Способ обнаружения информационно-технических воздействий



Способ обнаружения информационно-технических воздействий
Способ обнаружения информационно-технических воздействий
Способ обнаружения информационно-технических воздействий
Способ обнаружения информационно-технических воздействий
Способ обнаружения информационно-технических воздействий

Владельцы патента RU 2700665:

Федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия Ракетных войск стратегического назначения имени Петра Великого" Министерства обороны Российской Федерации (RU)

Изобретение относится к области автоматизированных информационных систем, а именно к защите информации в информационных системах, и может быть использовано для обнаружения информационно-технических воздействий (ИТВ) на информационные системы. Технический результат заключается в обеспечении оценки достоверности классификации воздействия. Обнаружение ИТВ заключается в сборе сведений, содержащих данные информационной техники (IT), применении множества правил к предварительно обработанным сведениям, классифицируют известные виды ИТВ, осуществляют сбор сведений, не содержащих данных IT, ассоциируемых с ИТВ, формируют подмножества основы анализа такие, что по меньшей мере одно из полученных сведений содержит по меньшей мере один признак ИТВ, при этом сопоставляют заданный критерий с относящимися к IT данными для определения нижнего значения субъективной вероятности в виде функции уверенности, сопоставляют заданный критерий с не относящимися к IT сведениями для определения верхнего значения субъективной вероятности в виде функции правдоподобия, определяют значения функции уверенности и функции правдоподобия; оценивают степень сходства текущего события с известными ИТВ. 1 ил.

 

Изобретение относится к области автоматизированных информационных систем, а именно к защите информации в информационных системах и может быть использовано для обнаружения информационно-технических воздействий (ИТВ) на информационные системы. Технический результат заключается в обеспечении возможности обнаружения информационно-технических воздействий, определения видов воздействий и оценки достоверности классификации воздействия.

Известен способ функционального поражения средств ИТВ, заключающийся в приеме сигнала источника излучения, определении в принятом сигнале наличия номера целевого информационно-технического средства и при его наличии считывании идентификационных данных оборудования информационно-технического средства в структуре кадра принятого сигнала. По идентификационным данным оборудования определяют его класс и тип (RU 2591050, 2013).

Недостатком способа являются его относительно узкие функциональные возможности, обусловленные возможностью обнаружения только тех ИТВ, источниками которых являются излучающие средства.

Известен способ защиты от проводимых одновременно компьютерных атак, который может использоваться для обнаружения ИТВ, как одиночных, так и проводимых совместно. Способ защиты от проводимых совместно компьютерных атак заключается в том, что обрабатывают на сенсорах все запросы к сервису с дальнейшим агрегированием полученной информации, используя полученную от сенсоров информацию, фильтруют трафик на центрах очистки по заданным правилам фильтрации, формируют множество ИТВ, измеряют и запоминают значения интенсивности воздействия, при которой система защиты информации начинает реагировать на ИТВ, формируют множество правил фильтрации, которые соответствуют определенным ИТВ, вводят полученное множество правил фильтрации в реальную систему, затем фильтруют трафик на центрах очистки, используя правила, скорректированные по множеству правил фильтрации (RU 2663473, 2017).

Недостатком способа также являются его относительно узкие функциональные возможности, обусловленные возможностью обнаружения только компьютерных атак.

Наиболее близкую по сущности совокупность признаков к заявляемому способу имеет изобретение (RU 2583703, 2011), включающее способ характеризации злоумышленной атаки в системе интеллектуальной сети, содержащий этапы, на которых: принимают от системы интеллектуальной сети данные информационной техники (IT), включающие в себя относящуюся к IT активность; принимают данные, не относящиеся к IT данным и включающие в себя данные о событии, относящемся к определенному местоположению, от множества электронных источников; выполняют предварительную обработку не относящихся к IT данных; применяют множество правил к предварительно обработанным не относящимся к IT данным, при этом ассоциируют нежелательное событие с относящейся к IT активностью; определяют вероятность того, что нежелательное событие указывает на злоумышленную деятельность; применяют к нежелательному событию характеризацию риска на основе указанного уровня вероятности и относящейся к IT активности.

В указанном способе анализ злоумышленной атаки осуществляется с использованием вероятностного подхода, при этом к вероятности возникновения неожиданной опасности и вероятности наличия уязвимости, ассоциированной с указанной неожиданной опасностью, применяются те же математические операции, что и к другим событиям безопасности. Из свойства неизвестности указанных случайных событий следует отсутствие у них свойства массовости (Вентцель Е.С. Теория вероятностей. - М.: Наука, гл. ред. физ.-мат. лит., 1969. - 576 с., с. 15), обеспечивающего выявление статистических закономерностей. В связи с неизвестностью законов распределения указанных случайных событий аппарат теории вероятностей не является адекватным для их оценки. Кроме того, большинство преднамеренных злоумышленных воздействий осуществляются по различным сценариям, степень неопределенности которых обусловлена целенаправленной деятельностью злоумышленника, при этом неопределенность указанных сценариев может заключаться в неполноте, неточности или недостоверности сведений об их параметрах, что также обусловливает наличие определенных трудностей при использовании для их анализа классического вероятностного подхода. Таким образом, применение неадекватного для характеризации злоумышленной атаки математического аппарата является недостатком прототипа.

В настоящее время на практике оценивание слабоформализуемых ситуаций, характеризуемых целенаправленной деятельностью человека, осуществляется на основе экспертных суждений. Возникающие ситуации, отражающие информационно-технические воздействия, могут задаваться нечеткими высказываниями, а параметры этих ситуаций могут быть в различной степени неопределенными.

Под нечетким высказыванием понимается предложение, относительно которого можно судить о степени его истинности или ложности в настоящее время, при этом степень истинности или степень ложности каждого нечеткого высказывания принимает значения из замкнутого интервала [0; 1] (Мелихов А.Н., Бернштейн Л.С., Коровин С.Я. Ситуационные советующие системы с нечеткой логикой. - М.: Наука, гл. ред. физ.-мат. лит., 1990. - 272 с., с. 11). Истинность или ложность нечетких высказываний, характеризующих возникающую ситуацию, оценивается экспертными методами и представляется субъективной уверенностью эксперта.

Известен математический аппарат, который позволяет корректно оперировать оценками субъективных степеней уверенности о неопределенных ситуациях (Shafer G. The mathematical theory of evidence / Princeton University Press. - Princeton: Princeton University Press, 1976. - 297 p.).

Требуемый технический результат заключается в обеспечении возможности обнаружения ИТВ, определения видов воздействий и оценки достоверности классификации воздействия.

Технический результат достигается тем, что в способе, включающем сбор сведений, содержащих данные информационной техники (IT), предварительную обработку сведений, применение множества правил к предварительно обработанным сведениям, дополнительно формируют основу анализа, включающую в себя множество известных ИТВ, при этом описывают известные виды ИТВ и их классифицируют; задают пороговый уровень соответствия не относящихся к IT сведений связанным с ИТВ событиям, критерии оценки субъективных вероятностей, пороговое значение сходства текущего события с известными ИТВ и пороговое значение достоверности классификации; осуществляют сбор сведений, не содержащих данных IT, от множества источников и включающих в себя сведения о местоположении, времени, продолжительности и характере событий, ассоциируемых с ИТВ, при этом сведения от различных источников получаются независимо; при применении множества правил к предварительно обработанным сведениям формируют подмножества основы анализа такие, что по меньшей мере одно из полученных сведений содержит по меньшей мере один признак по меньшей мере одного ИТВ; формируют вектор события; определяют субъективную вероятность того, что произошедшее событие указывает на ИТВ, при этом сопоставляют заданный критерий с относящимися к IT данными для определения нижнего значения субъективной вероятности в виде функции уверенности, сопоставляют заданный критерий с не относящимися к IT сведениями для определения верхнего значения субъективной вероятности в виде функции правдоподобия, определяют значения функции уверенности и функции правдоподобия; оценивают степень сходства текущего события с известными ИТВ, при этом сравнивают по нечетким признакам текущее событие с матрицей классификации; классифицируют текущее событие на основе указанных значений субъективной вероятности и результатов сравнения по нечетким признакам; определяют степень достоверности классификации текущей ситуации, при этом сравнивают результаты классификации на основе значений субъективной вероятности с результатами классификации по нечетким признакам; выводят результаты обнаружения ИТВ и его классификации.

Сущность изобретения поясняется чертежом, где на фиг. 1 представлена блок-схема способа обнаружения информационно-технических воздействий, где 1 - блок формирования исходных данных; 2 - блок сбора сведений о событиях, ассоциируемых с ИТВ; 3 - блок предварительной обработки сведений; 4 - блок применения множества правил к предварительно обработанным сведениям; 5 - блок формирования вектора события; 6 - блок определения субъективных вероятностей фокальных элементов; 7 - блок оценки степени сходства текущего события с известными ИТВ; 8 - блок определения степени достоверности классификации текущей ситуации; 9 - блок вывода результатов.

В блоке 1 из известных сведений о возможных ИТВ формируют основу анализа в виде множества где Ω - множество известных ИТВ ωi При этом каждое ИТВ задается вектором события где λij - признаки ИТВ. Множество векторов образует матрицу классификации каждая строка которой представляет определенный вид ИТВ. Признаки ИТВ задаются в виде нечетких множеств вида

где Vij - нечеткое высказывание, содержащее признак ситуации, μij - значение функции принадлежности для нечеткого высказывания, характеризующее степень сходства по признаку λij текущей ситуации ω' с известным ИТВ ωi.

Задают пороговый уровень соответствия не относящихся к IT сведений связанным с ИТВ событиям, критерии оценки субъективных вероятностей, пороговое значение сходства текущего события с известными ИТВ и пороговое значение достоверности классификации.

Пороговый уровень Sпор соответствия не относящихся к IT сведений событиям, указывающим на возможное осуществление ИТВ, определяется исходя их возможности выявления в этих сведениях косвенных или явных признаков ИТВ. Значения уровней соответствия задаются нечеткими высказываниями и определяются как крайне низкий, низкий, средний, высокий, очень высокий уровень.

Нижнее р* и верхнее р* значения субъективной вероятности определяют границы интервала, отражающего степень уверенности р(ω') относительно того, что действительное событие ω' является элементом некоторого подмножества событий An ⊂ Ω. Нижнее значение субъективной вероятности р* определяется значением функции уверенности

в соответствии с выражениями

где m(Bk) - масса уверенности, отдаваемой подмножеству Bk ⊂ An.

Верхнее значение субъективной вероятности р* определяется значением функции правдоподобия

в соответствии с выражением

Определение массы уверенности для каждого подмножества Bk ⊂ An, функции уверенности и функции правдоподобия осуществляется в соответствии с (Shafer G. The mathematical theory of evidence / Princeton University Press. - Princeton: Princeton University Press, 1976, c. 35-56).

Таким образом, из следует, что

Пороговое значение μпор сходства текущего события с известными ИТВ и пороговое значение достоверности классификации рпор определяются исходя из конкретных условий и могут корректироваться в зависимости от приемлемости полученных конечных результатов. В дальнейшем, при определении сходства текущего события с известными ИТВ и оценке достоверности классификации операции осуществляются только при выполнении условий μ≥μпор и

В блоке 2 осуществляют сбор сведений, содержащих данные информационной техники (IT), включающие в себя относящуюся к IT активность и сведений, не содержащих данных IT и включающих в себя сведения о местоположении, времени, продолжительности и характере событий, ассоциируемых с ИТВ. Множество источников сведений определяется таким образом, чтобы получаемые из них сведения содержали информацию о признаках событий, при этом необходимым условием является попарная статистическая независимость источников сведений. Источниками сведений могут являться базы и банки данных, системы безопасности, журналы событий, беспроводные сенсорные сети и др.

В блоке 3 выполняют предварительную обработку сведений, при этом игнорируют не относящиеся к IT сведения, не удовлетворяющие заданному уровню соответствия по меньшей мере одному из множества связанных с ИТВ событий. Предварительная обработка может включать анализ полученных сведений, выявление наличия в них информации о признаках событий, регистрацию признаков события.

В блоке 4 применяют множество правил к предварительно обработанным сведениям: ассоциируют нежелательное событие, заключающееся в осуществлении ИТВ, с относящейся к IT активностью, при этом устанавливают соответствие признаков ИТВ, полученных в результате анализа не относящихся к IT сведений, зарегистрированным в IT событиям; формируют подмножества основы анализа называемые гипотезами, такие, что по меньшей мере одно из полученных сведений ϕ содержит по меньшей мере один признак λ по меньшей мере одного ИТВ ω, при этом подмножества An могут пересекаться в различной степени. Каждой гипотезе An присваивают массу уверенности m(An), представляющей степень субъективной уверенности в том, что определяемое событие является элементом данного подмножества An, при этом если m(An)>0, то гипотезу считают фокальным элементом в соответствии с (Shafer G. The mathematical theory of evidence / Princeton University Press. - Princeton: Princeton University Press, 1976, c. 35-36). Если подмножества An содержат подмножества Bk ⊂ An, то массы уверенности распределяются между подмножествами Bk, при соблюдении условия

для всех Bk ⊂ Ω.

В блоке 5 формируют вектор события где λj=(Vj, μj) - признаки текущего события, определяемые нечеткими высказываниями Vj, содержащими значения признаков текущего события, и значением функции принадлежности μj для нечеткого высказывания Vj. При этом каждому признаку λj устанавливают в соответствие значение функции принадлежности μj, равное среднему значению массы уверенности для всех подмножеств Bk ИТВ, характеризуемых данным признаком, в соответствии с выражением

где K' - количество подмножеств Bk, которым принадлежит ИТВ ωi, характеризуемое признаком λij.

В блоке 6 для всех фокальных элементов определяют субъективную вероятность того, что произошедшее событие указывает на ИТВ, для чего в соответствии с выражением (3) рассчитывают значение функции уверенности, при этом сопоставляют заданный критерий с относящимися к IT сведениями для определения нижнего значения субъективной вероятности; в соответствии с выражением (6) рассчитывают значение функции правдоподобия, при этом сопоставляют заданный критерий с не относящимися к IT сведениями для определения верхнего значения субъективной вероятности; определяют верхнюю и нижнюю границы интервала в соответствии с выражением (7). Результатом выполнения указанных операций может быть набор значений

В блоке 7 оценивают степень сходства текущего события с известными ИТВ, для чего осуществляют построчное и поэлементное сравнение вектора текущего события с матрицей классификации, при этом при поэлементном сравнении определяется эквивалентность нечетких высказываний относительно значений признака λj текущего события и признака λij вида ИТВ в соответствии с выражением

При построчном сравнении определяется степень принадлежности текущего события к виду ИТВ по степени эквивалентности нечетких множеств в соответствии с выражением

Полученные для каждой строки значения эквивалентности сравниваются между собой в соответствии с выражением

Полученный результат отражает вид ИТВ, с которым текущее событие имеет наибольшее сходство.

В блоке 8 определяют степень достоверности классификации текущей ситуации, для чего осуществляют сравнение результатов классификации на основе значений субъективной вероятности с результатами классификации по нечетким признакам, при этом если для события выполняется условие (11) и значения для подмножества Bk, элементом которого является событие являются максимальными, то принимается, что классификация является достоверной и выводится сообщение об обнаружении ИТВ и его принадлежности к определенному виду; в противном случае выводится сообщение, в котором содержится максимальное значение функции принадлежности μ(μij, μj) события и соответствующее данному событию значение достоверности события а также максимальные значения и соответствующие значения функции принадлежности μ(μij, μj) для событий, входящих в подмножество Bk. Значения функций уверенности и правдоподобия интерпретируются как верхняя и нижняя субъективные вероятности достоверности классификации.

В блоке 9 выводят результаты обнаружения ИТВ, полученные в блоке 8.

Таким образом, способ позволяет на основании заранее введенного описания известных видов ИТВ и собранных сведений осуществить обнаружение ИТВ, определить вид воздействия и оценить достоверность классификации воздействия.

Преимущество применения данного способа состоит в том, что он позволяет получать оценки субъективных вероятностей ИТВ практически при любой степени неопределенности.

Способ обнаружения информационно-технических воздействий (ИТВ), заключающийся в том, что осуществляют сбор сведений, содержащих данные информационной техники (IT), включающие в себя относящуюся к IT активность; выполняют предварительную обработку сведений, при этом игнорируют не относящиеся к IT сведения, не удовлетворяющие заданному уровню соответствия по меньшей мере одному из множества связанных с ИТВ событий; применяют множество правил к предварительно обработанным сведениям, при этом ассоциируют нежелательное событие с относящейся к IT активностью, отличающийся тем, что формируют основу анализа, включающую в себя множество известных ИТВ, описывают известные виды ИТВ и их классифицируют; задают пороговый уровень соответствия не относящихся к IT сведений связанным с ИТВ событиям, задают критерии оценки субъективных вероятностей, задают пороговое значение сходства текущего события с известными ИТВ и пороговое значение достоверности классификации; осуществляют сбор сведений, не содержащих данных IT, от множества источников и включающих в себя сведения о местоположении, времени, продолжительности и характере событий, ассоциируемых с ИТВ, при этом сведения от различных источников получают независимо; при применении множества правил к предварительно обработанным сведениям формируют подмножества основы анализа такие, что по меньшей мере одно из полученных сведений содержит по меньшей мере один признак ИТВ; формируют вектор события; определяют субъективную вероятность того, что произошедшее событие указывает на ИТВ, при этом сопоставляют заданный критерий с относящимися к IT данными для определения нижнего значения субъективной вероятности в виде функции уверенности, сопоставляют заданный критерий с не относящимися к IT сведениями для определения верхнего значения субъективной вероятности в виде функции правдоподобия, определяют значения функции уверенности и функции правдоподобия; оценивают степень сходства текущего события с известными ИТВ, при этом сравнивают по нечетким признакам текущее событие с матрицей классификации; классифицируют текущее событие на основе указанных значений субъективной вероятности и результатов сравнения по нечетким признакам; определяют степень достоверности классификации текущей ситуации, при этом сравнивают результаты классификации на основе значений субъективной вероятности с результатами классификации по нечетким признакам; выводят результаты обнаружения ИТВ и его классификации.



 

Похожие патенты:

Изобретение относится к публичным точкам беспроводного доступа. Технический результат заключается в расширении арсенала средств.

Изобретение относится к передаче Ethernet сообщений в распределенной системе управления жесткого реального времени. Технический результат - уменьшение задержки кадров в сети.

Изобретение относится к переносным запоминающим устройствам. Технический результат – устранение трудностей при передаче файла без подключения к сети Интернет или при использовании тарифного плана для передачи, а также устранение нарушений безопасности в сети.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности аутентификации между абонентским терминалом и устройством для доступа в сеть несотовой связи, входящим в состав группы устройств для доступа в сеть несотовой связи.

Изобретение относится к устройствам и способам беспроводной связи. Технический результат заключается в повышении пропускной способности на восходящем или нисходящем канале связи.

Изобретение относится к средствам соединения частных вычислительных ресурсов с внешними сервисами. Технический результат заключается в обеспечении надежной операции с динамическими изменениями в доступности частного облака.

Изобретение относится к способу, машиночитаемому запоминающему устройству и вычислительному устройству восстановления доступности основывающейся на облаке услуги после отказа.

Изобретение относится к средствам обработки аутентификации удаленной переменной. Технический результат заключается в расширении арсенала средств обработки данных при аутентификации.

Изобретение относится к области компьютерных технологий. Технический результат заключается в обеспечении строго упорядоченной и эффективной передачи информации и достигается тем, что при возникновении неисправности в главном или подчиненном терминале пересылки пары терминалов пересылки информации, размещенной в начале очереди, останавливают использование главного терминала пересылки и подчиненного терминала пересылки пары терминалов пересылки информации, размещенной в начале очереди, для приема информации и удаление пары терминалов пересылки информации из очереди пар терминалов пересылки информации; и, после передачи всей информации подчиненным или главным терминалом пересылки, входящим в удаленную пару терминалов пересылки информации, в терминал приема информации и устранения неисправности главного или подчиненного терминала пересылки, вставляют эту пару терминалов пересылки информации в конец очереди пар терминалов пересылки информации; и, в то же самое время, при возникновении неисправности в главном или подчиненном терминале пересылки, используют следующую, соседнюю пару терминалов пересылки информации для продолжения приема информации.

Изобретение относится к выполнению замаскированных арифметических действий в коммутативном кольце. Технический результат – повышение эффективности выполнения замаскированных арифметических действий.

Изобретение относится к способу функционального подавления беспилотного летательного аппарата (БПЛА). Для реализации способа определяют координаты местоположения БПЛА, доставляют при помощи пускового устройство в область расположения БПЛА контейнер с элементами функционального подавления, осуществляют генерацию серии сверхкоротких СВЧ радиоимпульсов для нарушения работоспособности радиоэлектронных элементов БПЛА, после полного разряда источника электропитания осуществляют подрыв заряда самоликвидации контейнера для образования облака красителя в целях образования непрозрачной пленки на поверхности элементов БПЛА и в целях образования поля поражающих элементов, которые приводят к физическому повреждению БПЛА.

Изобретение относится к способу функционального подавления беспилотных летательных аппаратов. Для реализации способа обнаруживают беспилотный летательный аппарат, в область на расстоянии 50-100 метров от него при помощи пускового устройства доставляют патрон, выполненный с возможностью генерации серии сверхкоротких сверхвысокочастотных радиоимпульсов в определенном диапазоне частот, производят генерацию этих импульсов в сторону беспилотного летательного аппарата до полного разряда источника электропитания, после этого выполняют самоуничтожение патрона путем его подрыва для создания поля поражающих элементов для физического повреждения беспилотного летательного аппарата и его уничтожения.

Изобретение относится к области создания искусственных помех для маскировки электромагнитных каналов утечки речевой информации. Технический результат – одновременное обеспечение маскировки электромагнитного канала утечки речевой информации и выполнение требований к электромагнитной совместимости радиоэлектронных средств в цифровых радиолиниях связи при заданных энергетических характеристиках радиосистемы передачи и вероятности ошибочного приема.

Изобретение относится к радиоэлектронному подавлению систем управления высокоточным оружием и может быть использовано при разработке комплексов защиты воздушных и наземных объектов, в основу которых положено использование когерентных помех, создаваемых из двух точек пространства.

Изобретение относится к области оптико-электронной техники и может быть использовано в лазерных локационных системах, системах оптико-электронного противодействия, а также системах защиты оптико-электронных средств (ОЭС) от мощного лазерного излучения.
Изобретение относится к области обеспечения устойчивости функционирования лазерных средств дальнометрирования в условиях действия оптических помех с фиксированной задержкой по времени и может быть использовано в технике, где используются различные излучатели.

Изобретение относится к области радиотехники и может быть использовано при разработке средств радиоэлектронного подавления приемных устройств навигационной аппаратуры потребителей глобальных навигационных спутниковых систем (ГНСС), в частности, размещаемых на кораблях, самолетах, крылатых ракетах, беспилотных летательных аппаратах, в системах высокоточного оружия и т.д.

Изобретение относится к области радиотехники и может быть использовано для создания перспективных цифровых радиоустройств с программируемой архитектурой в условиях существования побочных электромагнитных полей и наводок для обеспечения конфиденциальности речевой радиосвязи.

Изобретение относится к области радиотехники и может быть использовано для нарушения штатной работы радиолокационных станций (РЛС) контрбатарейной борьбы (КББ) противника.

Изобретения относятся к области радиолокации и могут быть использованы в радиолокационных станциях (РЛС) для защиты от импульсных, в том числе, ответных помех. Достигаемый технический результат - компенсация импульсной помехи, при исключении компенсации сигналов, отраженных от цели.

Изобретение относится к области электротехники. Раскрывается сущность подходящего для двухцепных линий устройства продольной компенсации.

Изобретение относится к области автоматизированных информационных систем, а именно к защите информации в информационных системах, и может быть использовано для обнаружения информационно-технических воздействий на информационные системы. Технический результат заключается в обеспечении оценки достоверности классификации воздействия. Обнаружение ИТВ заключается в сборе сведений, содержащих данные информационной техники, применении множества правил к предварительно обработанным сведениям, классифицируют известные виды ИТВ, осуществляют сбор сведений, не содержащих данных IT, ассоциируемых с ИТВ, формируют подмножества основы анализа такие, что по меньшей мере одно из полученных сведений содержит по меньшей мере один признак ИТВ, при этом сопоставляют заданный критерий с относящимися к IT данными для определения нижнего значения субъективной вероятности в виде функции уверенности, сопоставляют заданный критерий с не относящимися к IT сведениями для определения верхнего значения субъективной вероятности в виде функции правдоподобия, определяют значения функции уверенности и функции правдоподобия; оценивают степень сходства текущего события с известными ИТВ. 1 ил.

Наверх