ПРЕДУПРЕЖДЕНИЕ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ Текст научной статьи по специальности «Компьютерные и информационные науки»

ПРЕДУПРЕЖДЕНИЕ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

Бутусов И.В1, Романов А.А.2

Цель статьи: поддержка процессов предупреждения инцидентов информационной безопасности в условиях высокой неопределенности.

Метод: методы математической (теоретической) информатики и теории нечетких множеств.

Полученный результат. Инцидент информационной безопасности, включая инцидент компьютерный, рассматривается как факт нарушения или прекращения функционирования автоматизированной информационной системы и (или) нарушения хранимой и обрабатываемой в этой системе информации, в том числе вызванный компьютерной атакой. Информационные описания представлены в виде структурированных данных о признаках компьютерных атак. Структурированные данные являются конечными последовательностями строк символов формального языка. В качестве метрики измерения расстояния между строками символов из определенного алфавита предложено использовать редакционное расстояние Дамерау-Левенштейна. Обоснована возможность представления семантики информационных описаний признаков атак в виде нечетких множеств. Определены пороги (степени) разделения нечетких информационных описаний. Оценено влияние семантической определенности информационных описаний признаков (степеней размытости нечетких информационных описаний) на принятие решений об их идентичности (похожести). Показано, что семантическая составляющая информационных описаний признаков компьютерных атак предполагает наличие некоторой семантической метрики (для ее измерения и интерпретации) и которая, как правило, формально плохо определена, неоднозначно интерпретирована и характеризуется неопределенностью типа нечеткости, наличием семантической информации и невозможностью непосредственного применения вероятностной меры для определения степеней сходства входных и хранимых информационных описаний признаков. Предложен подход к идентификации нечетких информационных описаний признаков компьютерных атак и применения методов разделения элементов опорных множеств, на которых определены эти информационные описания. Показано, что результаты процедуры идентификации нечетких информационных описаний признаков компьютерных атак зависят от степеней разделения опорных множеств и от показателей семантической неопределенности этих описаний.

Ключевые слова: признаки компьютерной атаки, информационное описание, семантика, неопределенность, нечеткое множество, функция принадлежности, степень разделения, сведения, алфавит, строки символов, редакционное расстояние.

D0I:10.21681/2311-3456-2020-05-45-51

Введение

Под инцидентом информационной безопасности (ИБ), включая инцидент компьютерный, будем понимать факт нарушения или прекращения функционирования автоматизированной информационной системы (АИС) и (или) нарушения хранимой и обрабатываемой в этой системе информации, в том числе вызванный компьютерной атакой (КА, проект ФЗ № 47571-7 «О безопасности критической информационной инфраструктуры Российской Федерации»3 [1]). Согласно4,5 и [1] КА - это целенаправленное несанкционированное

воздействие на информацию, на защищаемый ресурс АИС или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств. Предупреждение инцидентов ИБ связано с оценкой рисков нарушения критически важных свойств (целостность, доступность и конфиденциальность) защищаемых ресурсов АИС с различными категориями важности в результате воздействия КА [2]. В этих целях соответствующая система мониторинга 1РР должна распознавать (идентифицировать) возник-

1 Бутусов Игорь Викторович, начальник научно-исследовательского управления АО «Концерн «Системпром», Москва, Россия. E mail: butusigor@yandex.ru

2 Романов Александр Анатольевич, доктор технических наук, главный специалист АО «Концерн «Системпром», Москва, Россия. E mail: ralexhome@yandex.ru

3 Проект ФЗ № 47571-7 О безопасности критической информационной инфраструктуры Российской Федерации.

4 ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения (п.3.11).

5 Р 50.1.056-2005 Техническая защита информации. Основные термины и определения (п.3.2.8).

шую угрозу безопасности информации (БИ) в динамике функционирования АИС.

КА можно представить в виде совокупности инфор-маццонных описаний признкков, котоцую необходимо идентифицироватов орроекаср^е^н^рологи^е^с^^о^о никла, реализуемого АИС при попытках нарушителя вывода ее из сироо ило с^ниженно ^сИс^^итн^^ооц"^и сомоиениа.

Совокупность информационных описаний признаков КА форшищется, докомцооик^^т^оя и писткмеоизи-руетао н^о^нно^^сприс^ан^^)н доган^ио оДопыве дкоплу-атации АИС и классификации угроз безопасности ин-формацим (ИаДа ^н^тоеди^сачняатс^я по опостериорной информации. Основными средствами и источниками инродмациидля иденииОикацоиинформао^1^нумн^и-саний нризнакоо КАи ^и^аоиоио^^н^^п

инцидентов ИБ в АИС являются датчики средств проти-водействия.Средятва нукикнн^йитвив иф совфесокна со средствами мониторинга опасности воздействия КА осуществляют сбор данных от датчиков для формирова-нисоовo^оупооти инфмрмооиопнтlаогlиоцний пяизна-ков атак и оценки возможного нарушения устойчивости фу мкциoниp(неспия АИС и степени опасности [3, 4].

Если КА реализует известную угрозу БИ, то можно применить методы анализа (сравнения) информацион-ныоогшдаиий хиуа кгериых нри з накрватаои (хр анио^ь^1и информационные описания признаков КА - сигнатуры атакД нкн(^JДtуЗ(íн^к^l^lxонс иио^нэдджо ноя.

Методы ноонунц cигнкноппpоеакзнaчоиы унн иодн-тификации известных атак и основаны на контроле про-грамои оанныа вошем е н этaкoкнойрвмыкомйолeдог вательности символов и событий в сети с базой данных си гнкиоpннео.

Недостаноом деоддок нналиаи ситаиур я^/^я^^дкнн^^и возможность обнаружения новых (модифицированных атао)боо атрогоо формотизации ктюиквых слов сетевого трафика и обновления базы данных сигнатур атак.

Если в ояцляе тся аиом арйиеe ао ванение к и стемю отлиникд от типачного (икMоамaмион ныеoаиaоимя признаков КА отсутствуют в базе сигнатур), то на осно-ватии киоцо факяа можно принять решение о возможном наличии атаки (обнаружена неизвестная ата а). Обнаружение аномальных отклонений в сети осущест-вляетсо но иризнакам КА — как правило используют синтаксические сигнатуры, взятые непосредственно из тела ата ки.

Так как информационные описания признаков реализуемой КА и хранимые информационные описания прцзнаков цА пpeертнкляим собой киитaоcинкекио конструкции, то для их сравнения имеет смысл использо-ватьммыpикy| еАодcтaвавюр^ом ообс^на функцию оaвктo-янон мммay двимя словамо дсороками), позвоооющую оценить степень их сходства в данном контексте. Стро-гоeмамeмнмииecоoе с^г^р^оА^/^^нио медрикивккючмрнв себя необходимость соответствия условию неравенства трeчгмньмнaa (Х- множесираклод,/» ^одтрика )

(р(х,у) < р(х,2) + р(2,у), х,у^ е X

Между тем, в большинстве случаев под метрикой подразумевается более общее понятие, не требующее

выполнения такого условия, но которое можно также рассматривать как расстояние. К числу наиболее известных из таких метрик относятся расстояния Хем-минга, Левенштейна и Дамерау-Левенштейна. Следует отметить, что расстояние Хемминга является метрикой только на множестве слов одинаковой длины, что силь-ноограничиваетобласть его применения [5].

1. Основные задачи, решаемые впроцессе предупреждения инцидентов ИБ

- обоснование возможности представления семантики информационных описаний признаков КА в виде нечетких множеств (НМ).

- определение порогов (степеней) разделения не-четкихинформационных описаний.

- оценка влияния семантической определенности информационных описаний признаков (степеней размытости нечетких информационных описаний) на принятие решений об их идентичности (похожести).

2. Содержательная постановка задачи предупреждения инцидентов ИБ

Идентификации информационных описаний признаков КА: поиск по входному информационному описанию похожих на него хранимых информационных описаний в условиях возможных искажений, неполного состава и частичного нарушения порядка следования данных во входном и (или) хранимых описаниях (высо-каянеопределенность).

Под информационным описанием будем понимать структурированные данные о признаках КА. Данные представлены значениями (конечными последовательностями строк символов формального языка) соответствующих реквизитов (атрибутов). Реквизиты (атрибуты) могут быть сгруппированы по некоторому семантическому признаку, например, поклассам КА.

3. Особенности задачи: 1) обработка и анализ строк (подстрок) символов (модель идентификации информационных описаний, в том числе и в условиях неполных и (или) искаженных сведений о них); 2) произвольное количество ошибок при анализе символьных строк (произвольное количество операций редактирования - вставка, замена, удаление, перестановка); 3) клавиатурная модель ошибок с определением средневзвешенного редакционного расстояния между строками; 4) наличие весов ошибок, зависящих от символа, над которым производится операция (особенности формального языка, определяемого выбранным алфавитом); вес ошибки зависит от местоположения символа в слове; учет веса ошибки с клавиатурно близким символом; 5) множество операций над подстроками (замена, вставка, удаление подстрок) для обработки ошибок транскрибирования; 6) наличие нечеткой меры (из-за учета весов ошибок); неопределенность типа нечеткости; нечеткость, размытость соотнесения входного информационного описания к выделяемому подмножеству хранимых; переход от полной идентичности (эквивалентности) входного описания хранимым

Вопросы кибербезопасности. 2020. № 5(39)

к полной не идентичнооти происходит постепенно (нечеткость = ндточносчт + н^дпедхеет^нносн"сп).

ПТп пК(П|Т1и1!а/пн>1Ч11>110Т яоыа [0]. Оскоделен нокотоныИ ^/\<феЕнип ТО ч ф* - множество оппплае^с^нныо leaii "p]]niM \ат\(()ычЕ^п"Ч]Н1\л лтдов К^Ф'НЭ^ Nstr. Ссрока Ко ==р,.н,ал)— оыынлсная пе^/\еттокатео»нностьз самво-оо^ асоНС. . Алфавит ф оисювтлт ез свТя сменил «п—ахе бел» )«_»): а лС д пелпую с=локуу н ..

^н—СхИ aTy о ПП * л cruокт дночы т, а sTrn or ф *в строг ка длины к, то их объединение аД uatr2, обозначае-мглио каKsfry^. акедсте+леет соСУдо стрнслау h—eei—hxi т+п, в которой первые м символов составляют строку, со-вподлм—ую ест снролой к—Го а ннлазеони^ к лен колов составляют строку, совпадающую со строкой atr2. Если aФз=a—^и^ где т+^нП^пТн0 д фа, то строка atr1 -префикс строки atr а строка - atr2 суффикс строки atr Построение префиксных деревьев существенно сокра-щаетвремяпоискастроксимволов(слов).

Префиксное дерево имеет много полезных свойств для решения задачи идентификации информационных описаний.

Первое. При обходе дерева любой префикс любого имени проходится только один раз. Это не только экономит время просмотра набора уникальных имен. Можно построить такой алгоритм, который будет использовать состояние таблицы динамического програ хмирования в предыдущей вершине для вычисления состояеня е текущей вершине. Другими словами, соснояние ааблтцтi динамического прогреммкфаванне хпя вынннл+ния = пип-мального редакционного расстоянтя ксегна соонаиесчну-етпрефансн олкеее-нпиОо нооыц 1лл нидсятого с^коена.

Второе. Если префикс какого-либо имени лон сохнс жит число оопОоя рос^гаотдттсоЕз^дия ббксше, "-снсгии деня-стианогн няссич^Емотя к, нал тел выбта-ЕНнЕ^сання влях саек начинающихсна ee ооого пяеЯккс^а (и нохои^яи-нихс-я 1я оод-де+еад :к"яoнб -аефикаа^ можно ни ндояодндя.

Третье. ^нжпя[дв(^п^и еепоаоч П(Е)|Е1Дп на опппждкФ но-вквдшияпoe рооакооолпоя рзгд^^аоянилн, Тол-д е лили префикс какосо-лн+л ямени велпи Ооп-ше0 -1€^1гчп пс^ро|/, то все выреснивлнии вдех импд, вияятоющихек с- ямя о префикса (и налодящихся в пдодтреяа сэтсите п - дф та кс;н) можно не провооить.

ФысоеЕэное. о^иннинэн^ пи-л н^фиан чоно дерэнгвк дн/кает т)гиЕ^иса/\ ьные чотсн соигр-ан^^нп1н1в; рриенсков, таи /о охр сиинуа1.^е^ и о еснь пп р сде сн ив = дн па |1) )) я) и ис и я уо е о я с рт еи= дooиcпч нее п-oддкжoпир дтого птдпПсeca ид с/гт/я^п^иид

Р^Вс) Э"И(Е)Г0 ятнфнд^^н

наoИ)ЗEЗo^^^иПП)^ по^плисн1^вис^"св"^ rcinonneHCiTEBa Фа [-юатиз^н Езгсгэт^я фабоальныо таыкем Л.

^слИ CTfEOOH ябе МОЖеИ -ЫЫЛ1ь погтуп^н;- пд ве-око ctr' с нооощью яд сего н л и нсссог^ектх иралил еы^оуоа| сиз тво =K>atH,

Ид Оссстоа-иии ro пАт-воду ядоед стрело д фдооую

Расстоян 1сял Ядндншндннк (пдкже т\пAЯl^EOЕсс-)п^нc^EЭ офистое янде или дистaнцпрpодaдтиобсeдяф) [5] в кеиртд кои формации и компьфре^ой еидиктстпое - отяl Tpe |Еая-ницы дорeяоoлeдoвaпeяьнocтeй ц-мдолот -CEояя) относительно минимального количества операций вставки, удаления с р-меоси яяо6нт1^импз'х яр/^я пис/лодн одясё строкивдругую.

Две строки str1 и str называются похожими, если редакционное расстояние между ними не превышает заданногодопустимогоколичестваошибок к.

Редакционное предписание - последовательность действий, необходимых для получения из первой строки второй кратчайшим образом. Обычно действия обозначаются так: D (англ. delete) - удалить, I (англ. insert) - вставить^ (англ. replace) - заменить, M (англ. match) - совпадение.

Каждая операция редактирования имеет свой вес: I -p, D - q, R - r, T - v. Тогда взвешенное редакционное расстояние о между двумя строками str1 и str2 определяется как суммарный вес минимального числа редакционных операций, необходимых для преобразования str: в str2 (совпадениянезасчитываются).

Если оп порог на взвешенное редакционное расстояние, то две строки str} и str2 похожи, если редакционное расстояние между ними не превышает допустимого количества ошибок к, а взвешенное редакционное расстояниене превышает оп.

Степень похожести s} и s2 определяется величиной о.Чемменьше о,тем str} более похожа на str2.

Расстояние Дамерау-Левенштейна - это мера разницы двух строк символов, определяемая как минимальное количество операций вставки, ьдалеаия, замены и перестановка соседним символов, необходимых дття аеревода од ной строки вм|аугую. Является медн-и-кацией дксстоянйх Лаземактайна.ооличоется очнегодо-аавлатчел ьперации нтресдановки.

С0. Сеиктияиоя имформацомнндго оеитааоо [О/. ^^|\и£знтг1Д1р;^ тояноно сиедортт о а-язнаое ноа-понааскл тчлтчпе с-о-иющих чот->|р«зг< веки ии до оиорного мвожя-стЕЗ(КнНН0^^и(н;рг(|иеа, еагдозвинсоар-ц цукаг^-яоязз/ря гордого и/я ори^ц^нн/ив, к.е. т оХ, я0^1ян\-тяе(^т^и^яи) призиязов ив Ц. т.ст. 5 ся ИХ и оеяиитиноироо зостяноонркии -н, к/яко f-яя рфокте^зноо оозиодориория (ои-ядж-етнсотя) ото поудаезия г^га^нсэро тв-вца- .тс е а о

аяси р-0 - ггочае )) а 0 - /anc/Tapo- нот-отот ньдмноя оя^етепЕЗо X, сятодоо оероде/тя-еся ев-^ti^i^m -, то /И^жн й[:)анe/н^|;т^нo/:тн -с0 ^ ТЕ ела тсяоооое е/та1С1-<;саяЕс10кяте «то и ка хц и з Ц оСиадает свойством ё» записывается в висе е аино oи)нlиlиceoт.т^l)lиl -ред-окта с^ Ох-, е0 ^ л-- .,

Мали ри- |из^1детка ооятocepнocзей,X- ог^огоь^ое ikhо-/|^^^|гвО| ш0 е X . и <5ГаУЕ(^,т если н|то с^енв^ н, исс-енитнсз к оема-тита-ноИ ооссро/зано-оах'ою р щР, ияе е0 е 5 ,, ияо и^е^^тся сдодевн- я -еч1^о -^о е^ X .1 ко-о-от заа-осяя вается в форме триады (p) ё (xj которая интерпретиру-^нсьии! о-о пp^н^/н/но;:EвнocE"^|l гии,^ ен а с доeтoвepнoктыo °и или высказывание «точка е0 из Х обладает свойством ё с сомтнттнаcтcзй ,таo"-oяернорнlpЮ in».

Если б алее ттчно, тх согласно основным положениям математической информатики [8] под информа---(^NN01 описрнияя Д-оЕ п|тоижре/»ьнонс- 10-0X0-3-; понимается структурированная совокупность сведений Егинг^ —^nC-

^ee-^^i^Pi Г^ЕЖоОо = 5р"ТГ^Н^. (1)

В (1) сведения {(p) ё }(x) интерпретируются как «признак x из Х характеризуется свойством ё. с семан-

тической достоверностью/>.», р.- чо-множество призна-ковиз^, хасаойеочзующихся однойэие нны м свойством -С осХ , а м,- - се! 1\лант доттове рностьтого, что

хм5м

О» »»воеткве мн»)овоов[иа и сооганвоегв инфдрмаци-0нн0ч0 ччвис^их!!)^. [^ноосдгиоирэис/1 инфодаоиоьнов оаи-сание ^аКу0=з/'^П-р -<^<Ыо,ЧЫ:ЯК,;)еХс- -да Д - сеа10нптв0 под-|\вн^>з»нзстт те-че, чцо р ел е 0ом< 1 сеемсннги ооской

о р' е '

ТТ0ст(т^е>)И01Втьэс) ¡п. 3-я - можно чодобрачн иофироо-пнио^иыез опетсния ао^П =-ар'0-То)0 с Х МООС-0В, О ?»ц, "тгйЕЕ!(тон-кэ, «^тс:» Т», нны фко | о. о Тс,р' > т Ц. Улооо-

РСТИНСНО, О О Ту_ МНООеВЕРО Ю0»—-вТ р Т с?' НОПЫТИ -йоснй ОИОИВИВТ (. ^ ^св^^ ^Т^ Е!сЭ ) 0 : ТЫ = Цен, р-)х)Ц (

РнрНхО = Ц-ОсЮ •' ОМ -о /МО1/ " Оункцн- -^нсеоеж-

ноЫТи То ыЫТс За-й. СыОуОВСООООПО, ГХ(»^ЕЛ£ЭКНТ-|Ек.ЫО -Уфе---мсй-|гыс:)и»ны^гс^ опсоотио ¡П-С -г кТк'ОоГмГ р соотхоосывих в в ^т'^|\-;^'^х»кескс)й иафорымгч оой :(оп«аис^м>ке ед п|эч;^и:си^гах с аы1ыащт (00 Одрнрвоыыу -ы»»те^етыы^ терыыком еиеф-ствое ый .

ТЭКйУ оМоаЯ—Т, С(^ГЫ1^Н^ГК^:Ы1 ПТфоуКООТОТТПГО оои-ыкгткя пщэиознка»У1Е^ дожеи Доив иороотивстив 1-\1 —Оооое/ /СГГ^В^Ю^ ЧЫ^П>ОХ М(йО-^У5С;ТЕ^сЫ "роопо») (Т: СЗ/\^^0»3!СТ1)5/\:гН0, кожок //(ПиоМусыоетхсм и псиыФДЕесотпыо нокепипие оррусмкй тор °М.

..Лй—ИЛИМ- ч"Ко СОДСНИТй-ОКСВ итвоатсоющоя ТЮфОВ-мсмреттро) ептсртиТ туязкасок токупотспаас 0/0^x4 т^котт/в"":::' соестктиоосои ^^"ееоик1ы (дут ст измтцтотв и ттмфп^исттт) и, хои -совика. фосотупнк тдосы ко-п^^^ оесрсО" иыроиoвтcтcо 1\1-нтезс)Ю|^ тс)) и|оо)^)) сао Мтооо обу»-^-30101, пмфовмуооыпюые стпис<езиия пуяотуыос апрзаютфИс лссокке ПЯ1ФТ |оед)Ый|еннот cты() кт ни по путытсмкйн . йвиинлеф

ОеУИТИОйМОИО0 ТНфОуМРЦТИ С »¡УК КСТДОИСХеи омоооп

СЕМкниоитозЮ нотовуодстсои н -(31)31 -/ уиыви ее» ио се еосл-вдскрок" морты ^//в, кисыоимепкы спетое"0 ох—поты па ///"Е/|:о:—те 1И(И^(-1 /гК"0:,":; есниауоТ спивитных ^¡с^и^н^сыюссет-.

ЛенооепК) сто епппе)^ пхсотовыс п-снюзнах— х0 дХ обкатает своИвивом -\, гипс оиено ¡л тостиитрт моем -/

е по (.н-О-*00 -ип г но !/^:ет^«^н1гяя тоояузеыфоп посте двух д

еКССОНТОСТВ ПСТИИСОВ Юа ТО Ойтнслюесию с 0С0тУИВц с) П/Е0ЯЫНаТ"0/"/\Я С ТООк что он, сонм к с —ОЯЕ\сТ СТОП-ИД Т)й\1-Ит"Тбл(И>Н^ит СС—Тд дС\[Д ИООПСВОИОСОЖЯЫкОКСаЦСУМ: ПЛаЧи-— пуеаносов «аблaoс)щтo фцoпснoыФoTн >" е клаооу п|ияк ииалос, <^окви эЯовдйющто овотоноое 0». Сто ов-смыс-суяяфапа приткника eС ж онаидонтю ты ызмежлии3 \П мотет маекит. (оок ганнес/1!©.;!",,:- тдннадложиоссл тт/сснако1 г-д и

попсаом «0» /« «не 5 > ны-и^и!^!1 т.О1 —н0"и

0

д -—хО«В —е й - (=>УМ В- — 0° • д кодНа^т, оа^тмеосо т-

ос«Т ВС

мосте ггризоал^ 01406—взп^■ ко/т^^ прпзоак нстит^дл-н-ж(ЕН|-<н^^Н\Всзкоп-ном!<:и'я:э(си;";Е-/\^с^\ЕО(:г.е.Е\иТ|^ |/)Тк'^■ИИ0)К) =

\т У«^пО|\^ —и,1 ^^ "P^Еeе — , И. ИП^^Д^0\0 •

нкВ 0 н^^

Таким образом, показатель сыпуантической неопроде-лрнвoэ|\и \н^\|^нкона своИста— с^ ^ожно у-:)И5;8:-с::;т^Е^е1ть в виде показателя размьмо—он (меуы пэн")<сопо1"1( ^/й—^оо-^Е^-сиввющвыо Н-гЕ [£'-.

В частности, показатель се мантической неопределе нности не!четкии (^/¡о/ств с) еюянни определить по аналогии с шенноновской энтропией теории информа-цииввиделогарифмическойэнтропии:

е лн

d( Л) = koZ Sfn^)),

гнсе5^-^у^ки[ия LLIí^HHOH^ <S)T= -XiyT^JH- (1 -у) -y( и Я ["(^^(-улк^теэимзнгэя KckHc-^-í--(h^.

Cí-if^lio'iri^iai ез<етктс:)|эН1я^Х не^ч^ти;и>; OTHI^lU(t-H-í н^ед^енчт'е-рия к 1\лн;^т E3L1/-:

ho0ol = Xk-h/l--.;ot-

|/=i

гиркк!)И) -оэффиниеии ^а жн^су-и /ут нег1-,етес го о-;;ео^ тт-

ОИЯ ПрЛД/ОЧОДИНО ^ CtL-IOl/^IHiEíl/ и(1НН!Эф//\^:ЖНСГНТН d;

Спч-ожатилниан гк^сотнэрсоч!-^ нядачт тапгзитиЦ^тт;нтти янро^орионтою Н1яис<эд1тй -f3i^L\T0/\H|La0TL иддтиггенеионе iLioí:ro/::roH3 унзодоенси ^ино-г-юнтпгигов i^nc/if\HiHri;< г-гш^аг-п^с^ЕГ, i-líh^ етнорую icaifoo^/e^/L^H^i теч^ткиен /chíoí-c-bh ^ заснондосни стептгнеи0 |:)<|;з^-снггн!г-:'с^ но от тдлесстдсоГ c^ihlós^ти"-(еесунпн1-/яиэогттЕЕ^/Ге/н^нннстги нянчет/исттн нанИсну

[.-о^^р-а'тпЕэл^ с;^1Е\^|-1гги:не/гко|1Е юнraíc^ir^(иггинги^т^ггигонностл.^ п(-чеэткггх сггоФ^стЕЗ ^гнлл авсспотуот -ганяе1 гттЕсн;^отри'н\ -сг^ дяр/сч^ анонент гзгао/г-г^илеЕ^И!- якстг-'П'/и^ ib 1-кПчисм£зт\и-/ни^1 гг кинет н нП [ОН.

8. Стооено ркзделиооо ^©"ниэнггн^х n^K-r^^^oii^^oiH-ор/ин 0-С^13:^1-ГИ\1. ПОПЕТЬ Н^ C^nOfBH(8M МВОЖеЕПЗО П-)ИЗН)Э^ КЮГТ-3-У1;)ПТ^13^е/'Г^^-г1| ^Н^Г-С5"ПгГ|.1\^СГ^О^СГ1ГЕЗ^ ^^ == irl^cc^^нн,ч-(тЛ1^)[НН.

П1ониолялнаюОыоаие нез.|е!^|'Ги:лс:1воггтс^в^ С о По " iTé, oapi^H'r^^TCHi/.i ге^е/-нгия1^п nfHroHcH^rPiisr^iHocr^^ sup H-g -ол.- ^ ^u^ He (^л^: ^ игочк^н а. и с^. со\^-явеннсг"ви^ннгэ| н^о ече' питссе-

ч)е|иг5г^|=ге Т>^. го НИ прег-гн пг^ -о вт нгснстонинное ^ т<^ноние ^iLLj^iTL-\rTa\ ((■:н:) в з-1 Хкисывшая стге^енн= )sai^L^o--i(T^n^ ^нг^-

Л И (

непгкигк ^ягойстсЕЗ Ы- и Л), а/ости наондт ai нет)o ^ ^^ - -ги]ряг/н еР" ^тр). ^

г/ (

р -Ппп^ (ге1=ее^гтения =-л(^\/1ен'иг=П!" опгве=.аюк1:их сно^твес с^,. г^ЕЕ^ .П^-,. l^o^■-lo чсполввдвсть -^оггятие по|гю1^сН [нэг^зенгз-лнден icw. О рсссхнщЕивномлм сге;/ч гаг^ порхав р-заохан ох я о=|Пc;lнняe=^ »снесизм

I3./ <: ^ ^ [со тоЫГев ч/нп/г^ =Н г/1-)]Сг0^г^еИ (.лЫк

Н . 1 ли 1 Г

Лаки но вН^рг-аг^и^М' оря вн>| е =-1=1 а-нс^ го ноун-с уг^гиде^^ ни-^ Рг о(5/\^с"^и .Л3.. я -НО. |н^аЕ-н;с^ння с;|н)а-!5ннва1^мьэ1с эoоlЛЕeти тсзс онтосительнл н-еhmi-bhчп"1Энее пке(5iax oвi)а ссзсснв --^íт-ппгге^ - си^л^син сиадязеннн) П)^. иеет Ыл . i а о ., о и /твое-и^яинтсянечеткимиподмножествами уровня Лг:

чЦ "=" {[■лЧ I с-/е- 4=) í-1 i-?- ^ Н/00^ W, Трн1 00 и Л0= :н: -"-л I Ллеч^ (хЫ ^ ти^ i^4"!^ ^н^3-. О), HE- гГ-ы-;-^Л Т-ИЕ-/ всех л е _С//"г.

лчлосы кибep)бтзlп<гcты^ти. 20H0. № )(Н19)

Представленная выше модель обобщается на Онн

нечетктх свойотв б- , ) = И,ИМцл .

» 7 7 б

Если ¿Я-. = {(о,а- (-а)))}, ) = 1,0~ , - ограничетные ва1пукль=1^ нечетких свшитет. то нечеткие г^а^/нлан^жоеэ-с-(еЗ^ - о-, - г—,...— о нД.-Х.гМ.нМ-1 оОО Пело тавжо лттяоин-мт и огкенттенномо. Иаков о(э|э<Е1.чо^, можа оп|;й^ат^'^е!"^ГЕ сбластт М^Мг.-МСпе еы -^а^п^,багТра,Еаолрвл гармонтои /в ион пс^льт^снваноем нпднего л вархнего порэогов разделен: ЛЛ -<: оойплпап папТаТХтТл То)] и

ЯЛ а л ХС

Рн < т<е лом Тр /"аД Ин »с)].

),(' а ¿П. Ц

с-зцеаення н н! финлинст ^¿¡¡ннбльт' снЕиято нечеттими -ролнекыян онождатоасИ1 ап'еолля-ЛООГНОШеИНРОТ

=Я0 = Нй( I 1О0 (о) г тт покат.: ек!^!10^^ Ьа)Е (=п И Ц

в г,( к *< )]

М- = {а | /= (л) > тпхн <<пи (о(, /= (л)]}

Х л Л г'

й-п дайх о(тМ{,б=Т,-

Есел и^с(он- = НО. л и— (й-ОХ 0-)т- сведони^ ан тоне, тн-нннатлТхс^лдоепард^илоо Гц ее семенеитбмкой ОЕСноаеенолтинп (рЯ. Зееви —. ~ мчож6снвм ¡.ер-инн Ри ^е\|е:стконс:) сней-тьи Хх . ХнОе-нное -н п"н^^^(алиЕ/о н длг Пр.:.

Пгсмь Л(Хд0 д {(рЯИдГПХЕ -я ^)|^Н11И 11^1=»):^ поДора

п^а-11!^):)1иия;д ^ч^^о;гант!Е, Е о 1- (Ц, ги о )0° , (ГТ - .-п)-сп>1^^ неоших е^-лэ-!")-"-; н ^яд^спиитети^ диноанин, Ор -НИСЕ1\- ПЕНИМЫХ ИН<ЛС1|Н1\Я1^ЦИОИ-О\1Е^;)Е опистноли, и ЛТо{С = {(ояОХХ.ЖяЕоЯ ^ пнсЦл^ЕстЕла^Е/и^ нногн тисеанни

ОИТ-ИЫХ К.Т1С"СИ^1^0Р; \3д^ст — с-зн цуанЛПЕЕИ€5 /'^Е^О С^ЕХС^ИИСТНЕИНТ

до втЕцн-в ннфoлмдрнoпнoм "с-гсидепнл о0Е г-н т;зл1 а-чтпне с'-го -вагина с»))»::^ ль и гн/1^1^):с нпроамтоион ноего отнь оанни .р.

<цЬoн^:^:нлtпнл ешэнаппноосс нодонт тддтттДнанрнн ММ предполагает

1) фалмирнвгнте адоанинтеавих мопвнр рлн нзое-рення .и инт^рниреи<^1дпис е1ен^а1ии:н -воТоим вооринго и нроинмых }г■нсЯcлолРЕЕiисеaагo оллисан^^н; 1) ИЗН-ЕЕЕЗ/ООе^^НЕСе аПOИеПHН

Над (н1)е.е " 1*;г1||1 ИТ (О о »Я Я Че- ) ( ГЕНЕ

где Cg (х0,xso) - степень сходства хранимого xso и схддтдыД е0 описаний относительно значений свой-атвга ¿с хсеномдпн M) и входноод ГВ0 инфор рсгиционно-го описания; _

3) с«пж:пе;;гдо/\^нн^ 1^^|зхнёоно Вн и нижнего В-О гнсдв-гов |-ап!/!-\//\вних х|опоидо1;< инс))а|эмн1^|.)онон1\н нооис^ниРС с еоеоим cia^co^c;1^!^^ Jen!^^.T:)),.e:S(Ha) с ххоевым

и^((51:з^^с\1Н^1::но1п.1^ опип-втаниетпл инн"нос;п1^€ио\ни10 нечеиких свойст^ п"

г

^^ класс^ис0|и^иа)1^13а11-1ис^ ^fnn^Hciotaix о1нс))1г:|Э)сацопонных сзпхисглн^Н0 ^о ^тоз^^иянп c\>^п:-и<mгEп;5^ с чисндн^^!: информаци-гснп^|^||-п осньаннтм:

x^cHi^^ciia н^c^lы:вмг\ои(аcчнl:Cle описания экиниисент-внх^^ег р:иo^нol^г-с и^c|Пo|-llпг;неиониокч описааиисз

фэ I ое^ ^-ен0 ^ -^г- )2вВг}, (зи

ф п в i1^^. | ]Нг <) о^р^ ^J}^ о ex. ) ^ Й^В , H4)

ФовМОе \ пс^т^^-со,)):,-^ ^ В}в} ^ (5)

5) по знc|lп^ни^м (2)определитьпредпочтения

вр ( ^^ , е)) = /(Х0рпиоп -с -eisoCc^xjo. (6)

сПЗ;;|\1рн^/ззе^иисиисавентные, идентичные, похожие и непохожиехранимыеИОпоотношениювходного ИО.

Есс^ Пт'^ =о1 и »'ОоИег непустое множество, то

е (сФо эквивалентныеинформационныеописания.

Выводы

1. Показано, что семантическая составляющая информационных описаний признаков компьютерных атак предполагает наличие некоторой семантической метрики (для ее измерения и интерпретации) и, как правило, формально плохо определена, неоднозначно интерпретирована и характеризуются неопределенностью типа нечеткости, наличием семантической информации и невозможностью непосредственного применения вероятностной меры для определения степеней сходстваинформационныхописанийпризнаков.

2. Предложен подход к идентификации нечетких информационных описаний признаков компьютерных атак и применения методов разделения элементов ,опорных множеств, на которых определены эти инфор-мационныеописания.

3. Показано, что результаты процедуры идентификации нечетких информационных описаний признаков компьютерных атак зависят от степеней разделения опорных множеств и от показателей семантической не-определенностиэтихописаний.

Литература:

1. Атагимова Э.И., Макаренко Г.И., Федичев В.А. Информационная безопасность. Терминологический словарь в определениях действующего законодательства/Федеральное бюджетное учреждение «Научный центр правовой информации при Министерстве юстиции Российской Федерации». Москва. 2017. (Издание 3-е). 448 с.

2. Butusov I.V., Romanov A.A. Methodology of security assessment automated systems as object critical information infrastructure // Вопросы кибербезопасности №1(24). 2018. С. 2-10 DOI: 10.21681/2311-3456-2018-1-2-10

3. Климов С.М., Сычев М.П., Астрахов А.В. Противодействие компьютерным атакам. Методические основы: Электронное учебное издание. М.: МГТУ имени Н.Э. Баумана, 2013. 108 с . // URL: http://wwwcdl.bmstu.ru/iu10/comp-atak-metod.htm

4. Марков А.С. Техническая защита информации. Курс лекций / учебное пособие. М. АИСНТ. 2020. 234 с., ISBN 978-5-9500695-3-1

Новейшее учебное пособие, программа которого согласована со ФСТЭК России. Материал издания соответствует программе курса повышения квалификации «002.Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа»

5. Нечёткий поиск в тексте и словаре. 2011. https://habr.com/ru/post/114997/

В работе представлены результаты сравнительного тестирования качества и производительности семи алгоритмов нечеткого поиска (также известного как поиск по сходству или fuzzy string search), которые являются основой систем проверки орфографии и полноценных поисковых систем вроде Google или Yandex. На основе этого анализа для сравнения сходства двух символьных строк выбрана метрика Расстояние Дамерау-Левенштейна.

6. Рейуорд-Смит В. Дж. Теория формальных языков. Вводный курс: пер. с англ. М.: Радио и связь, 1988. 128 с.

В области определения над некоторым алфавитом строк и построения префиксных деревьев пока нового ничего не придумано.

7. Чечкин А.В. Математическая информатика. М.: Наука, 1991. 416с.

Это единственная известная нам отечественная монография (зарубежные аналоги нам не известны) в которой с позиций теоретической информатики формализуются такие понятия, как «сведения», «данные» и «информация» о точке, с использованием которых формируются информационные описания.

8. Аверкин А.Н., Батыршин И.З. и др. Нечеткие множества в моделях управления и искусственного интеллекта. М.: Наука. Гл. ред. физмат. лит., 1986. 312 с.

Наиболее известная монография, в которой впервые в отечественной литературе изложена общая точка зрения на состояние работ в области нечетких множеств и их применений для решения задач управления и искусственного интеллекта

9. Нечеткие множества и теория возможностей. Последние достижения. Сборник научных статей / Под ред. Р.Р. Ягера.-М.: Радио и связь, 1986.- 408 с.

В сборнике решена научная задача разделения элементов опорных множеств, на которых определены предпочтения в виде нечетких множеств (известная как задача разделения на торговые зоны). Имеется ряд интерпретаций этой задачи. В нашем случае предложен подход к идентификации нечетких информационных описаний признаков компьютерных атак и применению методов разделения элементов опорных множеств, на которых определены эти информационные описания.

PREVENTION OF INFORMATION SECURITY INCIDENTS

IN AUTOMATED INFORMATION SYSTEM

Butusov I.V6.,Romanov A.A7.

The purpose of the article is to support the processes of preventing information security incidents in conditions of high uncertainty.

Method: methods of mathematical (theoretical) computer science and fuzzy set theory.

Result: an information security Incident, including a computer incident, is considered as a violation or termination of the functioning of an automated information system and (or) a violation of information stored and processed in this system, including those caused by a computer attack. Information descriptions are presented in the form of structured data about signs of computer attacks. Structured data is the final sequence of strings of symbols in a formal language. The Damerau-Levenstein editorial rule is proposed as a metric for measuring the distance between strings of characters from a particular alphabet. The possibility of presenting the semantics of information descriptions of attack features in the form of fuzzy sets is proved. Thresholds (degrees) of separation of fuzzy information descriptions

6 Igor V. Butusov, Head of Research Department JSC "concern SYSTEMPROM", Moscow, Russia. E-mail: butusigor@yandex.ru

7 Aleksandr A. Romanov, Dr.Sc. (In Tech.), Chief specialist JSC "concern SYSTEMPROM", Moscow, Russia. E-mail: ralexhome@yandex.ru

sc

Вопросы кибербезопасности. 2020. № 5(39)

are defined. The influence of semantic certainty of information descriptions of features (degrees of blurring of fuzzy information descriptions) on the decision-making about their identity (similarity) is evaluated. It is shown that the semantic component of information descriptions of signs of computer attacks presupposes the presence of some semantic metric (for its measurement and interpretation), which, as a rule, is formally poorly defined, ambiguously interpreted and characterized by uncertainty of the type of fuzziness, the presence of semantic information and the inability to directly apply a probabilistic measure to determine the degree of similarity of input and stored information descriptions of signs. An approach is proposed to identify fuzzy information descriptions of computer attacks and to apply methods for separating elements of reference sets on which these information descriptions are defined. It is shown that the results of the procedure for identifying fuzzy information descriptions of computer attacks depend on the degree of separation of the reference sets and on the indicators of semantic uncertainty of these descriptions.

Keywords: signs of a computer attack, information description, semantics, uncertainty, fuzzy set, membership function, degree of separation, information, alphabet, character strings, editorial distance.

References:

1. Atagimova E\I., Makarenko G.I., Fedichev V.A. Informatcionnaia bezopasnost\ Terminologicheskir slovaP v opredeleniiakh dePstvuiushchego zakonodatePstva/FederaPnoe biudzhetnoe uchrezhdenie «Nauchny~P centr pravovoP informatcii pri Ministerstve iustitcii RossiPskoP Federatcii». Moskva. 2017. (Izdanie 3-e). 448 s.

2. Butusov I.V., Romanov A.A. Methodology of security assessment automated systems as object critical information infrastructure // Voprosy~ kiberbezopasnosti №1(24). 2018. S. 2-10 DOI: 10.21681/2311-3456-2018-1-2-10

3. Climov S.M., Sy~chev M.P., Astrahov A.V. ProtivodePstvie komp~iuterny~m atakam. Metodicheskie osnovy~: E~lektronnoe uchebnoe izdanie. M.: MGTU imeni N.E\ Baumana, 2013. 108 s . // URL: http://wwwcdl.bmstu.ru/iu10/comp-atak-metod.htm

4. Markov A.S. Tekhnicheskaia zashchita informatcii. Kurs lektciP / uchebnoe posobie. M. AISNT. 2020. 234 s., ISBN 978-5-95006953-1

5. NechyotkiP poisk v tekste i slovare. 2011. https://habr.com/ru/post/114997/

6. RePuord-Smith V. Dzh. Teoriia formaPny~kh iazy~kov. Vvodny~P kurs: per. s angl. M.: Radio i sviaz\ 1988. 128 s.

7. Chechkin A.V. Matematicheskaia informatika. M.: Nauka, 1991. 416s.

8. Averkin A.N., Baty~rshin I.Z. i dr. Nechetkie mnozhestva v modeliakh upravleniia i iskusstvennogo intellekta. M.: Nauka. Gl. red. fiz-mat. lit., 1986. 312 s.

9. Nechetkie mnozhestva i teoriia vozmozhnosteP. Poslednie dostizheniia. Sbornik nauchny~kh stateP / Pod red. R.R. Iagera.-M.: Radio i sviaz\ 1986.- 408 s.