значение dг2p*, где г = 1,т , является искомой величиной Ц , где г = 1, т .
Далее на основании близости Ц = тп{ Ц}, где г = 1, т , к какому-либо клас су принимается решение о принадлежности рассматриваемого объекта (О, вредоносного воздействия, к этому классу Ог, где г = 1,т .
Решающее правило выглядит так же, как в методе, о снованном на использовании алгоритма минимума расстояния (формула (3)).
Однако преимущества, в отличие от вышеизложенных методов, очевидны. Во-первых, уменьшается количество машинных операций для определения принадлежности неизвестного объекта к определенному классу, так как предложенный способ не зависит от количества объектов, составляющих класс. На рис. 4 зависимости 1 и 2 соответствуют применению классического метода распознавания при О г =6, О =300 и
сОо =1000 соответственно, где г = 1, т , ] = 1, г. Зависимость 3 соответствует применению
предлагаемого способа распознавания при Ог =6 и О =1000, где г = 1,т, ] = 1, г.
Количество признаков (игг.)
Рис. 4. График зависимости вычислительных затрат от количества объектов
и признаков распознавания
Во-вторых, при неизменной мощности словаря признаков время на распознавания значительно сокращается, так как, в отличие от остальных методов, в предложенном способе рассматриваются лишь объекты, находящиеся на границе класса, и совершенно не учитываются объекты, принадлежащие классу, но находящиеся глубже по параметрам признакового пространства.
Таким образом, анализируя все достоинства предложенного способа, можем сказать, что с его применением появляется возможность использовать высвободившийся ресурс (временной и вычислительный) для увеличения количества анализируемых па-
раметров несанкционированных воздействий, а это, в свою очередь, увеличивает адаптивность защитных механизмов ИУС КП, что снижает риск возникновения чрезвычайной ситуации.
ЛИТЕРАТУРА
1. Душкин А.В. Методическое обеспечение системы выявления несанкционированных воздействий на информационные телекоммуникационные системы специального назначения в условиях ограничения временного ресурса: монография. — Воронеж: ВАИУ, 2010. — 192 с.
2. Горелик А. Л., Скрипкин В.А. Методы распознавания: учеб. пособие для вузов.
— М.: Высшая школа, 1977. — 222 с.
3. Миленький А.В. Классификация сигналов в условиях неопределенности. Статистические методы самообучения в распознавании образов. — М.: Советское радио, 1975. — 328 с.
4. Фукунага К. Введение в статистическую теорию распознавания образов. —
М.: Наука, 1979. — 368 с.
