CC BY
29
зультате чего вращения электродвигателя прекращается, и направления остронаправленного акустического излучателя ОАИ остается направленными к местоположению радиозакладного устройства. После чего с высокочастотного выхода сканирующего приемника СКП сигнал соответствующей радиочастоты радиозакладки подается на вход установки частоты устройств формирования прицельного помеха УФПП. Сформированный сигнал, частота которого соответствует радиочастоте радиозакладки с выхода устройство формирования прицельной помехе усиливается с помощью высокочастотного усилителя мощности ВУМ и подается на вход излучающей антенны ИА. В результате чего создаются прицельные помехи к радиозакладным устройствам. Тем самым обеспечивается информационная безопасность защищаемого объекта.
Список литературы:
1. Халяпин Д.Б., Ярочкин В.И. Основы защиты информации. - М.: ИПКИР. 1994.
2. http://www.radioscanner.ru/info/security.php.
АЛГОРИТМ ОБНАРУЖЕНИЯ И ИДЕНТИФИКАЦИИ КОМПЬЮТЕРНЫХ АТАК В ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ НА ОСНОВЕ МЕТОДА ИНДУКТИВНОГО ПРОГНОЗИРОВАНИЯ СОСТОЯНИЙ
© Сидельников О.В.*
Филиал Военной академии связи, г. Краснодар
В статье предложен алгоритм обнаружения и идентификации компьютерных атак на информационно-телекоммуникационные системы (ИТКС) на основе метода индуктивного прогнозирования состояний.
Целью создания автоматизированных систем обнаружения компьютерных атак является автоматизация группы процессов, связанных с поиском, выделением, идентификацией1, классификацией1 и описанием образов2 на основе анализа реальных данных.
* Заместитель начальника кафедры Безопасности информации в автоматизированных системах, соискатель.
1 Под идентификацией понимается процесс распознавания объекта в качестве элемента из-
вестного множества, т.е. процесс отображения, ставящего в соответствие различным элементам одного множества один и тот же элемент другого.
Простейший подход к обнаружению компьютерных атак в ИТКС основан на сопоставлении с эталонами сигнатур атак, находящихся в базе данных [1]. Входной (распознаваемый образ) неизвестного класса3 атак сравнивается с эталоном каждого класса. Классификация основывается на заранее выбранном критерии соответствия или критерии подобия. Недостаток этого подхода, т.е. сопоставления с эталоном, заключается в том, что в ряде случаев трудно выбрать подходящий эталон из каждого класса образов и установить необходимый критерий соответствия. Эти трудности особенно существенны, когда образы, принадлежащие одному классу, могут значительно изменяться и искажаться.
Более совершенный подход заключается в том, что вместо сравнения входного образа с эталонами, классификация основывается на некотором множестве отобранных замеров, производимых на входных образах. Эти отобранные замеры, называемые «признаками», предполагаются инвариантными или малочувствительными по отношению к обычно встречающимся изменениям и искажениям и обладающими небольшой избыточностью. В этом случае распознавание образов компьютерных атак можно рассматривать состоящим из двух задач.
Первая задача заключается в определении того, какие измерения должны быть сделаны на входном образе. Критерий отбора признаков или упорядочения основывается на важности этих признаков для характеристики образов или на влиянии данных признаков на качество идентификации (т.е. на точность идентификации).
Вторая задача распознавания образов заключается в классификации (т.е. в принятии решения о принадлежности входного образа тому или иному классу), которое основывается на измерениях отобранных признаков.
В качестве исходных данных рассмотрим принимаемые совокупности пакетов Х1, Х2, ..., Хм протокола 1Р. Можно выделить идентичные характерные признаки 1Р пакетов: х11 - длина заголовка 1Р пакетаХ\, х21 - адрес отправителя 1Р пакета Х\, х3 - адрес получателя 1Р пакета Х\, х41 - контрольная сумма заголовка 1Р пакета Х1; х51 - идентификатор фрагмента 1Р пакета Х\, х61 - время жизни 1Р пакетаХ\, Х12 - длина заголовка 1Р пакета Х2; х22 - адрес отправителя 1Р пакета Х2 и т.д. (рис. 1).
1 Классификация - разделение предметов какого-либо рода на взаимосвязанные классы согласно наиболее существенным признакам, присущим предметам данного рода и отличающим их от предметов других родов, при этом каждый класс занимает в получившейся системе определенное место, и в свою очередь делится на подклассы.
2 Под образом понимается структурированное приближенное (частичное) описание (эскиз) изучаемого объекта или явления, причем частичная определенность описания является принципиальным свойством образа.
3 Класс - совокупность объектов, имеющих один или несколько общих характеристических признаков.
Рис. 1. Схема извлечения характерных признаков 1Р пакетов из сетевого трафика
Рис. 2. Алгоритм обнаружения и идентификации компьютерных атак в ИТКС на основе метода индуктивного прогнозирования состояний
В [2] предложен и обоснован метод индуктивного прогнозирования состояний для обнаружения компьютерных атак в ИТКС, основанный на индуктивном выявлении закономерностей типа «элементарный запрет»1 в потоке данных исследуемого класса объектов (состояний системы) и построении некоторого решающего правила для прогнозирования не измеряемых свойств других объектов (состояний системы) этого же класса. Рассмотрим алгоритм обнаружения и идентификации компьютерных атак в ИТКС на основе метода индуктивного прогнозирования состояний (рис. 2).
Шаг 1. Формирование пространства признаков.
На основе примера (рис. 1), допустим, предметами обнаружения и идентификации служат объекты некоторые класса (пакеты протокола 1Р), моделируемые в булевом пространстве признаков х1, х2, ..., хт. Предположим, что на этапе обучения наблюдению подверглось 64 конкретных объектов (пакетов К1 - К64) в результате чего составлена таблица, в которой некоторые строки могут обладать одинаковыми значениями.
Таблица 1
Формирование пространства признаков
Объект Х1 0 0 1 1 1 1
Объект Х2 1 1 0 0 0 0
Объект Х64 1 0 0 0 1 1
Шаг 2. Построение модели исследуемого класса в алгебраической форме в виде дизъюнктивной нормальной форме (ДНФ) запрета, если признаков минимально или в виде характеристической функции - булева функции запрета.
В рассматриваемом примере при построении модели класса видим пустыми интервалы третьего ранга и выдвигаем гипотезу о соответствующих импликативных закономерностях [3].
Предположим, что среди интервалов, ранги которых не превышают трех, пустыми оказались лишь те, которые представлены строками следующей троичной матрицы, где компоненты принимают значения из трехэлементного множества {0, 1, -}. {-} - элемент неопределенности.
х1 х2 х3 х4 х5 х6
1 - 1 - -
- 1 - -
т =
0 - -- 0 --00
0 1 1 -- 1
(1)
1 Закономерность типа «элементарный запрет» - общий тип закономерности запрет, задающий в пространстве описания объектов исследуемого класса некоторые компактные области, где заведомо или с высокой степени достоверности не существует ни одного объекта [2].
Эта матрица будет моделью исследуемого класса. Строки интерпретируются как импликативные закономерности: первая строка утверждает, что в данном классе не существует объектов, обладающих признаками х1 и х3, но не обладающих в тоже время признаком х6.
Шаг 3. Выбор целевого признака их системы закономерностей и упрощение.
Пусть в данном примере роль целевого признака играет признак - х2.
При х2 = 0 становится излишней строка 2, так как задаваемая ею область запрета не содержит элементов с таким значением признака х2 и следовательно, не пересекается с интервалом возможного существования объекта, не обладающего признаком х2. Удалив ее вместе со столбцом х2, получим остаток:
х1 хз х4 х5 хб "1 1 - - 011
- 0 1 -- 1 - 1 0 0 - -
(2)
Если, х2 = 1, следует анализировать остаток матрицы Т.
1 1 - - 0" - - - 0 1 0 - 0 1 1
(3)
Представим в графической форме дерево идентификации признака х6 (рис. 3).
Рис. 3. Дерево идентификации признака х6
Таким образом, алгоритм обнаружения и идентификации компьютерных атак, основанный на распознавании признаков атак, связанных с за-
т
претами на некоторые комбинации признаков, позволяет осуществлять не весь перебор возможных классификационных признаков атак, а ограничиться сокращенным перебором.
Список литературы:
1. Климов С.М. Методы и модели противодействия компьютерным атакам. - М: Люберцы. КАТАЛИТ, 2008. - 316 с.
2. Сидельников О.В. Применение метода индуктивного прогнозирования состояний для обнаружения компьютерных атак в информационно-телекоммуникационных системах [Электронный ресурс] / О.В. Сидельников, В.Н. Лаптев, В.А. Шарай // Научный журнал КубГАУ - Краснодар, 2011. -№ 72 (08). - 10 с. - Режим доступа: http://ej.kubagro.ru/2011/08/pdf/37.pdf.
3. Закревский А.Д. Логика распознавания. - изд. 2-е, доп. - М.: Едито-риал УРСС, 2003. - 144 с.
ЭЛЕКТРОННОЕ ПРАВИТЕЛЬСТВО НА РЕГИОНАЛЬНОМ УРОВНЕ
© Сокова Н.А.*
Астраханский филиал Российской академии народного хозяйства
и государственной службы при Президенте Российской Федерации,
г. Астрахань
Статья посвящена вопросам внедрения ИКТ в государственное управление. В статье уделено внимание процессу формирования концепции и планов реализации электронного правительства, как на международной арене, так и в России. Рассматривается предоставление онлайн электронных услуг на примере электронного правительства Астраханской области.
В последние годы правительства во всем мире начали интенсивно использовать информационно-коммуникационные технологии (ИКТ) с целью повышения эффективности и качества своих услуг. Эти инициативы и программы получили название «Электронное правительство» (E-Govemment).
«Электронное правительство» - термин, вошедший в нашу жизнь совсем недавно. Согласно определению, приведенному в Концепции формирования в Российской Федерации электронного правительства, под электронным правительством понимается новая форма организации деятельности органов государственной власти, обеспечивающая за счет широкого применения информационно-коммуникационных технологий наряду с по-
* Старший преподаватель кафедры «Менеджмент и маркетинг».
