УДК 004.942
ПОСТРОЕНИЕ МОДЕЛИ ДОВЕРИЯ К ОБЪЕКТАМ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ДЛЯ ПРЕДОТВРАЩЕНИЯ ДЕСТРУКТИВНЫХ ВОЗДЕЙСТВИЙ НА СИСТЕМУ
А.А. Бешта, М.А. Кирпо
Волгоградский государственный университет E-mail: [email protected]
Описана формальная модель деструктивного воздействия на систему, и выделены основные возможные деструктивные воздействия. Описана предложенная авторами модель доверия к объекту автоматизированной информационной системы на основе мониторинга действий объекта. Предложена сервис-ориентированная концепция предоставления услуг по обеспечению безопасности информации и реализующая ее многоагентная распределенная архитектура.
Ключевые слова:
Многоагентная система, деструктивное воздействие, оценка доверия к объекту, сервис-ориентированная архитектура.
Key words:
Multiagent system, destructive influence, object trust assessment, service oriented architecture.
Автоматизированные информационные системы (АИС), реализуемые на компьютерах, состоят из множества разнородных, распределенных в пространстве компонентов: аппаратных средств, системных утилит, пользовательских приложений, средств защиты информации, массивов данных и персонала. При этом данные компоненты генерируют множество событий, связанных с действиями пользователей, процессами обработки информации, получением и отправкой сетевых пакетов, доступом к файлам. Дальнейший анализ этих событий позволяет выявить различные нарушения информационной безопасности.
Для повышения эффективности работы АИС, снижения нагрузки на ресурсы и уменьшения объема анализируемой информации предлагается использовать сервис-ориентированную архитектуру системы защиты информации. Кроме того, подобная архитектура позволяет повысить гибкость и масштабируемость АИС и легко интегрировать в нее новые компоненты [1].
Формально АИС можно представить в виде:
5 = {Ет, ЯЕ},
где Е - множество объектов различных типов Т информационной системы Б, Е1 = и Е , ге п -
/=1,п
количество объектов класса Т; ЯЕ - множество отношений между объектами, ЯЕ=ЕхЕ.
Каждый класс Е представляет собой совокупность однотипных объектов, описанных с помощью набора свойств:
где РкЕ - к-е свойство /-го объекта ЕТ типа Т.
Все объекты АИС могут быть разделены на две группы: активные и пассивные. Активные объекты могут выполнять различные операции над другими объектами (пассивными и активными), в том числе над собой. К пассивным объектам относятся все другие объекты.
Типы объектов Т можно определить следующим набором:
т = т и Т = (С ,и) и( Н, А, Я),
где Т=<С,и> - активные объекты типов С (программный компонент, процесс) и и (пользователь), Т=<Н,Л,Я> - пассивные объекты типов Н (аппаратный компонент), Л (актив), Я (разрешение).
Тогда система будет состоять из следующих типов объектов Е={ЕН,Е,Еи,ЕЛ,Е}, где ЕН - множество узлов; ЕС - множество компонентов; Еи -множество пользователей; ЕЛ - множество активов; ЕЯ - множество разрешений.
Множество отношений между объектами ЯЕ описывается непересекающимся объединением:
ЯЕ = ЯЕ и ЯЕ*, ЯЕ п Яраг, * 0,
где ЯЕ - отношение категоризации между объектами; ЯЕоц - отношение принадлежности между объектами.
Такое представление системы позволяет определить распределение отдельных объектов и их свойств по АИС, то есть:
Р( ET) =
EEL Е et ’
где р (ЕТ) - доля объектов Е,Т среди объектов определенного типа ЕТ.
p( Pf)=
где р(РЕ‘т) - распределение свойства РЕ,Т среди свойств объектов типа ЕТ.
Таким образом, несмотря на разнородность компонентов АИС, можно определить конечное множество типовых объектов, характерных для всей системы, и выделить свойства, идентичные для многих объектов.
Для определения деструктивного воздействие на объекты АИС сначала необходимо определить
т
нормальное воздействие, осуществляемое активными объектами в процессе работы.
Нормальное допустимое воздействие определяется в виде правила R, установленного в системе, которое устанавливает допустимое действия Act для активного объекта по отношению к другому объекту:
R = (Ef — Act)| E].
Каждое правило означает, что активный объект EJ может выполнить некоторое действие по отношению к объекту EJ.
В качестве множества простых действий Act можно определить:
Act = (Read, Write, Execute),
где Read - операция чтения; Write - операция записи; Execute - операция выполнения.
Тогда нормальное воздействие SaE~, осуществляемое активным объектом EJ, описывается следующим образом:
SaE, — Pf = v 13R = (Ef — Act) | ET
и означает, что некоторый объект EJ системы имеет свойство PtET со значением v, которое позволяет активному объекту EJ выполнить действие Act по отношению к некоторому объекту EJ (возможно, тому же самому).
Но может существовать такое значение v'^v свойства PkE\ что оно позволяет создать в системе новое правило R*gR, в котором нарушается установленное соотношение между EJ, Act, EJ, что означает выполнение в системе действия Na, которое не установлено в системе в виде правила. Такое действие является деструктивным по отношению к объекту EJ и может нанести вред как отдельным объектам, так и всей автоматизированной системе в целом:
NaE, — PE = v* 13R* = (Ef — Act) | ET, R* g R,
то есть у некоторого объекта EJ существует такое значение v* некоторого его свойства Pf, что имеется возможность в обход установленных в системе правил R установить новое правило R", позволяющее для некоторого активного объекта EJ выполнить какое-то действие Act по отношению к некоторому объекту EJ.
Теперь можно описать различные типы деструктивных воздействий на объекты АИС в терминах этой модели.
Ознакомление:
KnowEf — PJ?' = v* 13R* =
= (Ef — Re ad) | Ej, R* g R.
Копирование:
CopyEf — PE = v* 13R* =
= (Ef — Write) | ET, R* g R, i Ф j.
Модификация:
Modifye, — PE = v*|3R* =
= (Ef — Write)\ Ef, R *g R.
Удаление:
RemEt — Pf' = v* 13R* =
= (Ef — Write) | Null,R* g R.
Запуск:
ExecEt — Pj' = v * 13R* =
= (Ef — Execute) | Ef,R* g R.
С другой стороны, для всех активных объектов АИС можно поставить в соответствие уровень доверия к объекту $Efe(0,1).
В данном случае под уровнем доверия к объекту понимается ожидаемая реакция объекта - что можно ожидать от объекта в различных ситуациях и взаимодействиях [2].
Тогда высоким уровнем доверия BEis—> 1 может обладать объект, который не является источником деструктивных воздействий.
Низким уровнем доверия Be~—0 обладают объекты, только что появившиеся в системе, ранее неизвестные объекты, то есть объекты, которые являются или могут являться источником деструктивных воздействий.
То есть уровень доверия к объекту - это вероятность того, что объект не является источником деструктивного воздействия NaEiJ~ :
BEf = 1- p( NaEf).
На конечном рабочем месте пользователя в некоторый момент времени могут функционировать только объекты определенных типов.
Возникает задача контроля уровня доверия к объектам системы и выполнения функций защиты при функционировании активных объектов с уровнем доверия ниже установленной нормы Bej<P. При этом необходимо выполнять защитные функции, связанные с конкретным объектом EiJ~, а не всей системой.
При оценке уровня доверия к объектам необходимо учитывать, что распространенность объекта повышает его уровень доверия. В то время как малораспространенные объекты имеют низкий уровень доверия. Если объект является или может являться источником (участником) деструктивных воздействий, то его уровень доверия по~нижается.
Пусть уровень доверия к объекту EiJ~ складывается из голосов 7=(7+U7~), поданных за этот объект: у + - положительный голос и у~ - отрицательный голос. Если в системе обнаружено событие, указывающее на то, что объект попытался выполнить или выполнил некоторое деструктивное воздействие в обход установленных в системе правил, за него подается отрицательный голос у~. Если за некоторое время наблюдения объект не был источником деструктивного воздействия, за него подается положительный голос у +.
С учетом особенностей для получения оценки уровня доверия к объекту можно использовать функцию следующего вида:
7+- (У У е2
У+ —
У
(1)
где у - количество положительных голосов, поданных за объект; у~ - количество отрицательных голосов, поданных за объект; у - общее количество голосов, поданных за объект; е - коэффициент, определяющий степень значимости положительного голоса (коэффициент достаточности); 9 - коэффициент, определяющий степень значимости отрицательного голоса (коэффициент критичности). Эта функция имеет некоторые ограничения:
• так как значение доверия к объекту находится в интервале Веге (0,1), а область значений функции (1) находится в интервале Де,9,у)е(-ю,1), то при Де,9,у)<0 нельзя говорить о доверии к объекту. Поэтому можно определить у=Т, при котором Де,9,¥)=0;
• величина О зависит от количества отрицательных голосов у- и коэффициента 9, определяющего степень значимости отрицательного голоса. Из равенства Де,9,¥)=0 можно показать, что О=(7-)9+7~;
• можно определить значение у=Т, при котором функция достигает середины уровня доверия Де,9,Т)=1/2. Если у-=0, то равенство Де,9,¥)=1/2 достигается при Т=е. Если у~*0, то равенство Де,9,¥)=1/2 достигается при ¥=0+^0+?.
С учетом установленных ограничений значение оценки уровня доверия к объекту АИС вычисляется следующим образом:
У+- 0У~
е
У + — У
0, у < О.
-,у>о,
(2)
Выражение (2) можно назвать (е,9) доверительной моделью объекта.
Коэффициент достаточности е указывает на то, какое количество голосов должен получить объект, чтобы достигнуть уровня доверия 0,5, и позволяет контролировать скорость роста доверия к объекту.
При выборе коэффициента достаточности е следует руководствоваться тем, что он должен иметь целое положительное значение, и тем, что при у~=0 и у=еуровень доверия Ве~=1/2.
На рис. 1 показано влияние коэффициента достаточности е на значение оценки уровня доверия. Все голоса, поданные за объект, являются положительными.
Коэффициент критичности 9 позволяет контролировать величину падения уровня доверия к объекту при появлении деструктивного воздействия.
Выбор коэффициента критичности 9 не так однозначен, однако можно учитывать следующие рекомендации:
• при у=е, у~=1 величина 9 не имеет значения, а уровень доверия снизится на величину 1/е;
• при у=е, 9=1 уровень доверия снизится на величину у~=е, тогда Ве~=0 при у~=е/2;
• при у=е, 9*1 уровень доверия снизится на величину О/е, но при О>е уровень доверия Ве~=0;
• при у=е, 9=1о§(е-2) и двух отрицательных голосах у~=2 уровень доверия Ве~=0.
На рис. 2 показано влияние отрицательных голосов на значение оценки уровня доверия при параметрах е=20 и 9=2.
При оценке уровня доверия к объекту Е/~Т возникает задача сбора голосов у=(у+иу~), поданных за данный объект.
Пусть на компонентах АИС распределены агенты мониторинга.
Тогда голоса за объект могут подаваться агентами мониторинга следующим образом:
I у+, если Ба г,
У =1 Е‘
I у , если Ма г.
-
-* У
^ /
— ■* •-
1 3 3 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 39 61
Количество положительных голосов
£=10 ......£=20---------£=30
Рис. 1. Влияние параметра е на уровень доверия к объекту
Количество положительных голосов
Без отрицательных голосов — — 2 отрицательных голоса — • — 4отрицательных голоса Рис. 2. Влияние отрицательных голосов на уровень доверия к объекту (у~=0, у~=2 и у~=4)
Если агент обнаруживает попытку объекта Е/~Т совершить деструктивное воздействие Шет, он подает отрицательный голос у~. Если объект ЕТсовер-шает нормальное воздействие &(Ег, агент мониторинга подает положительный голос у+.
Если уровень доверия опускается ниже установленного критерия Ве<Р, агент мониторинга выполняет блокировку п/одозрительного объекта или другое управляющее воздействие.
Тогда с учетом объектов, определенных выше, многоагентная система защиты может выглядеть следующим образом:
А = {АМ , (Азс , Аяш , Ачз-^ , Аас Апе1 , А , А1еу )} ,
где Лм - агент координатор мониторинга; Ас -агент мониторинга системных компонент; Аш -агент мониторинга системного программного обеспечения; Аиш - агент мониторинга пользовательского программного обеспечения; Аас - агент мониторинга доступа; Апе1 - агент мониторинга сетевых соединений; Ал - агент мониторинга баз данных; Аёег - агент мониторинга внешних устройств.
Таким образом, агенты координаторы, расположенные на конечных рабочих местах пользователей, выполняют мониторинг объектов на данном рабочем месте.
При появлении объектов определенного типа агент координатор запрашивает специализированного агента мониторинга. Если этот агент обнаруживает объект с низким уровнем доверия, или возникает подозрение на выполнение деструктивных воздействий, агент мониторинга выполняет определенные функции безопасности.
При завершении использования объектов определенного типа работа специализированного агента мониторинга завершается.
Специализированные агенты мониторинга находятся в центральном хранилище - ферме агентов. Каждый агент публикует сведения о предоставляемых сервисах безопасности, и агенты координаторы запрашивают выполнение функций безопасности этими специализированными агентами. При запросе агент мониторинга мигрирует с фермы на конечное рабочее место, выполняет работу и возвращается обратно на ферму (рис. 3).
Таким образом, агент мониторинга выступает сервисом, который заказывает агент координатор. На схеме также представлены блоки [3]:
• контейнер - агентная среда на конечном рабочем месте в автоматизированной информационной системе;
• платформа - группа контейнеров, объединенная одним блоком управления, реализующим агентную парадигму.
Описанный подход позволяет контролировать изменения среды функционирования АИС и появление новых компонентов, повышает эффективность функционирования конечных рабочих мест пользователей за счет использования средств защиты как сервисов, которые вызываются по необходимости. При этом все компоненты имеют некоторый уровень доверия, что позволяет гибко управлять защитой АИС и контролировать ее защищенность.
СПИСОК ЛИТЕРАТУРЫ
1. Ткаченко Н.И., Спирин Н.А. Применение сервис-ориентированной архитектуры при интеграции систем управления технологическими процессами // Известия Томского политехнического университета. - 2010. - Т. 317. - № 5. - С. 61-67.
2. Новиков Д.А. Математические модели формирования и функционирования команд. - М.: Изд-во физико-математической литературы, 2008. - 184 с.
3. Bellifemine F., Caire G. Developing Multi-Agent Systems with JADE. - Chichester: John Wiley & Sons Ltd., 2007. - 286 p.
Поступила 21.09.2012 г.
УДК 550.8.053
АНАЛИЗ ИНФОРМАЦИОННЫХ СВОЙСТВ ВЗАИМНЫХ ФАЗОВЫХ СПЕКТРОВ ОТРАЖЕННЫХ СЕЙСМИЧЕСКИХ ВОЛН
В.П. Иванченков, А.И. Кочегуров, М.А. Черкасова*
Томский политехнический университет *ЗАО «Гринатом», г. Северск E-mail: [email protected]
На основе принятой модели слоистых поглощающих сред рассмотрены свойства взаимных фазовых спектров сейсмических волн, отраженных от кровли и подошвы исследуемой толщи, определены основные предпосылки их применения для прогноза геологического разреза.
Ключевые слова:
Линейная система, модель слоистой поглощающей толщи, взаимный фазовый спектр сигналов, коэффициенты отражения и преломления волн.
Key words:
Linear system, model of layered absorbing column, mutual phase spectrum of signals, reflection and wave refraction factors.
При решении задач прогноза геологического разреза (ПГР), в том числе прогноза нефтегазонос-ности осадочных толщ, по данным сейсмических наблюдений наиболее широко используются в качестве диагностических признаков динамические характеристики отраженных волн, непосредственно связанные с их амплитудой и энергией [1, 2]. Информация о свойствах фазочастотных характеристик (ФЧХ) сейсмических волн до последнего
времени практически не использовалась. Между тем в фазу сейсмических сигналов, а точнее в сложный закон изменения их фазовых спектров, заложена информация, позволяющая в условиях априорной неопределенности надежно обнаруживать и разрешать сигналы на фоне интенсивных помех, производить оценку их кинематических параметров [3, 4]. Как показано в [5, 6], текущие фазовые спектры отраженных сейсмических волн могут