УДК 681.3
ИНФОРМАЦИОННАЯ СИСТЕМА ДЛЯ РАСПОЗНАВАНИЯ СОСТОЯНИЙ СТОХАСТИЧЕСКОЙ СИСТЕМЫ
(Работа частично поддержана РФФИ, проект № 09-01-99014-р_офи)
С.И. Колесникова, к.ф.-м..н.; В.Г. Букреев, д.ф.-м.н.; А.Н. Мертвецов; Ю.Р. Цой, к.т.н.
(Томский политехнический университет, [email protected], [email protected], [email protected], [email protected])
Для решения задачи распознавания состояний динамической системы в режиме реального времени предлагается новая информационная система, основанная на модифицированных алгоритмах распознавания образов, теории информации, математической статистике и принципе согласования оценок. Работоспособность системы показана на распознавании состояний электромеханической системы за реальное время при большой размерности признакового пространства.
Ключевые слова: состояние динамической системы, интеллектуальная система, методы распознавания образов, эффективность распознавания, оценка качества алгоритмов, статистические оценки.
Решение оперативных диагностических задач, обеспечивающих эффективную эксплуатацию дорогостоящей и сложной аппаратуры (компьютер, программное сопровождение, хранилище данных, хранилище знаний (моделей данных), интерфейсы и пр.), модель которой можно рассматривать как стохастическую динамическую систему (ДС), не потеряло актуальности.
В статье ставится задача распознавания состояний ДС, излагаются теоретические подходы к распознаванию состояний ДС и подход к программной реализации информационной интеллектуальной программной системы (ИИС), а также приводятся результаты численных экспериментов, свидетельствующие о приемлемом качестве представляемой ИИС, базовые принципы построения системы обучения и принятия решений которой частично опираются на работу [1].
Основные определения и понятия. Под системой реального времени будем понимать систему, гарантирующую время реакции на измерение контролируемой реализации ДС в темпе протекания процессов в системе (например, оперативное обнаружение разладки ДС), под состоянием ДС -совокупность элементов (подмножество) фазового пространства ДС (скаляр, точка многомерного пространства, вектор), наделенную характерными свойствами (например, определенными экспертом согласно физической природе ДС). Под дискретизацией реализации ДС (сигнала) Y(t) понимается ее разбиение по временной составляющей Yj=Y(tj)=Y(jД), Д>0 (значения временного ряда), под квантованием - разбиение диапазона значений реализации на отрезки равной длины (шаг квантования). Под системой градаций квантования (СГК) будем понимать мультимножество: уникальные значения уровней квантования (целое число шагов квантования, кодирующих значение реализации ДС) и их кратности. Формализуем класс задач, решаемых системой.
Общая постановка задачи. Обозначим через О0 множество реальных состояний ДС; - мно-
жество реализаций состояний ДС, отражающих математическую (или иную) модель; 0та - подмножество дискретных наблюдений реализаций состояний ДС, 0тас0— 0=(019 ..., О^) - множество образов (классов) СДС, 0с0у. Предполагается выполнение следующих предположений: 1) существует отображение 1": О0^О— 2) существует (неизвестное, однозначное) отображение g: О0^О - модель состояний ДС.
По заданной обучающей выборке (множеству значений пар объект-метка состояний ДС)
©-^{у^ Р^^сП-ге, где 1 = 1,к - число серий наблюдений (реализаций) одной ДС, требуется:
1) построить алгоритм распознавания А(©у): 0та^0 (возможно, множество алгоритмов), осуществляющий оценку метки СДС dеI0={1, ..., 1} по совокупности новых наблюдений (Ь-окну) -¡Ь=(уш уь), -¡ЬеПт^ Ь>1, ¡еТЬ={1, Т-Ь};
2) оценить вектор апостериорных вероятностей принадлежности к каждому из состояний ДС
d е I0};
3) синтезировать итоговое решающее правило, согласующее частные решения пунктов 1, 2 и минимизирующее критерий качества распознавания, под которым понимают средний риск потерь, среднее число ошибок на полном скользящем контроле, вероятность неправильного распознавания;
4) оценить обобщающую способность алгоритма распознавания (и решающего правила) в смысле минимума информационного критерия качества;
5) обеспечить решение задач 1-4 в режиме реального времени (для технических систем) на реальных размерностях данных при ограничениях на вычислительные ресурсы ЭВМ.
Заметим, что при Ь=Т задача распознавания переходит в задачу идентификации.
Пример постановки задачи из решаемых ИИС класса. Пусть задан случайный процесс
{X, ¥} = {Х(0, У 0), £ 1 £ Т}; ^
¥(1) = f (X (1), )),
характеризующий состояние ДС, где Х(1) - вектор ненаблюдаемых переменных состояния системы; У© - случайная наблюдаемая векторная функция;
- шум достаточно общей природы. Относительно динамики поведения случайного процесса (1) на [10, Т] выдвинуто 1>1 альтернативных гипотез О={Оь О2, ..., О^, составляющих полную группу событий и интерпретируемых как классы состояний ДС. Другими словами, временной фрагмент реализации случайного процесса может находиться только в одной из заданных (экспертом или по обучающей выборке) областей (классов) Оь 1 = 1,1. Наблюдение осуществляется в соответствии с дискретным планом 1е{10, ..., ^=10+,|Л, ] = , по реальной ДС или ее модели. Задача состоит в отнесении наблюдаемых в момент I или на некотором фиксированном интервале (1', 1") наблюдаемых реализаций Уф к классу О 1 = 1Д.
Несмотря на большое количество методов интеллектуальной обработки диагностической информации, вопрос об идентификации состояний ДС в такой постановке остается открытым, поскольку практическое решение поставленной задачи затруднено не только наличием возможной зашумленной нелинейной связи между откликом (выходом) и входным воздействием, но и присутствием немоделируемой динамики, реальностью времени решения задачи распознавания состояний ДС. Рассмотрим особенности двух базовых подходов, реализованных в ИИС, применительно к решению поставленной задачи.
Решение задачи. Принципиальная сложность задачи распознавания состояний ДС методами распознавания образов обусловлена следующими факторами: 1) необходимость анализа обучающей выборки большого размера (для технических систем порядка более 104-106, а как известно, задача поиска информативных наборов признаков является ЖР-полной), в силу чего применение традиционных методов весьма затруднительно; 2) проведение обучения и построение решающего правила на одной реализации ДС, а принятие решения при распознавании - на другой (возможно, с другим уровнем и типом шумов); 3) реальность времени для технических систем, оцениваемая малыми порядками (10-5с для электронно-механических систем (ЭМС)); 4) нелинейность и нестационарность зашумленного случайного процесса (1), вследствие чего применение спектральных методов приводит к неадекватным выводам; 5) возможное пересечение граничащих состояний ДС.
Известно, что недостаточная информативность признаков не может гарантировать получе-
ние высокого качества классификации объектов из генеральной совокупности даже группой правил. Поэтому акцент в ИИС распознавания состояний ДС смещен в сторону решения задачи выбора информативных признаков и согласованности оценок их разделяющей способности. В обсуждаемой ИИС в качестве предварительной обработки временного ряда применяются линейные и нелинейные фильтры; формируются взвешенные эталоны, обобщающие близко расположенные объекты с учетом возможной принадлежности разным состояниям ДС, при этом эталоны с малыми весами можно интерпретировать как шумы с последующим применением традиционных методов (k-бли-жайших соседей, эталонов). При получении частных конкурирующих решений (по нескольким алгоритмам распознавания относительно всех состояний ДС) итоговое решение (с учетом весов алгоритмов на контрольной выборке) агрегируется по алгоритму согласования оценок, разработанному по [2].
Подход к решению задачи на основе теории информации является математической основой многих методов (критерий релевантности, ROC-анализ и др.). Принципиальное отличие от традиционного - формирование диагностических признаков на основе метода адаптивного квантования значений временного ряда. Суть его заключается в выборе СГК минимальной размерности, которая наилучшим образом выделяла бы информативность градаций в смысле их дискриминирующей сути. Здесь под информативностью понимается качественное свойство, характеризующее долю полезной информации в общем объеме СГК и количественно выраженное определенной мерой (энтропией, дивергенцией информации и др.). Метод на основе выбранной СГК и на базе сравнения условных распределений уровней реализации ДС (признака) в разных состояниях ДС обеспечивает на порядок и более меньшее время распознавания СДС без существенной потери его качества (рис. 1).
Архитектура программного комплекса ReDSS. Программный комплекс ReDSS (Recognition of Dynamic System State), реализующий ИИС, имеет распределенную архитектуру. На стороне сервера развертываются БД (в которой хранится история моделирования), множество алгоритмов распознавания, выполненных в виде подключаемых модулей, в состав комплекса входит web-клиент. К серверу можно подключаться из сторонних приложений, для этого доступны сборки с интерфейсами 1 и 2 (рис. 2), с помощью которых можно добавить свой модуль (отдельную библиотеку) в каталог алгоритмов. Модуль имеет параметры (типы входных и выходных данных). Тип модуля может быть произвольным и задается его разработчиком (распознаватель, фильтр, генератор ряда, модуль голосования и т.д.). Данные о конфи-
а)
б)
Примечание: СК, АК - стандартное и адаптивное квантование, соответственно; ЕМ - Евклида метрика; ХМ -Хемминга метрика; ИнфОМ - метрика на основе информационного расстояния Кульбака.
Рис. 1. Точность распознавания а) в зависимости от уровня квантования по одной реализации 30 %-го шума; время распознавания б) при адаптивном и стандартном квантовании
гурации модулей, параметры, передаются серверу в виде модели [3]. Модель представляет собой коллекцию ячеек, каждая из которых содержит информацию о блоке модели и его связи. Всякому подключенному к серверу клиенту соответствует свой экземпляр модели. Любые изменения в структуре модели, выполненные пользователем в клиентском приложении, отражаются на экземпляре, созданном на сервере. Установив необходимые значения параметров каждому модулю, обучив модули, требующие обучения, пользователь может начать процесс моделирования.
J (^Г^) Глобальный интерфейс сервера J
J^"" I Интерфейс удаленного взаимодействия |
Интерфейс удаленного взаимодействия
Интерфейс модели Интерфейс каталога
База данных. История моделирования
Алгоритмы
~1
-г-*
Алгоритмы распознавания
Фильтры
! о ®
Интерфейс взаимодействия с алгоритмами
______I
Модуль голосования
Рис. 2. Блок-схема программного комплекса
Программная реализация комплекса. Для
реализации комплекса была выбрана платформа Microsoft.NET, имеющая объектно-ориентированную архитектуру, для поддержки распределенных приложений - Microsoft.NET Remoting [4], сервер-
ным доменом приложения выбрана служба Windows.
Решение прикладной задачи распознавания состояний ЭМС. Численная иллюстрация качества работы ИИС проведена на примере распознавания состояний ЭМС (асинхронного двигателя). Моделирование на ЭВМ преследовало следующие цели: исследовать время и эффективность распознавания (доли правильно распознанных объектов, под которыми понимались «окна» случайного размера в 5-10 отсчетов) при разных СГК в условиях разных метрик (Евклида, Хемминга, информационная) и при различных типах и уровнях шумов; оценить влияние предварительной (ядерной) фильтрации на распознавание состояний ДС. Численное моделирование (в том числе фильтрации) алгоритма распознаваний состояний ДС проводилось на измеряемых сигналах тока и напряжения АД по 6 моделям в условиях зашумленности порядка 0,30 %-90 % от максимальной амплитуды полезного сигнала (см. табл.).
Результаты моделирования на ЭВМ. В ходе анализа полученных реализаций фильтрации и прогноза были выявлены следующие особенности: а) увеличение числа градаций квантования приводит в среднем к повышению точности распознавания до определенного уровня (далее возможны падения точности, связанные со структурой сигнала и переобучением); б) время распознавания растет линейно для всех метрик в условиях стандартной и адаптивной процедуры квантования; в) оптимальное число градаций (минимальное значение n0 шагов квантования такое, что при n>n0 точность распознавания не увеличивается, а при 0<n<n0 точность распознавания уменьшается) варьируется в зависимости от вида модели; г) абсолютное значение точности распознавания при использовании стандартного квантования выше на 5-10 %, чем при использовании адаптивного квантования как для сигнала с шумом, так и для отфильтрованного сигнала; для сигнала с малой амплитудой шума адаптивное квантование с подобранным шагом позволяет достичь большей точности (на 3-5 %) для всех рассматриваемых метрик.
К клиентскому приложению К подключаемым модулям
Интерфейсы удаленного взаимодействия
I
Глобальные интерфейсы
I
Интерфейсы взаимодействия с алгоритмами
I
Ядро сервера
Модель
Каталог алгоритмов
Загрузчик подключаемых модулей
К базе данных
а) модель содержит описание объектов и связей между ними, каталог алгоритмов - информацию обо всех подключенных в данный момент модулях
Алгоритм распознавания
___и--
| Результаты моделирования
б) пример модели: результаты работы модулей, их параметры сохраняются в БД
Рис. 3. Блок-схема сервера
При анализе нелинейных нестационарных моделей ДС с высоким уровнем шумов был обнаружен эффект, когда в силу адаптивного выбора уровней квантования число градаций не увеличивалось с ростом параметра квантования, что повлекло существенное уменьшение времени распознавания (в 3-50 и более раз, см. табл.). Отметим, что с большим уровнем шумов сигнал фильтруется слабо, а при использовании ядерных функций в качестве обобщенных признаков необходимо проводить скользящий контроль для различных параметров ядерных функций, что влечет возрастание времени обучения в несколько раз. В этом случае предварительная фильтрация малоэффективна, и процедура фильтрации в тех ситуациях, когда распознавание состояния ДС в реальном режиме времени является самостоятельной задачей, не не-
сет основной нагрузки при условии применения вышеизложенных модификаций выбора признаков и АР. Статистическая значимость указанных данных (точности распознавания) проверялась по ^тесту с уровнем значимости 0,95.
Эффективность и время распознавания по трем метрикам
Минимальное число градаций Эффективность распознавания (СК/АК)
ИнфОМ ЕМ ХМ
10 94,86/90,41 93,76/93,16 90,2/85,26
20 98,85/97,88 97,62/97,41 99,06/96,25
30 100/97,96 99,83/97,78 100/95,85
40 100/100 100/100 100/100
Время распознавания х-10-5 с (СК/АК) для 104 объектов
10 9624/324 2221/141 1062/76
20 19197/399 4407/137 2058/90
30 28503/409 6407/144 2895/65
40 38198/601 8728/181 4096/83
Обзор аналогов. Среди систем для удаленного тестирования алгоритмов в различных их комбинациях и на различных данных следует отметить следующие: WEKA (http://www.cs.waikato.ac.nz/ml/ weka), RapidMiner (http://rapid-i.com/content/view/ 124/1/), находящийся в разработке Полигон алгоритмов (http://poligon.machinelearning.ru), ЭЙДОС (http://www.cs.tut.fi/~lasip/), ДЕЛЬТА (http://lc.ku-bagro.ru/ aidos/) и др. Анализ ПО показал, что в перечисленных системах, во-первых, нет ориентации на реальное время (отклик в технических системах должен соизмеряться с временным интервалом получения информации о состоянии ДС), во-вторых, в рамках временного ряда рассматривается только либо разложение его на составляющие (в том числе фильтрация), либо задача идентификации (восстановление зависимости) и не решается задача распознавания состояний ДС как фрагмента реализации случайного процесса; в-третьих, программный комплекс ReDDS позволяет без вмешательства в исходный код расширять базу используемых алгоритмов и обладает всеми преимуществами распределенной архитектуры. ИИС ReDDS решает задачи предоставления пользователю инструментария для обработки реального или модельного временного ряда; выбора модели из существующих прецедентов; использования алгоритмов распознавания, адаптированных к предметной области, возможности их комбинирования; применения алгоритмов анализа временного ряда на основе методов частично наблюдаемых случайных процессов; обработки, анализа и представления результатов.
Таким образом, можно сделать следующее заключение. Представлена разработка новой распределенной ИИС автоматизированной обработки ВР как модели ДС. Продемонстрирована работоспособность ИИС ReDDS для распознавания состояний динамического объекта за реальное время
с большой размерностью исходного признакового пространства. На конкретной прикладной задаче изучены поведение и свойства вариантов алгоритмов распознавания при различных вариациях интенсивностей шумов и величин параметров оптимизации, а именно: исследованы время и эффективность распознавания при изменении интервалов дискретизации, метода системы информативных признаков (СГК), вида распределения шумов и дисперсии шумов.
Литература
1. Вагин В.Н. [и др.] Достоверный и правдоподобный вывод в интеллектуальных системах. М.: Физматлит, 2004.
2. Шоломов Л.А. Исследование одного класса динамических процедур коллективного выбора // Нелинейная динамика и управление. Вып. 5. М.: Физматлит, 2007.
3. Вирт Н. Алгоритмы и структуры данных М.: Мир, 1989. С. 360.
4. Маклин С., Нафтел Дж., Уильяме К. М15 Microsoft .NET Remoting; пер. с англ. М.: Изд.-торг. дом «Русская Редакция», 2003. 384 с.
УДК 004.056.005
БАЗА ЗНАНИЙ ЭКСПЕРТНОЙ СИСТЕМЫ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
О.Ю. Коробулина (Санкт-Петербургский государственный университет путей сообщения,
olgakorobulina@gmail. com)
В статье рассматриваются достоинства фреймовой модели представления знаний и способы их реализации при проектировании базы знаний экспертной системы аудита информационной безопасности. Приводятся описание созданных фреймов и схема их связи. Описываются механизм логического вывода и способ формирования объяснений принятого экспертной системой решения.
Ключевые слова: база знаний, фрейм, прямой логический вывод, объяснение принятого решения.
Анализ методов аудита информационной безопасности, проведенный авторами исследования в работе [1], показал, что наиболее перспективным является экспертный аудит.
Под экспертным аудитом понимается сравнение состояния информационной безопасности информационной системы с идеальным описанием, которое базируется на требованиях, предъявленных руководством в процессе проведения аудита, и на описании идеальной системы безопасности, основанном на аккумулированном в компании-аудиторе мировом и частном опыте [2].
Проведение экспертного аудита информационной безопасности требует хорошей подготовки экспертов, а специалистов такого уровня очень мало. Кроме того, решение задачи плохо формализуется и в большей степени строится на личном опыте и интуиции. В этой связи можно сделать вывод о том, что для решения подобных задач следует использовать экспертные системы (ЭС).
ЭС - это интеллектуальная компьютерная программа, в которой используются знания и процедуры логического вывода для решения задач, достаточно трудных для того, чтобы требовать для своего решения значительного объема экспертных знаний человека [3].
Чтобы ЭС могла получать и эффективно использовать эвристические знания, они должны быть представлены в легкодоступном формате (в виде данных, знаний и структур управления). В связи с этим в структуре ЭС выделяются три основных компонента:
1) БЗ - ядро ЭС, содержащее правила и процедуры, используемые при принятии решения;
2) рабочая память, в которой в каждый момент содержится информация, предоставленная пользователем и используемая для принятия решения по конкретной проблеме;
3) механизм принятия решения (МПР) - это общий механизм управления, который для принятия решения применяет аксиоматические знания из БЗ к данным в рабочей памяти.
БЗ создается инженерами по знаниям. Они переводят знания экспертов-людей в правила и стратегии, которые могут изменяться в зависимости от сценария рассматриваемой проблемы. БЗ предоставляет ЭС возможность давать рекомендации в ответ на вопрос пользователя и предлагать ему программу дальнейших исследований в области, важной для принятия решения, но не очевидной для пользователя.
Для представления знаний в ЭС аудита информационной безопасности автором была выбрана фреймовая модель представления знаний.
Фрейм аналогичен структуре записи на языке высокого уровня (например C++), он состоит из слотов и заполнителей слотов. Можно определить фрейм как группу слотов и их заполнителей, которые определяют объект. Причем в качестве заполнителей могут выступать одиночные значения, группы значений или процедурные вложения.
Определение фреймов может быть расширено таким образом, что оно будет охватывать и свойства объектов языков программирования высокого