Способ обнаружения аномалий в инфокоммуникационных системах

Авторы патента:

G06F21/55 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2764873:

Акционерное общество "Концерн "Созвездие" (RU)

Изобретение относится к вычислительной технике. Технический результат заключается в обнаружении аномалий в инфокоммуникационных системах по параметрам, характеризующим ее функционирование. Способ обнаружения аномалий в инфокоммуникационных системах, в котором собирают данные о процессе функционирования инфокоммуникационной системы; с помощью декоррелятора преобразуют вектор входных данных в статистически некоррелированные частные показатели качества; вводят функцию «полезности» для каждого частного показателя качества, которая отражает зависимость знака изменения комплексного показателя качества оцениваемой системы от знака изменения частного показателя качества; значимость частных показателей качества системы ранжируют в зависимости от их статистических параметров; расчет оценки комплексного показателя качества производят методом Крылова; для бифуркационного анализа применяют результат экстраполяции аниматом, показывавшим наименьшую ошибку экстраполяции на предыдущих шагах моделирования; бифуркационный анализ осуществляется на основе выборки оценок комплексного показателя качества и результата экстраполяции; по результатам бифуркационного анализа определяют «нормальность/аномальность» процесса функционирования инфокоммуникационной системы. 1 ил.

Предлагаемый способ относится к области защиты информации (диагностике и контролю функционирования) и может быть использован в информационно-коммуникационных, телекоммуникационных (далее инфокоммуникационных) системах для определения признаков их аномального функционирования. Аномальное функционирование может быть вызвано любыми причинами: от неправильных действий оператора до кибервоздействия на систему.

Тенденция развития современных средств информационных воздействий (кибервоздействий) на инфокоммуникационные системы направлена в сторону повышения их скрытности. Более того, кибервоздействия зачастую являются априорно неопределенными для системы защиты (антивирусов, систем обнаружения вторжений). Поэтому для обнаружения ранее неизвестного воздействия необходим подход, направленный на обнаружение косвенных признаков этого воздействия, выражающихся в изменении характера функционирования защищаемой системы.

В заявке RU 2004100462, G09B 19/00, предложен способ квалиметрического анализа многомерных объектов, с помощью которого рассчитывается единый интегрированный показатель качества на основе иерархической структуры частных характеристик оцениваемого объекта.

Недостатками данного способа являются:

- в способе производится сравнение оцениваемого объекта с однотипными ему, что не позволяет формировать динамическую оценку качества для единственного в своем роде, но динамически меняющегося объекта;

- в способе не отражена необходимость взаимной увязки частных характеристик, имеющих разную физическую природу, различные статистические характеристики, а также применительно к динамической системе отсев показателей, не изменяющихся во времени.

В патенте RU 2634169, G06N 7/06, G06G 7/66, G05B 19/4063, предложен способ моделирования мониторинга рисков для информационно-управляющей системы в условиях информационно-технических воздействий.

На основании статистических данных формируется физическая модель нормального функционирования абонентов защищаемой информационно-управляющей системы и их аномального поведения.

Недостатком указанного способа являются отсутствие экстраполяции траектории системы в фазовом пространстве, особенно в условиях пропусков значительного количества отсчетов данных или ограничениях на размер базы данных.

Наиболее близким по технической сущности к предлагаемому, является способ обнаружения вредоносного приложения на устройстве пользователя, приведенный в патенте RU 2617924, G06F 17/30, 21/71, 21/55, 21/56, принятый за прототип.

В способе-прототипе рассчитывается коэффициент аномальности поведения, основанный на сравнении фактических действий пользователя со сформированным шаблоном его действий в графическом интерфейсе.

Для формирования профиля нормального функционирования используются фактические образцы действий в графическом интерфейсе с целью отделить действия, производимые пользователем от действий имитирующей его сторонней программы (т.е. дистанционно злоумышленником). Классификация аномальности действий в способе-прототипе осуществляется, в том числе, на основе косвенных признаков активности (показания датчиков ускорения, освещенности, микрофона, траекторий движений по устройству ввода). При этом образцы аномальной активности отмечены заранее.

Недостатком способа-прототипа является то, что для обучения системы применен процесс обучения «с учителем».

В заявляемом изобретении решается задача создания способа, в котором обучение осуществляется «без учителя» – аниматы обучаются, основываясь на критерии эффективности собственных алгоритмов экстраполяции на предыдущих шагах функционирования системы.

Достигаемый технический результат – обнаружение аномалий в инфокоммуникационных системах по параметрам, характеризующим ее функционирование.

Технический результат достигается тем, что в известном способе, включающем сбор данных о процессе функционирования инфокоммуникационной системы и определяющем его «нормальность/аномальность», согласно изобретению, вводят функцию «полезности» для каждого частного показателя качества, которая отражает зависимость знака изменения комплексного показателя качества от знака изменения частного показателя качества оцениваемой системы; значимость частных показателей качества системы ранжируют в зависимости от их статистических параметров; с помощью декоррелятора преобразуют вектор входных данных в статистически некоррелированные факторы; при расчете весовых коэффициентов при частных показателях качества используют выборки исходных данных произвольной длины; экстраполируют состояние инфокоммуникационной системы с использованием аниматов; подкрепление аниматам формируют в зависимости от точности экстраполяции; генерируют и удаляют «виртуальные» аниматы для одновременной проверки нескольких гипотез о траектории системы для ускорения процесса обучения; для бифуркационного анализа применяют результат экстраполяции аниматом, показывавшим наименьшую ошибку экстраполяции на предыдущих шагах моделирования; по результатам бифуркационного анализа определяют «нормальность/аномальность» процесса функционирования инфокоммуникационной системы.

Решение поставленной задачи осуществляется с использованием бифуркационного анализа массива обработанных с использованием квалиметрических методов исходных данных о фактическом процессе, а также результата экстраполяции аниматами наиболее вероятного состояния системы.

Способ обнаружения «аномалий» функционирования инфокоммуникационной системы основан на явлении роста шумовых составляющих в системе при ее приближении к точке бифуркации.

Для применения методов бифуркационного анализа [4] проводится соответствующая подготовка исходных данных. Первоначально набор динамически изменяющихся частных характеристик системы с неопределенной взаимной зависимостью преобразуется в набор некоррелированных или слабо коррелированных частных показателей качества - факторов. На их основе проводится автоматизированный расчет единого комплексного показателя качества, который в дальнейшем подвергается бифуркационному анализу. Алгоритм экстраполяции последующего состояния инфокоммуникационной системы также предназначен для применения полученных с его помощью состояний в бифуркационном анализе.

Для динамически изменяющейся системы квалиметрическое оценивание проводится по временной выборке векторов её частных параметров с учетом их статистических характеристик.

Параметры системы, имеющие разную физическую природу и различные статистические характеристики, взаимно увязываютсяя посредством квалиметрических методов, исключение из расчета не изменяющихся во времени показателей производится модифицированным методом сводных показателей Крылова, посредством нормирования и автоматизированного расчета весовых коэффициентов.

Экстраполяция состояния системы возможна с использованием базы данных о фактически пройденной системой траектории в фазовом пространстве, что позволяет в условиях пропуска исходных данных экстраполировать положение системы.

Решение поставленной задачи в заявляемом способе осуществляется устройством, схема которого приведена на фиг. 1, где обозначено:

1 – квалиметрический блок;

2 – бифуркационый блок;

3 – блок аниматов;

4 – блок базы данных.

Устройство для реализации заявленного способа содержит последовательно соединенные квалиметрический блок 1 и бифуркационный блок 2; блок аниматов 3, выход которого соединен со вторым входом бифуркационного блока 2, выход которого является выходом устройства; а также блок базы данных 4, первый вход которого, объединенный с входом квалиметрического блока 1, является входом устройства. Кроме того, выход квалиметрического блока 1 соединен со вторым входом блока базы данных 4, который соединен двунаправленной связью с блоком аниматов 3.

Заявленный способ работает следующим образом.

Входные данные о состоянии инфокоммуникационной системы поступают на вход квалиметрического блока 1, где они подвергаются декорреляции и выделению линейно независимых факторов. Для полученных факторов модифицированным методом Крылова рассчитывается оценка комплексного показателя качества.

Оценка комплексного показателя качества передается на первый вход бифуркационного блока 2 и сохраняется в блоке базы данных 4. Кроме того, в блоке базы данных 4 сохраняется вектор текущих исходных данных, подаваемых на его первый вход.

Бифуркационный блок 2 получает данные от квалиметрического блока 1 на первый вход (последнее рассчитанное значение комплексного показателя качества) и с выхода блока аниматов 3 (наиболее достоверные данные экстраполяции состояния системы) – на второй вход.

Бифуркационный блок 2 на основе выборки оценок комплексного показателя качества и наиболее достоверного экстраполированного состояния системы, производит анализ «нормальности»/«аномальности» состояния системы и выдает на выход устройства результат указанного анализа.

В блоке аниматов 3, на основе полученных из блока 4 исходных данных о процессе функционирования, единичные аниматы самообучаются, строя модели функционирования и экстраполируя на их основе наиболее вероятные прогнозируемые состояния (для разных аниматов – разные).

Каждый анимат в блоке аниматов 3 представляет собой фрагмент программного кода, который имеет возможность изменять алгоритм собственного функционирования при получении «положительного» или «отрицательного» подкрепления результату своих вычислений. В заявляемом способе «подкрепление» обусловлено различием между экстраполированным и фактическим состояниями системы. Распределение подкреплений между единичными аниматами в блоке аниматов осуществляется исходя из точности экстраполяции комплексного показателя качества единичными аниматами. Чем меньше точность экстраполяции конкретного анимата, тем значительнее этот анимат должен модифицировать свой алгоритм экстраполяции для повышения её точности.

Анимат, имеющий наиболее точные по предыдущей выборке экстраполирующие данные, выдает вычисленные данные экстраполяции на второй вход бифуркационного блока 2.

Настройки аниматов, результаты и ошибки экстраполяции передаются для длительного хранения в блок базы данных 4 и извлекаются из нее при включении системы.

Блок базы данных 4 предназначен для:

- сохранения исходных данных, поступающих на вход системы;

- выдачи исходных данных за предыдущее время в квалиметрический блок 1;

- хранения результатов вычисления оценок комплексного показателя качества, полученных от квалиметрического блока 1;

- хранения и выдачи настроек аниматов, результатов и ошибок экстраполяции для каждого из аниматов в блок аниматов 3 и из блока аниматов 3 (необходимы для процесса самообучения и для длительного хранения).

Квалиметрический блок 1 преобразует многомерный поток данных о состоянии системы во временную выборку оценок комплексного показателя качества функционирования указанной системы. Для этого выборка векторов входных параметров подвергается следующей обработке.

В формулу расчета оценки комплексного показателя качества необходимо включить функцию полезности для каждого частного показателя качества φ(Х)_n, которая отражает зависимость знака изменения качества оцениваемой системы от знака изменения частного показателя качества.

Если возрастание n-го частного показателя качества приводит к улучшению комплексного показателя качества, то φ(Х)_n=1.

Если возрастание n-го частного показателя качества приводит к ухудшению комплексного показателя качества, то φ(Х)_n=-1.

Если изменение n-го частного показателя качества не приводит к изменению комплексного показателя качества, то φ(Х)_n=0.

Если значение n-го комплексного показателя качества ухудшается при отстройке частного показателя качества от определенного «оптимального» значения Х₀, то функция полезности может быть задана формулой

φ(Х)_n=2Θ(X₀-X)-1,

где Θ(X) – функция Хевисайда.

Если зависимость знака изменения качества оцениваемой системы от знака изменения частного показателя качества имеет более сложный характер, то φ(Х)_n может быть представлена как кусочно-заданная функция.

Значимость частных показателей качества системы для расчета количественной оценки ее качества ранжируется в зависимости от статистических параметров этих показателей. При этом, динамически не изменяющиеся характеристики системы в расчете комплексного показателя качества не используются.

Квалиметрический блок содержит декоррелятор, преобразующий вектор входных данных в статистически некоррелированные факторы (частные показатели качества).

Исходные данные для расчета комплексного показателя качества Q – выборка из M векторов (временная выборка), каждый из которых имеет N элементов (факторов, то есть взаимно некоррелированных частных показателей качества). Таким образом, X_nm – частный показатель качества n из общего количества частных показателей качества N, из выборки номера m из общей длины выборки M.

X_nМ – текущее (последнее во временной выборке длины M) значение n-го частного показателя качества.

Рассчитывается текущее нормированное значение Xnorm_n n-го частного показателя качества X_n_М исходя из выборки его предыдущих значений:

Текущее значение весового коэффициента при n-ом частном показателе качества kv_n при каждом Xnorm_n определяется:

где σ_n² – дисперсия n-го нормированного частного показателя качества.

Для вычисления весовых коэффициентов также допустимо применение отношения среднеквадратических отклонений факторов вместо дисперсий.

Текущая оценка комплексного показателя качества Q рассчитывается по формуле

При расчете весовых коэффициентов при частных показателях качества, допустимо использование выборок исходных данных произвольной длины, а также с возможностью пропуска данных.

Для бифуркационного анализа «нормальности/аномальности» предлагается применять экстраполированное состояние инфокоммуникационной системы. В качестве экстраполированного значения предлагается применять результаты расчетов от анимата, для которого ошибка экстраполяции минимальна.

По поступающим данным, аниматы постоянно формируют модель функционирования, и на ее основе производят экстраполяцию состояния системы.

В блоке аниматов 3 для ускорения самообучения и повышения точности экстраполяции применяется модель «виртуальных аниматов». Поскольку каждый анимат представляет собой фрагмент программного кода, их количество не регламентировано и может изменяться. Для ускорения процесса обучения генерируются дополнительные аниматы с различными начальными параметрами алгоритмов экстраполяции комплексного показателя качества. После обучения аниматы с наихудшими результатами экстраполяции удаляются.

Основные отличительные признаки предлагаемого технического решения состоят в применении в способе обнаружения аномалий в инфокоммуникационных системах:

- процесса обучения единичных аниматов из блока аниматов «без учителя», с использованием метода «обучения с подкреплением», только на основании данных из блока базы данных 4;

- «виртуальных» аниматов, позволяющих, формируя большое количество экстраполирующих алгоритмов и их настроек, ускорить процесс самообучения за счет одновременной проверки нескольких возможных гипотез о траектории движения инфокоммуникационной системы;

- метода квалиметрической оценки состояния системы в динамике, с учетом статистических характеристик частных показателей качества, с автоматизированным расчетом весовых коэффициентов;

- экстраполяции траектории системы в фазовом пространстве, которая возможна с использованием исходных данных из блока базы данных 4.

Технический результат предлагаемого способа был проверен в процессе моделирования. При моделировании были использованы следующие параметры:

1) модель исходных данных – хаотический процесс, основанный на уравнениях аттрактора Лоренца, количество показателей качества – 3, соответствующих переменным X, Y, Z аттрактора Лоренца;

2) модифицированный метод Крылова для расчета комплексного показателя качества, расчет весовых коэффициентов производился на основе статистических характеристик частных факторов с учетом нормировки;

3) обучение с подкреплением применялось для экстраполяции траектории системы в фазовом пространстве и создания самообучаемой модели среды функционирования.

Таким образом, в предлагаемом способе оценка «аномальности» состояния инфокоммуникационной системы производится формированием единой динамической квалиметрической оценки состояния системы, ее экстраполяцией и последующей оценкой «аномальности» состояния системы бифуркационным методом. Решение о «нормальности/аномальности» процесса функционирования принимается на основе бифуркационного анализа, в котором о приближении точки бифуркации свидетельствует характер роста и насыщения уровня шумов в системе и, соответственно, поведения дисперсии частных и комплексного показателей качества в модельном представлении инфокоммуникационной системы.

Источники информации.

1. Заявка RU 2004 100 462 A, G09B 19/00(2006.01).

2. Патент RU 2 634 169 C1 G06N 7/06(2006.01) G06G 7/66(2006.01) G05B 19/4063(2006.01).

3. Патент RU 2617924, G06F (17/30, 21/71, 21/55, 21/56).

4. М.-Г. М. Зульпукаров, Г. Г. Малинецкий, А. В. Подлазов Обратная задача теории бифуркаций в динамических системах с шумом. Ордена Ленина институт прикладной математики им. М.В. Келдыша Российской академии наук. Москва, 2005 http://keldysh.ru/papers/2005/prep39/prep2005_39.pdf

Способ обнаружения аномалий в инфокоммуникационных системах, включающий сбор данных о процессе функционирования инфокоммуникационной системы и определяющий его «нормальность/аномальность», отличающийся тем, что

с помощью декоррелятора преобразуют вектор входных данных в статистически некоррелированные частные показатели качества;

вводят функцию «полезности» для каждого частного показателя качества, которая отражает зависимость знака изменения комплексного показателя качества оцениваемой системы от знака изменения частного показателя качества;

значимость частных показателей качества системы ранжируют в зависимости от их статистических параметров;

при расчете весовых коэффициентов при частных показателях качества используют выборки исходных данных произвольной длины;

расчет оценки комплексного показателя качества производят методом Крылова;

подкрепления аниматам формируют в зависимости от точности предыдущей экстраполяции;

экстраполируют состояние инфокоммуникационной системы с использованием аниматов;

генерируют и удаляют «виртуальные» аниматы для одновременной проверки нескольких гипотез о траектории системы для ускорения процесса обучения;

для бифуркационного анализа применяют результат экстраполяции аниматом, показывавшим наименьшую ошибку экстраполяции на предыдущих шагах моделирования;

бифуркационный анализ осуществляется на основе выборки оценок комплексного показателя качества и результата экстраполяции;

по результатам бифуркационного анализа определяют «нормальность/аномальность» процесса функционирования инфокоммуникационной системы.

Изобретение относится к средствам удаленного администрирования параметров первоначальной настройки операционной системы компьютера. Технический результат заключается в автоматизации настройки параметров первоначальной настройки для операционной системы.

Способы и системы для трансформаций матриц, основанных на разреженных векторах // 2764557

Изобретение относится к биотехнологии. Описан способ исследования биологического образца от пациента на предмет ассоциаций между генетическими мутациями и признаками заболеваний, предусматривающий: генерирование на основе данных о генотипе и данных о фенотипе для совокупности субъектов матрицы генотипов, матрицы количественных признаков и матрицы двоичных признаков; генерирование на основе матрицы генотипов, матрицы количественных признаков и матрицы двоичных признаков структуры данных в виде n-кортежа; определение на основе структуры данных в виде n-кортежа одной или более из матрицы генотипов, основанной на разреженных векторах, матрицы количественных признаков, основанной на разреженных векторах, или матрицы двоичных признаков, основанной на разреженных векторах; получение биологического образца от пациента; обработку биологического образца секвенатором для получения генетических мутаций и обработку одного или более запросов к одной или более из матрицы генотипов, основанной на разреженных векторах, матрицы количественных признаков, основанной на разреженных векторах, или матрицы двоичных признаков, основанной на разреженных векторах, при этом один или более запросов содержит полученные генетические мутации и при этом данная обработка определяет ассоциацию между полученными генетическими мутациями и одним или более признаками заболевания.

Конфигурируемые примечания для высококонфиденциального пользовательского контента // 2764393

Изобретение относится к области информационных технологий. Техническим результатом является повышение эффективности защиты данных конфиденциального контента.

Способ формирования основных и дополнительных электронных ресурсов сети интернет для изучения заданной образовательной программы // 2764391

Изобретение относится к области информационных технологий. Техническим результатом является обеспечение автоматического формирования основных и дополнительных электронных ресурсов сети интернет, наиболее релевантных к заданной образовательной программе.

Способ оценки информированности об источнике деструктивных воздействий на структуру корпоративной системы управления // 2764390

Изобретение относится к контрольно-измерительной технике и может быть использовано в информационно-телекоммуникационных системах обеспечения функционирования различных систем управления. Техническим результатом изобретения является повышение достоверности оценки информированности об источнике деструктивных воздействий на структуру корпоративной системы управления за счет последовательного и обоснованного учета, при оценке, важности, маршрутизируемых в сети связи общего пользования, информационных направлений корпоративной системы управления и распределения деструктивных воздействий по элементам этой сети.

Способ параметрического моделирования высоконапорных гидроэнергетических объектов // 2764382

Изобретение относится к области конечно-элементного моделирования гидроэнергетических объектов (ГЭО). Технический результат заключается в повышении точности параметрического моделирования высоконапорных ГЭО.

Защитное устройство внешнего терминала и система защиты // 2764292

Группа изобретений относится к области компьютерной безопасности, в частности к защитному устройству внешнего терминала и к системе защиты. Технический результат заключается в повышении безопасности хоста и устранении угроз безопасности, обусловленных использованием интерфейсов.

Устройство вывода информации, система вывода информации, способ вывода информации, серверное устройство и способ вывода данных // 2764215

Изобретение относится к вычислительной технике. Технический результат заключается в достижении удобства вывода информации в соответствии с речевым вводом.

Способ и система для анализа спектральных данных // 2764200

Изобретение относится к биотехнологии. Описан способ обработки данных, представляющих собой характеристику белков, пептидов и/или пептоидов.

Способ оценки качества видео и аппарат, устройство и носитель данных // 2764125

Изобретение относится к области вычислительной техники для обработки видеоданных. Технический результат заключается в повышении точности оценки качества подвергаемого оценке видео.

Способ и устройство формирования криптокодовых конструкций для имитоустойчивой передачи данных по каналам связи // 2764960

Изобретение относится к области обработки информации, конкретнее – к устройствам и способам криптографической защиты информации. Техническим результатом заявляемого решения является повышение устойчивости передачи шифрованной информации к преднамеренным имитирующим воздействиям. Технический результат достигается за счет выполнения следующих этапов: представления сообщения в виде блоков фиксированной длины; применения k процедур шифрования к блокам открытого текста по соответствующему ключу; представления полученных блоков шифртекста в виде наименьших неотрицательных вычетов по сгенерированным, упорядоченным по величине, взаимно простым модулям; формирования информационного суперблока модулярного кода; выполнения операции расширения информационного суперблока модулярного кода и получения избыточных блоков данных; применения к избыточным блокам данных процедуры блочного шифрования; получения избыточных блоков шифртекста и формирования криптокодовых конструкций имитоустойчивой последовательности шифрованного текста. 2 н. и 2 з.п. ф-лы, 6 ил., 1 табл.