ВОЕННО-СПЕЦИАЛЬНЫЕ НА УКИ
УДК 004.89; 004.052.44; 004.056.5
МЕТОДИКА ПОВЫШЕНИЯ УСТОЙЧИВОСТИ ФУНКЦИОНИРОВАНИЯ ВОЕННЫХ СИСТЕМ НА ОСНОВЕ НЕЧЕТКОЙ ЛОГИКИ
С.В. Войцеховский, С.В. Калиниченко, А.В. Галанкин, Н.С. Топорков
Предлагаемая авторами методика основана на уточнении базы правил нечёткого вывода системы поддержки принятия решения с помощью лингвистической модификации функций принадлежности и позволяет автоматизированно устранять ошибки ложных срабатываний при оценке степени уверенности в наличии программных воздействий в автоматизированной системе военного назначения.
Ключевые слова: коэффициент лингвистического модификатора,лингвистический терм, функции принадлежности, программные воздействия.
В настоящее время особую актуальность приобретает проблема защиты информационных ресурсов автоматизированных систем от деструктивных воздействий вредоносных программ. Она затрагивает все более или менее значимые системы и комплексы военного, военно-промышленного и государственного назначения. Это могут быть боевые средства индивидуального пользования, крупные ракетно-космические системы, штабы и пункты управления войсками и оружием, автоматизированные системы военного назначения (АС ВН), системы управления предприятиями, экономикой, государством в целом.
Так, в работе [1] выделяют следующие основные атакующие способы и средства программно-математического информационного оружия:
- способы и средства, позволяющие внедрять логические бомбы и вирусы в информационные сети противника;
- программные закладки, заранее внедряемые в информационно-управляющие центры, компьютерные сети, программно-технические средства, которые самостоятельно (в установленное время) или по специальному сигналу приводятся в действие, уничтожая (искажая) информацию или дезорганизуя их работу и др.
Таким образом, большую научную и практическую значимость приобретают вопросы повышения устойчивости функционирования средств, систем и комплексов различного (в том числе военного) назначения, связанных с обработкой информации и управления, с целью защиты их от известных традиционных и новых видов информационных воздействий. При этом штатные антивирусные средства защиты автоматизированных систем не гарантируют абсолютной защиты, в особенности от ранее неизвестных вредоносных программ.
Существует множество разработок в области обнаружения аномалий, но в системах военного назначения они используются редко и с большой осторожностью, так как главными трудностями при разработке таких систем являются: сложность формирования базы знаний (правил) и большое количество ложных срабатываний. Основной проблемой использования технологии обнаружения аномального поведения является необходимость построения модели штатного поведения защищаемого объекта, что представляется трудно формализуемой задачей и приводит к большому числу ошибок 1-го и 2-го рода.
Системы с нечёткой логикой не могут автоматически приобретать знания для использования их в механизмах вывода [2]. Ошибки программ могут быть обнаружены только пользователями АС ВН.
Так в работах [3-5] решалась задача выявления вредоносных программных воздействий (ПВ) в АС ВН с использованием математического аппарата нечётких множеств и алгоритма нечеткого вывода Мамдани. Однако испытания прототипа СППР, разработанного по результатам этих работ, выявили большое количество ложных срабатываний.
В настоящей статье рассматривается методика уточнения базы правил нечёткого вывода на основе лингвистической модификации функции принадлежности (ЛМФП), что позволит повысить устойчивость функционирования АС ВН за счет уменьшения количества ложных срабатываний.
Допустим, что СППР приняла ошибочное решение о наличии ПВ (например: в её управляющем решении из за изменения степени уверенности в наличии ПВ в АС ВН лингвистический терм «низкая» заменён на «ниже среднего»), осуществила запись об этом в журнал событий СППР, тогда вышеуказанная методика, предназначенная для уменьшения ложных срабатываний будет состоять из следующих шагов:
1. Зная дату и время, когда был обнаружена ошибка необходимо получить из журнала событий СППР:
1.1. Входные данные, которые привели к ошибке (и1, и2, и3, и4, и5, и6), где «1 - количество попыток неудачного входа в систему за последний час; «2 - количество попыток неудачного входа в систему за последние 24 ч; «3 - средняя нагрузка на сетевой интерфейс (в % от максимальной нагрузки за последнюю минуту); «4 - соответствие номеров открытых портов «эта-
лону» («04); «5 - соответствие имён выполняемых процессов, пути к файлам и их контрольных сумм «эталону» («05); «б - соответствие текущего времени суток рабочему времени («0б).
1.2. Значение степени уверенности СППР [5,9] в наличии ПВ в АС ВН - у. Функцией принадлежности (ФП) выходной переменной у является Ог (у) - степень уверенности в наличии ПВ.
1.3. Номер правила п, имевший максимальную степень истинности предпосылок из всех правил на момент совершения ошибки (как правило, существует одно такое правило, см. шаг № 7 методики, формула (б)).
В табл. 1 приведены указанные выше данные, соответствующие им типы ФП, лингвистические термы (ЛТ) и другие параметры для построения ФП СППР [3].
Таблица 1
Основные параметры функций принадлежности СППР
№ п/п ФП № ЛТ Тип формулы ЛТ Параметры
« а
1 А («1) 1 (2) Незначительное 0 < «1 < 3.5 3.5 0 2 -
2 (2) Значительное 3.5 < «1 < 8.5 2.5 б 2 -
3 (3) Опасное 8.5 < «1 - - 2 8.5
2 В, («2) 1 (2) Незначительное 0 < «2 < 3.5 3.5 0 2 -
2 (2) Ниже среднего 3.5 < «2 < б.5 1.5 5 2 -
3 (2) Выше среднего б.5 < «2 < 9.5 1.5 8 2 -
4 (3) Опасное 9.5 < «2 - - 2 9.5
3 Сг («3) 1 (2) Очень низкая 0 < «3 < 0.1 0.1 0 2 -
2 (2) Низкая 0.1 < «3 < 0.2 0.05 0.15 2 -
3 (2) Ниже среднего 0.2 < «3 < 0.4 0.1 0.3 2 -
4 (2) Выше среднего 0.4 < «3 < 0.б 0.1 0.5 2 -
5 (2) Высокая 0.б < «3 < 0.8 0.1 0.7 2 -
б (2) Очень высокая 0.8 < «3 < 1 0.2 1 2 -
4 О («4) 1 (2) Соответствует 0 < «4 < 0.5 0.5 0 4 -
2 (2) Не соответствует 0.5 < «4 < 1 0.5 1 4 -
5 Ег («5) 1 (2) Соответствует 0 < «5 < 0.5 0.5 0 4 -
2 (2) Не соответствует 0.5 < «5 < 1 0.5 1 4 -
б Ъ («б) 1 (2) Соответствует 9 < «б < 18 0.5 0 3 -
2 (2) Не соответствует 18 < «б < 9 0.5 1 -3 -
7 О (у) 1 (2) Очень низкая 0 < у < 0.1 0.1 0 2 -
2 (2) Низкая 0.1 < у < 0.25 0.075 0.175 2 -
Окончание табл. 1
Тип формулы Параметры
№ п/п ФП № ЛТ ЛТ щ а, Ъ, 5, И,
3 (2) Ниже среднего 0.25 £ у £ 0.5 0.125 0.375 2 -
7 От, ( у ) 4 (2) Выше среднего 0.5 £ у £ 0.75 0.125 0.625 2 -
5 (2) Высокая 0.75 £ у £ 0.9 0.075 0.825 2 -
6 (2) Очень высокая 0.9 £ у £ 1 0.1 1 2 -
2. Вычислить для правила п (определённого на 1-м этапе) интервал его выходной ФП.В соответствии с параметрами табл. 1 интервал выходной ФП Ог (у) - задаётся соотношениями
= Ъ - а •••Ъ + а,, = 2,5, (1)
где , - порядковый номер терм-множества для функции принадлежности О, (у); а, - половина Х-сечения нечёткого терм-множества; Ъ, - координата максимума терм-множества (середина ядра терм-множества); И, - координата пересечения Х-сечения нечёткого терм-множества и функции принадлежности (например, А, («1)).
Из уравнения (1), следует, что
ьо 1 = Ъ1 -А + аь ьо б = Ъ6 - аб ...Ъ6.
3. Установить начальные параметры модификатора 5':
- установить порог коэффициента лингвистического модификатора (КЛМ) 30 (3о := 8) для того, чтобы остановить процесс корректировки лингвистического модификатора в случае, если результат модификации КЛМ не устранил ошибку;
- установить значение шага обучения лингвистического модификатора к (к > 0), как правило, к = 1;
- присвоить начальное значение КЛМ 5' := 5,
где 5 - исходный коэффициент ядра терм-множества в ФП.
4. Установить начальные параметры обучения для правила п: обучающий КЛМ 5об ':= 5' и соответствующий ему результат оценки степени уверенности в наличии ПВ в АС ВН Уоб ':= У.
5. Установить коэффициент лингвистического модификатора для входных ФП:
5':= 5+к.
6. При выполнении условия 5' £ Зо, перейти на шаг 7, в противном случае перейти на шаг 11.
7. С помощью формул (2), (3), (4), (5), (7), (8) [3, 6-8] осуществить расчёт модифицированного значения степени уверенности СППР в наличии ПВ в АС ВН - У':
А,щ) = , * 25; (2)
1+
- ъ,
а,
АЩ)=1+75^»' (3)
где и у - входные данные для переменной А; а у - порядковый номер переменной.
Кп = шт( А, (и у), В, (и у), С, (и у), Б, (и у), Е, (и у), ^ (и у)), (4)
где Кп - агрегированная степень истинности предпосылок правила п; а и е 0,0.01—1.
Рп (у) = ш1п(Кп, О, (у)), (5)
где Рп (у) - есть модифицированная ФП этих заключений для каждого правила на основе выполнения композиционной операции, модифицированной для нечёткой продукции, между определённым на предыдущем этапе агрегированным значением степеней истинности предпосылок правила, например Кп и соответствующей ФП его заключения О, (у).
Для получения данных о номере правила имеющим наибольшую активизированную степень истинности из всех правил необходимо сравнить агрегированные степени истинности предпосылок правил (полученных на предыдущем этапе) и найти максимальную из них по формуле
Кшах = шах(Кп X п =11, (6)
где I - количество правил в базе.
Тогда для правила № 1 формула (5) примет следующий вид:
Р1( у) = ш1п(Кь О1( у)). Для каждой из выходных ФП производится объединение нечетких множеств и формируется одно нечеткое множество Егег (у) (при этом результаты тех правил, где получено значение 0, не учитываются). Результат аккумулирования для ФП, активизированных на этапе 3, находится путём объединения соответствующих нечётких множеств с использованием операции шах-дизъюнкциипо формуле
^ (у) = шах(Р1(у), р2( у),'" Р1 (у)). (7)
Результат дефаззификации - чёткое значение У' выходной переменной у рассчитывается как центр тяжести ФП Егег (у) по формуле
у,= Йу^е(у )^ , Й ( у¥х
где 0, 1 - границы интервала носителя нечёткого множества выходной лингвистической переменной ю.
8. Проверить выполнение условия в соответствии с формулой
(7'е Ь0г) V ((7й Ь0г) л (7' > (Ь, + а,))), (9)
где (Ь, + а,) - верхняя граница интервала Ьо , то перейти на шаг 9, в противном случае перейти на шаг 10.
9. Вернуться на шаг 5 и повторять шаги 5-8 пока выполняется условие (9).
10. Если 7' < 7об', то присвоить правилу побучающий КЛМ
Уоб := У
и соответствующий ему результат оценки степени уверенности в наличии ПВ в АС ВН 7об ':= 7' и перейти на шаг 9.
Если (7'> 7об') л(У< ^0), то перейти на шаг 9, в противном случае, если ((7'> 7об') л (У > Jо)), то перейти на шаг 11.
11. Если результат ЛМФП устранил ошибку, т.е. изменение КЛМ оказало существенное влияние на нечёткий вывод(например: в управляющем решении СППР из за изменения степени уверенности в наличии ПВ в АС ВН лингвистический терм «ниже среднего» заменён на «низкая»):
(7об Ь0,) л (7об' < (Ь - а,^ то в модуль обучения нечётких правил (см. табл. 2) сохранить следующие изменения по правилу п:
- обучающий КЛМ Уоб' (показавший наилучший результат по ЛМФП),
- соответствующий ему результат оценки степени уверенности в наличии ПВ в АС ВН - 7об'.
Сохранить информацию о найденном обучающем КЛМ Уоб' и 7об' в журнале событий СППР. Оправить сообщение дежурному администратору об устранении ошибки в правиле № 15 (см. табл. 2).
В противном случае:
- установить коэффициент лингвистического модификатора значение по умолчанию у := 2 (см. табл. 1);
- в модуль обучения нечётких правил (см. табл. 2) сохранить следующие изменения по правилу п: обучающий КЛМ: Уоб':= 0, 7об':= 0;
- сохранить информацию в журнале событий СППР о невозможности автоматически устранить ошибку, указав номер правила п, которое привело к ошибке.
- оправить сообщение дежурному администратору СППР о невозможности автоматически устранить ошибку с помощью «Методики автоматизированного уточнения степени уверенности СППР в наличии ПВ вАС ВН на основе ЛМФП», указав номер правила п, которое привело к ошибке.
Таблица 2
Пример модуля обучения нечётких правил
Номер правила s У
1 2 0.087 0 0
2 2 0.585 0 0
15 2 0.273 3 0.178
п 2 X 0 0
Необходимо пояснить, что до ввода СППР в эксплуатацию эксперты самостоятельно оценивают вывод по каждому правилу. Выработка обобщённого мнения экспертов осуществляется в соответствии с методикой согласования экспертных оценок. На основе этих согласованных экспертных мнений формируется база нечётких правил СППР [9].
Поэтому полученные результаты степеней истинности заключений нечётких продукционных правил могут корректироваться путём их алгебраического произведения на весовые коэффициенты соответствующих правил (у остальных правил предполагается, что весовой коэффициент равен единице).
Эксперты могут задавать весовые коэффициенты наиболее важных правил. Метод определения весов состоит в следующем. Пусть ху - оценка
правила I, данная у-тым экспертом, I = 1, п, у = 1, т, п - число сравниваемых правил, т - число экспертов. Тогда вес 1-го правила, подсчитанного по оценкам всех экспертов (Щ),
I т=1Щ/
Щ =--, у = 1, т, (10)
т
где Щу - вес 1-го правила, подсчитанного по оценкаму-го эксперта:
= Х'' , I = 1, п .
11 хч
12. На этом шаге уточнение базы правил нечёткого вывода на основе ЛМФП завершено.
Заключение. Системы с нечёткой логикой не могут автоматически приобретать знания для использования их в механизмах вывода.
Авторами разработана методика автоматизированного уточнения степени уверенности СППР в наличии программных воздействий в АСУ ВН, в
456
которой уточнение базы нечётких правил, в отличие от известных подходов, выполняется на основе ЛМФП для алгоритма Мамдани, что приводит к уменьшению числа ошибок 1 рода при определении ПВ в АСУ ВН.
Наличие не нулевого обучающего коэффициента лингвистической модификации в «Модуле обучения нечётких правил», позволяет уменьшить количество ложных срабатываний СППР (ошибки 1-го рода) при оценке степени уверенности в наличии программных воздействий вАС ВН и, таким образом, повысить устойчивость функционирования военных систем.
Список литературы
1. Прокофьев В.Ф. Тайное оружие информационной войны: атака на подсознание. 2-е изд., расшир. и дораб. М.: Синтег, 2003. 408 с.
2. Круглов В.В., Дли М.И., Голунов Р.Ю. Нечеткая логика и искусственные нейронные сети: учеб.пособие. М.: Изд-во физ.-мат.лит., 2001. 224 с.
3. Войцеховский С.В., Хомоненко А.Д. Выявление вредоносных программных воздействий на основе нечеткого вывода // Проблемы информационной безопасности. Компьютерные системы. СПб., 2011. № 3. С. 81-91.
4. Хомоненко А.Д., Войцеховский С.В. Уточнение нечеткого вывода на основе алгоритма Мамдани в системе обнаружения вторжений // Проблемы информационной безопасности. Компьютерные системы. СПб., 2011. № 4. С. 41-48.
5. Войцеховский С.В., Хомоненко А.Д. Выявление программных воздействий в АСУ ВН с использованием алгоритма нечеткого вывода Мамдани // Проблемы применения войск воздушно-космической обороны в системе операций ВС РФ:сб. тр.Всеарм. военно-науч. конф. СПб.: BKA имени А.Ф. Можайского, 2013. С. 392-398.
6. MamdaniE.H. Applicationoffuzzylogictoapproximatereasoningusin-glinguisticSystems // FuzzySetsandSystems, 1977. Vol. 26. P. 1182-1191.
7. Леоненков А.В. Нечеткое моделирование в среде MATLAB и fuzzyTECH. СПб: БХВ-Петербург, 2003. 736 с.
8. Штовба С. Д. Введение в теорию нечетких множеств и нечеткую логику. Винница: Изд-воВинницкого ГТУ, 2001. 198 с.
9. Войцеховский С.В., Хомоненко А.Д. Согласование экспертных оценок при нечётком выводе в системе обнаружения вторжений // Проблемы информационной безопасности. Компьютерные системы. СПб., 2009.№ 4. С. 42-50.
Войцеховский Станислав Витальевич, канд. техн. наук, начальник кафедры, [email protected], Россия, Санкт-Петербург, Военно-космическая академия имени А. Ф.Можайского,
Калиниченко Сергей Владимирович, канд. техн. наук, заместитель начальника кафедры, sergeybka@yandex. ru, Россия, Санкт-Петербург, Военно-космическая академия имени А. Ф.Можайского,
Галанкин Андрей Вячеславович, канд. техн. наук, заместитель начальника кафедры, hiruk98 a gmail. com, Россия, Санкт-Петербург, Военно-космическая академия имени А. Ф.Можайского,
Топорков Николай Святославович, начальник лаборатории - старший научный сотрудник военного института (научно-исследовательского), k. toporkovamail.ru, Россия, Санкт-Петербург, Военно-космическая академия имени А. Ф.Можайского
METHODOLOGY FOR DECREASING FALSE POSITIVE IN AUTOMATED SYSTEM MILITARY PURPOSE
S.V. Voytsekhovsky, S.V. Kalinichenko, A.V. Galankin, N.S. Toporkov
The methodology proposed by the authors is based on the specification of the base of rules for the odd output of the decision support system with the help of linguistic modification of the membership functions and allows to automate the elimination of false positives when assessing the degree of confidence in the availability of software effects in an automated military system.
Key words: coefficient of linguistic modifier, linguistic term, membership functions, program effects.
Voytsekhovsky Stanislav Vitalyevich, candidate of technical sciences, [email protected], Russia, Mozhaisky Military Space Academy,
Kalinichenko Sergey Vladimirovich, candidate of technical sciences, serge ybka'a, yandex. ru, Russia, Mozhaisky Military Space Academy,
Galankin Andrey Vyacheslavovich, candidate of technical sciences, bi-ruk98@,gmail. com, Russia, Mozhaisky Military Space Academy,
Toporkov Nikolay Svyatoslavovich, k. toporkova mail.ru, Russia, Mozhaisky Military Space Academy