CC BY
33
10.36724/2409-5419-2020-12-1-44-52
МЕТОДИКА ДИАГНОСТИРОВАНИЯ КОМПЬЮТЕРНЫХ ИНЦИДЕНТОВ БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ
АВРАМЕНКО Владимир Семенович1
МАЛИКОВ
Альберт Валерьянович2
Сведения об авторах:
1к.т.н., доцент, профессор Военной академии связи имени Маршала Советского Союза С.М. Буденного, г. Санкт-Петербург, Россия, vsavr@yandex.ru
2адъюнкт Военной академии связи имени Маршала Советского Союза С.М. Буденного, г. Санкт-Петербург, Россия, mkv.vas@yandex.ru
АННОТАЦИЯ
Обоснована актуальность задачи оперативного и достоверного диагностирования нарушений безопасности информации в автоматизированных системах специального назначения. Сформулированы основные понятия в области диагностирования компьютерных инцидентов безопасности. Приведена постановка задачи диагностирования компьютерных инцидентов безопасности, как задачи идентификации значений характеристик нарушений безопасности на основе процедур обработки диагностических признаков. Рассмотрены подходы к извлечению диагностических признаков, из общего массива событий, формируемых в ходе функционирования автоматизированной системы в период подготовки и реализации нарушений безопасности, к их предварительной обработке и непосредственно анализу на предмет определения значений характеристик нарушения безопасности. Предметом исследования являются закономерности, модели и методики диагностирования компьютерных инцидентов безопасности в автоматизированных системах. Основной целью исследования является разработка методики диагностирования компьютерных инцидентов безопасности, обеспечивающей выполнение современных требований по оперативности и достоверности анализа нарушений безопасности информации, предназначенной, в том числе, и для расследования компьютерного инцидента. Представлена модель диагностирования компьютерных инцидентов безопасности с применением искусственных нейронных сетей и на её основе разработана методика диагностирования компьютерных инцидентов безопасности. Используется способность обученных искусственных нейронных сетей, в частности персептрона, к решению задачи классификации. Определение значения характеристики нарушения безопасности выполняется в многослойном персептроне. В связи с тем, что множество диагностических признаков достаточно велико в масштабе автоматизированной системы специального назначения, то для снижения размерности признакового пространства предложено применить разновидность искусственной нейронной сети - автоэнкодер. Объединив две вышеуказанных архитектуры в одну, получаем диагностическую искусственную нейронную сеть. Наличие скрытых зависимостей в диагностических признаках позволяет применять искусственные нейронные сети в задачах определения таких неявных характеристик нарушения безопасности как цель, результат и др. Предложенная методика применима при решении задач оперативного диагностирования компьютерных инцидентов безопасности.
КЛЮЧЕВЫЕ СЛОВА: компьютерный инцидент безопасности; нарушение безопасности информации; характеристика нарушения безопасности; искусственные нейронные сети; диагностирование; диагностические признаки.
Для цитирования: Авраменко В.С., Маликов А.В. Методика диагностирования компьютерных инцидентов безопасности в автоматизированных системах специального назначения // Наукоемкие технологии в космических исследованиях Земли. 2020. Т. 12. № 1. С. 44-52. doi: 10.36724/2409-5419-2020-12-1-44-52
Введение
В настоящее время средства защиты информации в основном ориентированы на выполнение функции автоматического обнаружения компьютерных инцидентов безопасности и, в большинстве случаев, формируют недостаточное количество информации для проведения оперативного расследования с целью выработки оптимального решения на реагирование. При этом процесс расследования компьютерного инцидента безопасности представляет собой трудоемкий процесс, связанный с большим количеством операций, на выполнение которых требуется значительные временные затраты.
Под компьютерным инцидентом безопасности (КИБ) рассматривается компьютерный инцидент, происхождение которого связано с нарушением безопасности информации. В свою очередь, под нарушением безопасности информации понимается событие, заключающееся в появлении или реализации угрозы безопасности информации [1]. Необходимость введения определения КИБ вызвана конкретизацией определения компьютерного инцидента, данного в Федеральном законе от 26 июля 2017 г. Ш87-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", где компьютерный инцидент определяется как «факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки». При этом предложенное определение КИБ соответствует термину инцидент информационной безопасности, который определен в ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», применительно к объектам критической информационной инфраструктуры, к которым относятся автоматизированные системы специального назначения.
Расследование КИБ предполагает выполнение следующих основных этапов, представленных на рис. 1. Оно
начинается с фиксации факта нарушения после получения сигнала об обнаружении КИБ. Затем непосредственно осуществляется анализ (диагностирование) выявленного нарушения, составление отчета о причинах и последствиях, а также выработка мер по недопущению КИБ в дальнейшем. При этом диагностирование составляет основное содержание расследования. Диагностирование КИБ представляет собой процесс сбора и анализа данных о нарушениях безопасности информации с целью идентификации существенных для принятия решения на реагирование значений характеристик нарушений безопасности [1].
Характеристики нарушения безопасности (ХНБ) условно делятся на первичные и вторичные (косвенные). Для определения значений первичных характеристик не требуется проведения анализа. К их числу относятся, например, сетевые адреса источника и объекта атаки, идентификаторы пользователей, время и др. Вторичные, напротив, определяются путем проведения анализа диагностических признаков. Диагностические признаки — события, зафиксированные в автоматизированной системе и имеющие отношение к КИБ. В результате анализа формируется вектор значений ХНБ и, как следствие, КИБ.
Проводятся исследования по определению значений отдельных ХНБ [2-4], однако для повышения эффективности процесса диагностирования КИБ перспективным путем является комплексный подход к диагностированию, позволяющий сократить в первую очередь время его проведения. Это подчеркивает, что задача диагностирования, заключающаяся в оперативной идентификации значений ХНБ с целью повышения обоснованности принимаемого решения на реагирование является актуальной для современных автоматизированных систем специального назначения.
Основой для разработки методики диагностирования КИБ является модель, предложенная в [5]. При этом данную модель целесообразно детализировать в части касающейся обработки событий из различных источников и реализации возможности определения значений ХНБ в параллельном режиме путем использования комплекса ИНС.
1 2 3 4 5
Фиксация Создание резервной копии данных, существенных для анализа Диагностирозание Составление отчета об инциденте Выработка мер
инцидента (анализ) реагирования
Рис. 1. Основные этапы расследования компьютерного инцидента безопасности в АС СН
Модель комплексного диагностирования потока компьютерных инцидентов
Введем ряд обозначений.
ИМ — множество ХНБ. Ж = {Ык}, к = 1, Nx, где N— количество ХНБ, используемых для принятия решения на реагирование.
X — множество всех событий, произошедших в автоматизированной системе. X = {хг}, г = 1, п,, где п — общее количество зарегистрированных событий во всех имеющихся источниках диагностических признаков рассматриваемой автоматизированной системы.
/о— время обнаружения КИБ.
Д/ — интервал времени, в течение которого события, зарегистрированные в источниках диагностических признаков подлежат сбору с целью последующего анализа (рис. 2, а). Размер временного интервала зависит от вида КИБ, например, при обнаружении эксплойта временной интервал будет больше, чем в случае DoS-атаки.
X'— множество диагностических признаков. X = }, j = 1, т, где т — количество диагностических признаков, выявленных в течение установленного временного интервала Д/ (рис. 2, б).
Автоматизированная система, в которой в момент времени / зафиксирован КИБ, задана совокупностью 5 = (X, X, to, Дt, Ж^. Состав средств, генерирующих диагностические признаки в ходе функционирования системы не изменяется.
Задача диагностирования КИБ формализуется следующим образом. Необходимо найти значения характе-
ристик ^к, к = 1, Nx, зафиксированного КИБ в момент времени /о минимизировав значения функции времени диагностирования ¥ ( при условии, что значение показателя достоверности диагностирования будет не ниже требуемого Б,:
F (X , М, Ж) ^ шш Юл (X , М, Ж) > 11Г
(X ,М,NN)eS 1
где Ft (X', Дг, Ж) = ^ г1 (X', Дг, Ж) — функция времени
i=1
диагностирования, — время, затрачиваемое на 1-й этап диагностирования, I — количество этапов в процедуре диагностирования.
Одним из способов определения значений характеристик кпк является применение искусственных нейронных сетей (ИНС). Ввиду способности обученных ИНС к решению задач классификации и распознаванию образов представляется целесообразным применять их при нахождении отображения Г: X ^ NN из множества диагностических признаков в множество значений ХНБ. При этом для каждой характеристики предлагается своя отдельная диагностическая ИНС, осуществляющая отображение X' ^ Ык.
В качестве частных показателей эффективности системы диагностирования могут быть использованы показатели точности Рг и полноты Яс, вычисляемые при определении значения ХНБ и позволяющие оценить результат работы ИНС [6]:
Рис. 2. Формирование временного «окна» диагностирования: а — выбор временного интервала; б — сбор диагностических признаков во временном интервале
Pr = -
TP
TP + FP
Rc = -
TP
TP + FN
(1)
(2)
где ТР — количество записей, классифицируемых как истинное значение характеристики, в то время как оно истинное, ЕР — количество записей, классифицируемых как истинное значение характеристики, в то время как оно фактически ложное, ЕЫ — количество записей, классифицируемых как ложное значение, в то время как оно истинное.
Ключевым элементом модели диагностирования, отвечающим за решение задачи классификации, является многослойный персептрон. На вход ИНС подаются элементы множества X'. Поскольку число диагностических признаков |х | в масштабе типовой автоматизированной системы специального назначения достаточно велико и может составлять от единиц до десятков тысяч, то целесообразно снизить размерность признакового пространства для минимизации времени обучения ИНС. Для решения данной задачи используем метод главных компонент, позволяющий исключить дублирующиеся признаки. Для снижения размерности признакового пространства применяется автоэнкодер, позволяющий представить входной набора признаков меньшим числом нейронов. Объединив две вышеуказанных архитектуры ИНС в одну последовательную цепочку, получаем диагностическую ИНС.
Для снижения временных затрат на диагностирование предлагается применять полученную диагностическую ИНС для нахождения значения характеристик Ипк в режиме параллельной обработки диагностических признаков X'. Модель комплексного диагностирования КИБ представлена на рис. 3.
Основные этапы методики диагностировании
КИБ в автоматизированных системах
специального назначения
Для вышеуказанной модели диагностирования КИБ с использованием диагностических ИНС предлагается методика диагностирования КИБ в автоматизированных системах специального назначения. Процесс диагностирования включает следующие основные этапы:
1. Настройка и проверка системы диагностирования.
2. Функционирование системы диагностирования.
3. Выработка предложений по реагированию по результатам диагностирования.
На каждом из данных этапов решается самостоятельная задача. Для этого применяется определенная последовательность действий.
На этапе настройки системы диагностирования осуществляется настройка сенсоров диагностических признаков, формирование и обучение диагностической ИНС (рис. 4).
Во время обучения искусственной нейронной сети осуществляется решение задачи оптимизации весовых коэффициентов связей нейронов таким образом, чтобы
Сенсоры сбора данных из журналов событий
элементов автоматизированной системы
Модуль предварительной обработки признаков
Сенсор 1
Сенсор 2
7
Сенсор S
Перевод признаков к 1 единому формату
Объединение 2 однотипных признаков
Нормализация 3 признаков, представление их к формату, необходимому для анализа
Модуль анализа признаков
Диагностическая л ^ нейросеть для 1-ой _характеристики
Диагностическая ~2 4 нейросеть для 2-ой характеристики
Диагностическая 3 ^ нейросеть для 3-ей характеристики
Диагностическая п нейросеть для п-ой характеристики
Модуль формирования отчета
Представление
первичных характеристик
Формирование вектора вторичных характеристик по результатам полученным от диагностических нейронных сетей
Вывод общего вектора характеристик
Рис. 3. Модель комплексного диагностирования КИБ с применением искусственных нейронных сетей
ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ
Рис. 4. Последовательность действий на этапе настройки системы диагностирования КИБ
для заданных входных наборов диагностических признаков выходное значение сети соответствовало требуемому [7-9]. Выходные значения сети представляют собой значения ХНБ. Входной набор данных представляет из себя множество диагностических признаков, полученных как из журналов событий элементов автоматизированной системы специального назначения, так и из дополнительных источников, например, данные автоматизированной системы контроля учета доступа в помещение.
Обучение осуществляется на основе имеющихся пар (X,, У), где X — множество диагностических признаков, поступающих на вход искусственной нейронной сети, У — выходное значение ИНС (известное значение ХНБ). Формирование и ведение базы данных, содержащей пары (X, У), осуществляется экспертом. В дальнейшем, в ходе функционирования автоматизированной системы, осуществляется пополнение данной базы данных для адаптации ИНС и защиты её от возможного негативного последствия переобучения. Для проверки корректности обучения ИНС применяется следующий приём. Имеющееся множество пар (X, У) разделяют на два подмножества в следую-
щей пропорции — 70% и 30% [10]. Первое множество пар используется в качестве обучающей выборки, а второе — тестовой. Обучение диагностической ИНС осуществляется на подмножестве обучающих пар (X, У). На тестовой выборке осуществляется проверка корректности работы обученной диагностической ИНС. В случае расхождения значений для пары (X, У) из тестового множества она используется для обучения. Количество правильно и ошибочно классифицированных тестовых примеров используется для расчета частных показателей эффективности (1) и (2) для проверки корректности обучения, и, в случае выполнения заданных требований, диагностическая ИНС переводится в режим функционирования (рис. 5).
На этапе функционирования системы диагностирования после получения сигнала о компьютерном инциденте безопасности и первичной диагностической информации от средств детектирования (таких как антивирус, система обнаружения атак, межсетевой экран и др.) происходит обработка информации, поступающей от сенсоров и преобразование ее в диагностические признаки. В зависимости от характера произошедшего компьютерного инцидента
Получение сигнала о компьютерном инциденте безопасности
Уточнение параметров функциониро вания системы диагностиро вания
Сбор диагностичес ких признаков
Обработка диагностичес ких признаков
Определение значений характеристик
компьютерно го инцидента безопасности
6
Формирова-
ние
итогового
вектора
значений
характерис- -
тик
компьютерно
го инцидента
безопаснос-
ти
Вывод и сохранение результатов диагностиро вания
Рис. 5. Схема этапа функционирования системы диагностирования КИБ
безопасности, а также заданных требований по оперативности и достоверности диагностирования, предусмотрено изменение временного интервала сбора диагностических признаков и количества ХНБ.
Информация из журналов источников событий элементов автоматизированной системы собирается сенсорами и подвергается предварительной обработке, в ходе которой переводится к единому формату представления и группируется с учетом однотипных данных (рис. 6). Из всех событий, фиксируемых в ходе функционирования автоматизированной системы, осуществляется отбор информативных событий, которые могут содержать признаки нарушения безопасности. Остальные события не рассматриваются. Результатом сбора и предварительной обработки информации будет являться вектор диагностических признаков из журналов событий, полученных в выбранном временном интервале. Вектор диагностических признаков подается на вход диагностических ИНС, после чего сохраняется в базе данных для последующего использования экспертом при переобучении диагностических ИНС.
Выполнение процедуры автоматизированного диагностирования осуществляется на основе ИНС. Для
каждой ХНБ предполагается отдельная комбинированная ИНС, количество нейронов выходного слоя которой определяется числом возможных значений ХНБ. Диагностические ИНС получают одновременно входной вектор диагностических признаков и работают в параллельном режиме.
Задача определения значения характеристики (классификации) решается следующим образом. С входного слоя персептрона набор информативных диагностических признаков поступает на скрытый слой. В каждом нейроне скрытого слоя происходит вычисление значения функции активации, аргументом которой является сумма произведений входного набора диагностических признаков на веса нейронных связей, вычисленных на этапе обучения. Далее вычисленные значения поступают на выходной слой. В нейронах выходного слоя также вычисляются значения функции активации. Её аргументом выступает сумма произведений, вычисленных на предыдущем шаге выходных значений скрытого слоя и весов нейронных связей скрытого и выходного слоя. В итоге для искусственной нейронной сети с двумя выходными нейронами (в случае бинарной характеристики нарушения безопасности) фор-
Рис. 6. Формирование вектора диагностических признаков
мируется пара значений, в качестве отклика на входной набор диагностических признаков.
По результатам работы совокупности диагностических ИНС формируется набор значений ХНБ. Первичные и вторичные ХНБ составляют содержание отчета о результатах диагностирования КИБ. Следующим этапом является использование этой информации для выбора варианта реагирования исходя из имеющихся возможностей.
Заключение
В связи с тем, что время функционирования обученной ИНС достаточно мало, то подход к диагностированию КИБ, основанный на применении ИНС, позволит в автоматическом режиме в близком к реальному масштабу времени идентифицировать значения ХНБ. Предложенная в статье методика содержит пошаговое описание последовательности действий, необходимых для получения значений ХНБ. Применение методики позволит существенно повысить оперативность и достоверность выбора варианта реагирования на зафиксированный КИБ в автоматизированной системе специального назначения по сравнению с применяемыми в автоматизированных системах подходами. Направлением дальнейшего исследования является изучение способности ИНС находить скрытые зависимости в обрабатываемых данных, что позволяет выявлять распределенные деструктивные воздействия, маскирующиеся под легитимные операции.
Литература
1. Авраменко В. С., Пантюхин О. И., Маликов А. В. Автоматизация диагностирования нарушений безопасности в АССН // Труды XVII Всероссийской научно-практической конференции «Актуальные проблемы защиты и безопасности» (Санкт-Петербург, 1-4 апреля 2014 г.). Санкт-Петербург, 2014. С. 123-126.
2. Авраменко В. С. Способы идентификации нарушителя безопасности информации в автоматизированных системах на основе информационного почерка // Сборник
трудов II межвузовской конференции «Проблемы технического обеспечения войск в современных условиях» (Санкт-Петербург, 09 февраля, 2017 г.). Санкт-Петербург, 2017. С. 36-40.
3. Котенко И. В., Саенко И. Б., Паращук И. Б., Чечулин А. А. Ключевые архитектурные решения по построению интеллектуальной системы аналитической обработки цифрового сетевого контента в интересах защиты от нежелательной информации // Сборник трудов XVI-й Санкт-Петербургской международной конференции «Региональная информатика «РИ-2018» Санкт-Петербург, 24-26 октября 2018 г.) Санкт-Петербург, 2018. С. 151-152.
4. Ломако А. Г., Овчаров В. А., Петренко С. А. Методика расследования инцидентов безопасности на основе профилей поведения сетевых объектов // Сборник трудов III Всероссийской научно-практической конференции «Дистанционные образовательные технологии» (Ялта, 18-22 сентября 2017 г.). Ялта, 2018. С. 381-386.
5. Авраменко В. С., Маликов А. В. Нейросетевая модель диагностирования компьютерных инцидентов в инфоком-муникационных системах специального назначения // Сборник трудов IV межвузовской научно-практической конференции «Проблемы технического обеспечения войск в современных условиях» (Санкт-Петербург, 09 февраля, 2017 г.). СПб.: 2019. Т. 1. С. 41-45.
6. Goodfellow I., Bengio Y., Courville A. Deep Learning. MIT Press, 2016. 787 p.
7. Осовский С. Нейронные сети для обработки информации / пер. с польского И. Д. Рудинского. М.: Финансы и статистика, 2002. 344 с.
8. Хайкин С. Нейронные сети: полный курс. Изд. 2-е: пер. с англ. Н. Н. Куссуль. М.: Вильямс, 2006. 1104 с.
9. Круглов В. В., Борисов В. В. Искусственные нейронные сети. Теория и практика. Изд. 2-е. М.: Горячая линия - Телеком, 2002. 382 с.
10. Николенко С., Кадурин А., Архангельская Е. Глубокое обучение. Погружение в мир нейронных сетей. СПб.: Питер, 2018. 480 с.
PROCEDURE OF DIAGNOSIS SECURITY COMPUTER INCIDENTS IN AUTOMATED SPECIAL PURPOSE SYSTEMS
VLADIMIR S. AVRAMENKO,
St-Peterburg, Russia, vsavr@yandex.ru
ALBERT V. MALIKOV,
St-Peterburg, Russia, mkv.vas@yandex.ru
KEYWORDS: security computer incident; violation of information security; security breach characteristic; artificial neural networks; diagnosis; diagnostic signs.
ABSTRACT
Substantiated the urgency of the task of rapid and reliable diagnosis of violations of information security in automated systems for special purposes. The basic concepts in the field of diagnosing security computer incidents are formulated. The problem of diagnosing security computer incidents is formulated as a problem of identifying the values of the characteristics of security violations based on the procedures for processing diagnostic signs. The approaches to the extraction of diagnostic signs from the general array of events formed during the functioning of the automated system during the preparation and implementation of security violations, to their pre-processing and analysis directly to determine the values of the characteristics of security violations. The subject of the research is regularities, models and technique of diagnosing security computer incidents in automated systems. The main purpose of the study is to develop a technique for diagnosing security computer incidents, ensuring compliance with modern requirements for the efficiency and reliability of the analysis of security violations of information intended, including, and for the investigation of a computer incident. A model for diagnosing security computer incidents with the use of artificial neural networks is presented and a technique for diagnosing computer security incidents is developed on its basis. The ability of trained artificial neural networks, in particular the perceptron, to solve the classification tasks is used. Determination of the value of the characteristics of the security breach is performed in a multilayer perceptron. Due to the fact that the set of diagnostic features is large enough on the scale of an automated system for special purposes, it is proposed to use a kind of artificial neural network - autoencoder to reduce the dimension of the feature space. Combining the above two architectures into one, we obtain a diagnostic artificial neural network. The presence of hidden dependencies in the diagnostic features allows the use of artificial neural networks in the tasks of determining such implicit characteristics of a security breach as the goal, result, etc. The proposed method is applicable in solving the problems of rapid diagnosis of security computer incidents.
REFERENCES
1. Avramenko V. S., Pantyukhin O. I., Malikov A. V. Avtomatizaciya diagnostirovaniya narushenij bezopasnosti v ASSN [Automating the Diagnostics of Security Violations in the ATSN]. Trudy XVII Vse-rossijskoj nauchno-prakticheskoj konferencii «Aktual'nye problemy zaschity i bezopasnosti» [Proceedings of the XVII All-Russian Scientific and Practical Conference "Actual problems of protection and safety", St. Petersburg, April 1-4, 2014]. St. Petersburg, 2014. Pp.123-126. (In Rus)
2. Avramenko V. S. Sposoby identifikacii narushitelya bezopasnosti informacii v avtomatizirovannyh sistemah na osnove informacion-nogo pocherka [Methods of identifying the violator of information security in automated systems based on information handwriting]. Sbornik trudov II mezhvuzovskoj konferencii "Problemy tehnichesko-go obespecheniya vojsk v sovremennyh usloviyah" [Proceedings of the II Interuniversity Conference "Problems of technical support of troops in modern conditions", St. Petersburg, February 09, 2017]. St. Petersburg, 2017. Pp. 36-40. (In Rus)
3. Kotenko I. V., Saenko I. B., Parashchuk I. B., Chechulin A. A. Kly-uchevye arhitekturnye resheniya po postroeniyu intellektual'noj sistemy analiticheskoj obrabotki cifrovogo setevogo kontenta v in-teresah zaschity ot nezhelatel'noj informacii [Key architectural solutions for the construction of an intelligent system of analytical processing of digital network content in the interests of protection from unwanted information] Sbornik trudov XVI-j Sankt-Peterburgskoj mezhdunarodnoj konferencii "Regional'nay a informatika "RI-2018" [Proceedings of the XVI St. Petersburg international conference "Regional Informatics "RI-2018", St. Petersburg, October 24-26, 2017]. St. Petersburg, 2018. Pp. 151-152. (In Rus)
4. Lomako A. G., Ovcharov V. A., Petrenko S. A. Metodika rassledo-vaniya incidentov bezopasnosti na osnove profilej povedeniya setevyh ob'ektov [Methods of investigation of security incidents on the basis of profiles of behavior of network objects]. Sbornik trudov III Vserossijskoj nauchno-prakticheskoj konferencii "Distancionnye obrazovatel'nye tehnologii" [Proc. of the III all-Russian scientific-
practical conference "Distance educational technologies" Yalta, September 18-22, 2017]. Yalta, 2018. 456 p. Pp. 381-386. (In Rus)
5. Avramenko V. S., Malikov A. V. Nejrosetevaya model' diagnosti-rovaniya komp'yuternyh incidentov v infokommunikacionnyh sis-temah special'nogo naznacheniya [Neural network model of diagnosing computer incidents in special-purpose infocommunication systems]. Sbornik trudov IV mezhvuzovskoj nauchno-prakticheskoj konferencii "Problemy tehnicheskogo obespecheniya vojsk v sovre-mennyh usloviyah" [Proceedings of the IV interuniversity scientific-practical conference "Problems of technical support of troops in modern conditions" St. Petersburg, February 09, 2017]. St. Petersburg, 2019. Vol. 1. Pp. 41-45. (In Rus)
6. Goodfellow I., Bengio Y., Courville A. Deep Learning. MIT Press, 2016. 787 p.
7. Osovsky S. Neural networks for information processing. Moscow: Finance and Statistics, 2002. 344 p. (In Rus)
8. Khaikin S. Neural networks: full course. 2nd ed. Moscow: Williams, 2006. 1104 p.
9. Kruglov V. V., Borisov V.V. Iskusstvennye nejronnye seti. Teoriya i praktika [Artificial neural networks. Theory and practice]. 2nd ed. Moscow: Hotline - Telecom, 2002. 382 p. (In Rus)
10. Nikolenko S., Kadurin A., Arkhangelskaya E. Glubokoe obuchenie. Pogruzhenie v mir nejronnyh setej [Deep learning. Immersion in the world of neural networks]. St. Petersburg: Piter, 2018. 480 p. (In Rus)
INFORMATION ABOUT AUTHORS:
Avramenko V.S., PhD, Docent, Professor of the Military academy of telecommunications named after Marshal of the Soviet Union S.M. Bydyonny;
Malikov A.V., Postgraduate student of the Military academy of telecommunications named after Marshal of the Soviet Union S.M. Bydyonny.
For citation: Avramenko V.S., Malikov A.V. Procedure of diagnosis security computer incidents in automated special purpose systems. H&ES Research. 2020. Vol. 12. No. 1. Pp. 44-52. doi: 10.36724/2409-5419-2020-12-1-44-52 (In Rus)
