УСТРОЙСТВО ВЫЯВЛЕНИЯ НЕСАНКЦИОНИРОВАННЫХ ВОЗДЕЙСТВИЙ НА ИНФОРМАЦИОННУЮ ТЕЛЕКОММУНИКАЦИОННУЮ СИСТЕМУ Российский патент 2014 года по МПК G08B29/00 H04L12/22 

Изобретение относится к области радиотехники, в частности, к способам и технике информационной безопасности (ИБ) и может использоваться для исключения утечки и разрушения информации в информационных телекоммуникационных системах (ИТКС).

Известно такое устройство, как нейронная сеть типа многослойный персептрон (фиг.1) (см., например, Хайкин С. Нейронные сети. Полный курс. М.: Вильяме, 2006. - с.219-341; Осовский С. Нейронные сети для обработки информации. М.: ФиС, 2003. - с.46-86; Круглов В.В., Борисов В.В. Искусственные нейронные сети. Теория и практика. - 2-е изд. стереотип. М.: Горячая линия-Телеком, 2002. - с.53-58), включающее блок входного слоя нейронов 1, состоящий из Р нейронов, каждый из которых имеет один вход и один выход, блок промежуточного (скрытого) слоя нейронов 2, состоящий из Q нейронов, каждый из которых имеет Р входов и один выход, блок выходного слоя нейронов 3, состоящий из R нейронов, каждый из которых имеет Q входов и один выход, при этом p-е входы всех нейронов блока промежуточного (скрытого) слоя нейронов объединены и соединены с выходом p-го нейрона блока входного слоя нейронов, где , a q-e входы всех нейронов блока выходного слоя нейронов объединены и соединены с выходом q-го нейрона блока промежуточного скрытого слоя нейронов, где .

Однако указанное устройство-аналог предназначено для обнаружения только одного класса несанкционированных воздействий (НСВ).

Наиболее близким по технической сущности (прототипом к предполагаемому изобретению) является устройство выявления НСВ, представленных вредоносными программами (компьютерными вирусами) (см., например, Bezobrazov, S. Neural networks and artificial immune systems - malware detection tool / S. Bezobrazov // OWD: proceedings of the X International PhD Workshop. - Gliwice, 2008. - с.465-469; Bezobrazov, S. Artifical immune system approach for malware detection: neural networks applying for immune detectors construction / S.Bezobrazov, V.Golovko // International journal of «Computing». - 2008. Vol.7, no.2. - с.44-50), включающее блок детекторов, состоящий из N детекторов (в данном случае N=4), каждый из которых имеет один вход и два выхода, и классификатор, имеющий 2N входов и один выход, при этом (2i-1)-е входы классификатора, где , соединены с первыми выходами каждого детектора блока детекторов, 2i-е входы классификатора соединены со вторыми выходами каждого детектора блока детекторов, а входы всех детекторов блока детекторов объединены.

Однако устройство-прототип имеет ряд недостатков.

Во-первых, обеспечивается выявление только вредоносных программ (вирусов).

Во-вторых, ограничено число классов выявляемых вредоносных программ (вирусов) (N=4).

Задача, на решение которой направлено заявляемое устройство выявления несанкционированных воздействий на информационную телекоммуникационную систему, состоит в обеспечении возможности выявления новых классов НСВ и снятии жестких ограничений на количество обнаруживаемых классов несанкционированных воздействий.

Технический результат изобретения выражается в расширении классов обнаруживаемых НСВ.

Технический результат достигается тем, что в известном устройстве выявления НСВ, включающем блок детекторов, состоящий из N детекторов, каждый из которых имеет один вход и два выхода, и классификатор, имеющий 2N входов и один выход, при этом (2i-1)-e входы классификатора, где , соединены с первыми выходами каждого детектора блока детекторов, 2i-е входы классификатора соединены со вторыми выходами каждого детектора блока детекторов, а входы всех детекторов блока детекторов объединены, дополнительно введены устройство ввода исходного количества классов, сумматор, преобразователь кодов, имеющий N выходов, первый и второй блоки ключей, состоящие из N ключей каждый, блок сравнения, состоящий из N устройств сравнения, логический элемент ИЛИ-НЕ, ключ и база данных классов НСВ, имеющая N выходов, при этом выход устройства ввода исходного количества классов соединен с первым входом сумматора, второй вход которого подключен к выходу логического элемента ИЛИ-НЕ, вход преобразователя кодов и первый вход ключа объединены и соединены с выходом сумматора, j-й выход преобразователя кодов, где , подключен ко второму входу j-го ключа первого блока ключей и второму входу j-го ключа второго блока ключей, первые входы всех ключей первого блока ключей объединены для подачи входного воздействия, выход j-го ключа первого блока ключей соединен с входом соответствующего детектора блока детекторов, выход классификатора соединен с объединенными первыми входами устройств сравнения блока сравнения, с первым входом базы данных классов НСВ и является выходом устройства выявления несанкционированных воздействий на информационную телекоммуникационную систему, вторые входы j-го устройства сравнения блока сравнения соединены с соответствующими выходами ключей второго блока ключей, выход j-го устройства сравнения блока сравнения подключен к j-му входу логического элемента ИЛИ-НЕ, с выходом которого соединен второй вход ключа, выход ключа подключен ко второму входу базы данных классов НСВ, первые входы ключей второго блока ключей подключены к соответствующим выходам базы данных классов НСВ.

Сущность изобретения заключается в сравнении анализируемых несанкционированных воздействий с заданными классами НСВ, выявлении новых классов НСВ и их учете в процессе дальнейшей классификации НСВ.

Структурная схема предложенного устройства выявления несанкционированных воздействий на информационную телекоммуникационную систему приведена на фиг.2.

Предложенное устройство выявления несанкционированных воздействий на информационную телекоммуникационную систему состоит из устройства ввода исходного количества классов 4, сумматора 5, преобразователя кодов 6, первого блока ключей 7, блока детекторов 8, второго блока ключей 9, классификатора 10, базы данных классов НСВ 11, блока сравнения 12, ключа 13 и логического элемента ИЛИ-НЕ 14, соединенных как показано не фиг.2.

Устройство ввода исходного количества классов 4 предназначено для задания известного количества классов НСВ. Сумматор 5 обеспечивает суммирование сигналов, поступающих на его первый и второй входы с выходов устройства ввода исходного количества классов 4 и логического элемента ИЛИ-НЕ 14 соответственно. Преобразователь кодов 6 служит для преобразования кода сигнала с выхода сумматора 5 в код управления первым и вторым блоками ключей 7 и 9. Первый блок ключей 7 в соответствии с сигналами, поступающими из преобразователя кодов 6, подключает входное воздействие ко входам детекторов блока детекторов 8. Блок детекторов 8 определяет наличие во входном воздействии несанкционированной или легальной составляющих. Второй блок ключей 9 в соответствии с сигналами, поступающими из преобразователя кодов 6, подключает выходы базы данных классов НСВ 11 ко вторым входам соответствующих устройств сравнения блока сравнения 12. Классификатор 10 предназначен для определения класса НСВ. База данных классов НСВ 11 обеспечивает хранение информации об известных классах НСВ и запись вновь выявленных классов НСВ. Блок сравнения 12 осуществляет сравнение в N каналах сигналов, поступающих с выхода классификатора 10, и сигналов из базы данных классов НСВ 11, соответствующих известным классам НСВ. Ключ 13 по сигналу логической единицы, поступающему на его второй вход от логического элемента ИЛИ-НЕ 14, обеспечивает подключение выхода сумматора 5 на второй (адресный) вход базы данных классов НСВ 11. Логический элемент ИЛИ-НЕ 14 вырабатывает на своем выходе сигнал логической единицы при появлении НСВ, не отнесенного ни к одному из известных классов, информация о которых хранится в базе данных классов НСВ 11.

Заявляемое устройство выявления несанкционированных воздействий на информационную телекоммуникационную систему работает следующим образом.

В базу данных НСВ 11 заблаговременно записываются коды, соответствующие известным классам НСВ. Количество известных классов НСВ вводится с помощью устройства ввода исходного количества классов 4. Цифровой код введенного значения подается на первый вход сумматора 5, на второй вход которого подается сигнал с выхода логического элемента ИЛИ-НЕ 14 и в результате на выходе сумматора 5 формируется сумма сигналов, присутствующих на его входах. Полученный сигнал подается на первый вход ключа 13 и, кроме того, на вход преобразователя кодов 6, в котором преобразуется к виду, необходимому для управления первым и вторым блоками ключей 7 и 9 (например, если на выходе сумматора 5 имеется двоичный код числа 3, а именно 11, то на выходе преобразователя кодов при N=4 будет сформирован сигнал в виде двоичного кода 1110). С j-го выхода преобразователя кодов 6 сигнал поступает на вторые входы соответствующих ключей первого и второго блока ключей 7 и 9. Входное воздействие поступает на объединенные первые входы ключей первого блока ключей 7 и при наличии на втором входе j-го ключа первого блока ключей 7 сигнала логической единицы поступает на входу-го детектора блока детекторов 8. В задействованных детекторах блока детекторов 8 определяется наличие во входном воздействии несанкционированной или легальной составляющих. Сигналы с выхода блока детекторов 8 поступают на входы классификатора 10, который определяет класс НСВ и формирует цифровой код воздействия на выходе устройства выявления несанкционированных воздействий на информационную телекоммуникационную систему. Кроме того, сигнал с выхода классификатора 10 поступает на первый вход базы данных классов НСВ 11 и на объединенные первые входы устройств сравнения блока сравнения 12. На второй вход j-го устройства сравнения 12 сигнал подается с выхода соответствующего ключа второго блока ключей 9. На первый вход j-го ключа второго блока ключей 9 сигнал поступает с соответствующего выхода базы данных классов НСВ 11 и при наличии на втором входе j-го ключа второго блока ключей 9 сигнала логической единицы данный сигнал подается на второй входу-го устройства сравнения блока сравнения 12. В задействованных таким образом устройствах сравнения блока сравнения 12 сравниваются цифровые коды, поступающие из классификатора 10 и базы данных классов НСВ 11. При этом на выходе устройства сравнения блока сравнения 12 сигнал логической единицы формируется только в случае, если данное устройство сравнения задействовано и цифровые коды на его входах равны. Это обеспечивает формирование логическим элементом ИЛИ-НЕ 14 на своем выходе сигнала логической единицы только при обнаружении неизвестного класса НСВ. Этот сигнал с выхода логического элемента ИЛИ-НЕ 14 подается на второй вход сумматора 5, увеличивая сформированную им сумму на единицу, и на второй вход ключа 13, подключая сигнал с выхода сумматора 5 на второй вход базы данных классов НСВ 11. Таким образом, в базе данных классов НСВ 11 оказывается записанным очередной класс НСВ, который будет учитываться в дальнейшей работе устройства выявления несанкционированных воздействий на информационную телекоммуникационную систему.

Эффективность функционирования устройства можно оценить, воспользовавшись коэффициентом увеличения количества обнаруживаемых классов НСВ:

где N и N' - количество классов НСВ в устройстве-прототипе и заявляемом устройстве соответственно.

Например, при N=4 и N'=512 количество обнаруживаемых классов НСВ увеличивается по сравнению с устройством-прототипом в 128 раз.

Таким образом, в предложенном устройстве выявления несанкционированных воздействий на информационную телекоммуникационную систему расширение классов обнаруживаемых НСВ обеспечивается за счет сравнения анализируемых несанкционированных воздействий с заданными классами НСВ, выявления новых классов НСВ и их учета в процессе дальнейшей классификации НСВ.

Предлагаемое техническое решение является новым, поскольку из общедоступных сведений неизвестно устройство выявления несанкционированных воздействий на информационную телекоммуникационную систему, отличающееся от известного устройства выявления НСВ, включающего блок детекторов, состоящий из N детекторов, каждый из которых имеет один вход и два выхода, и классификатор, имеющий 2N входов и один выход, при этом (2i-1)-е входы классификатора, где , соединены с первыми выходами каждого детектора блока детекторов, 2i-е входы классификатора соединены со вторыми выходами каждого детектора блока детекторов, а входы всех детекторов блока детекторов объединены, тем, что дополнительно введены устройство ввода исходного количества классов, сумматор, преобразователь кодов, имеющий N выходов, первый и второй блоки ключей, состоящие из N ключей каждый, блок сравнения, состоящий из N устройств сравнения, логический элемент ИЛИ-НЕ, ключ и база данных классов НСВ, имеющая N выходов, при этом выход устройства ввода исходного количества классов соединен с первым входом сумматора, второй вход которого подключен к выходу логического элемента ИЛИ-НЕ, вход преобразователя кодов и первый вход ключа объединены и соединены с выходом сумматора, i-й выход преобразователя кодов, где , подключен ко второму входу j-го ключа первого блока ключей и второму входу j-го ключа второго блока ключей, первые входы всех ключей первого блока ключей объединены для подачи входного воздействия, выход j-го ключа первого блока ключей соединен с входом соответствующего детектора блока детекторов, выход классификатора соединен с объединенными первыми входами устройств сравнения блока сравнения, с первым входом базы данных классов НСВ и является выходом устройства выявления несанкционированных воздействий на информационную телекоммуникационную систему, вторые входы j-го устройства сравнения блока сравнения соединены с соответствующими выходами ключей второго блока ключей, выход j-го устройства сравнения блока сравнения подключен к j-му входу логического элемента ИЛИ-НЕ, с выходом которого соединен второй вход ключа, выход ключа подключен ко второму входу базы данных классов НСВ, первые входы ключей второго блока ключей подключены к соответствующим выходам базы данных классов НСВ.

Предлагаемое техническое решение имеет изобретательский уровень, поскольку из опубликованных научных данных и известных технических решений явным образом не следует, что устройство выявления несанкционированных воздействий на информационную телекоммуникационную систему позволяет в процессе функционирования увеличивать количество обнаруживаемых классов НСВ.

Предлагаемое техническое решение промышленно применимо, так как для его реализации могут быть использованы типовые импульсные и цифровые устройства (см., например, Браммер Ю.А., Пащук И.Н. Импульсные и цифровые устройства: Учеб. для студентов электрорадиоприборостроительных сред. спец. учеб. заведений, 6-е изд., перераб. и доп. - М.: Высшая школа, 2002; Симонович С.В. и др. Большая книга персонального компьютера. - М.: ОЛИА Медиа Групп, 2007; Угрюмов Е.П. Цифровая схемотехника: Учеб. пособие для вузов. - 2-е изд., перераб. и доп. - СПБ.: БХВ-Петербург, 2005; Комарцова Л.Г., Максимов А.В. Нейрокомпьютеры: Учеб. пособие для вузов. - 2-е изд., перераб. и доп. - М.: Изд-во МГТУ им. Н.Э.Баумана, 2004).

Так, устройство ввода исходного количества классов 4 выполняется на базе ЭВМ со стандартной клавиатурой (см., например, Симонович С.В. и др. Большая книга персонального компьютера. - М.: ОЛИА Медиа Групп, 2007). Ключи в первом и втором блоках ключей 7 и 9, ключ 13, реализуются с использованием схем, например транзисторных ключей (см., например. Браммер Ю.А., Пащук И.Н. Импульсные и цифровые устройства: Учеб. для студентов электрорадиоприборостроительных сред. спец. учеб. заведений, 6-е изд., перераб. и доп. - М.: Высшая школа, 2002. - с.68-81). Построение базы данных классов НСВ 11 осуществляется с использованием полупроводниковых запоминающих устройств (см., например, Браммер Ю.А., Пащук И.Н. Импульсные и цифровые устройства: Учеб. для студентов электрорадиоприборостроительных сред. спец. учеб. заведений. 6-е изд., перераб. и доп. - М.: Высшая школа, 2002. - с.295-305). Для реализации логического элемента ИЛИ-НЕ 14 могут быть использованы известные типовые схемы (см., например, Браммер Ю.А., Пащук И.Н. Импульсные и цифровые устройства: Учеб. для студентов электрорадиоприборостроительных сред. спец. учеб. заведений. 6-е изд., перераб. и доп. - М.: Высшая школа, 2002. - с.106-114). Сумматор 5 выполняется по известным схемам (см., например, Браммер Ю.А., Пащук И.Н. Импульсные и цифровые устройства: Учеб. для студентов электрорадиоприборостроительных сред. спец. учеб. заведений. 6-е изд., перераб. и доп. - М.: Высшая школа, 2002. - с.275-284; Угрюмов Е.П. Цифровая схемотехника: Учеб. пособие для вузов. - 2-е изд., перераб. и доп. - СПБ.: БХВ-Петербург, 2005. - с.114-129). В качестве устройства сравнения блока сравнения 12 могут быть использованы цифровые компараторы (см., например, Браммер Ю.А., Пащук И.Н. Импульсные и цифровые устройства: Учеб. для студентов электрорадиоприборостроительных сред. спец. учеб. заведений. 6-е изд., перераб. и доп. - М.: Высшая школа, 2002. - с.271-274; Угрюмов Е.П. Цифровая схемотехника: Учеб. пособие для вузов. - 2-е изд., перераб. и доп.- СПБ.: БХВ-Петербург, 2005. - с.100-103). Преобразователь кодов 6 выполняется по известным схемам (см., например, Браммер Ю.А., Пащук И.Н. Импульсные и цифровые устройства: Учеб. для студентов электрорадиоприборостроительных сред. спец. учеб. заведений. 6-е изд., перераб. и доп. - М.: Высшая школа, 2002. - с.311-315). Детекторы блока детекторов 8 и классификатор 10 реализуются, например, путем применения программируемых логических интегральных схем (ПЛИС) (см., например, Комарцова Л.Г., Максимов А.В. Нейрокомпьютеры: Учеб. пособие для вузов. - 2-е изд., перераб. и доп. - М.: Изд-во МГТУ им. Н.Э.Баумана, 2004. - с.354-361), цифровых сигнальных процессоров (ЦСП) (см., например, Комарцова Л.Г., Максимов А.В. Нейрокомпьютеры: Учеб. пособие для вузов. - 2-е изд., перераб. и доп. - М.: Изд-во МГТУ им. Н.Э.Баумана, 2004. - с.363-366) или нейрочипов (см., например, Комарцова Л.Г., Максимов А.В. Нейрокомпьютеры: Учеб. пособие для вузов. - 2-е изд., перераб. и доп. - М.: Изд-во МГТУ им. Н.Э.Баумана, 2004. - с.366-393).

Изобретение относится к области радиотехники и предназначено для исключения утечки и разрушения информации в информационных телекоммуникационных системах. Технический результат изобретения выражается в расширении классов обнаруживаемых несанкционированных воздействий. Сущность изобретения заключается в сравнении анализируемых несанкционированных воздействий с заданными классами несанкционированных воздействий, выявлении новых классов несанкционированных воздействий и их учете в процессе дальнейшей классификации несанкционированных воздействий. Для этого введено устройство ввода исходного количества классов, сумматор, преобразователь кодов, блоки ключей и блок сравнения. При этом выход классификатора несанкционированного воздействия соединен с объединенными первыми входами устройств сравнения блока сравнения, с первым входом базы данных классов несанкционированных воздействий и является выходом устройства выявления несанкционированных воздействий на информационную телекоммуникационную систему, вторые входы j-го устройства сравнения блока сравнения соединены с соответствующими выходами ключей второго блока ключей, выход j-го устройства сравнения блока сравнения подключен к j-му входу логического элемента ИЛИ-НЕ, с выходом которого соединен второй вход ключа, выход ключа подключен ко второму входу базы данных классов несанкционированных воздействий, первые входы ключей второго блока ключей подключены к соответствующим выходам базы данных классов несанкционированных воздействий. 2 ил.

Устройство выявления несанкционированных воздействий на информационную телекоммуникационную систему, включающее блок детекторов, состоящий из N детекторов, каждый из которых имеет один вход и два выхода, и классификатор, имеющий 2N входов и один выход, при этом (2i-1)-е входы классификатора, где , соединены с первыми выходами каждого детектора блока детекторов, 2i-e входы классификатора соединены со вторыми выходами каждого детектора блока детекторов, а входы всех детекторов блока детекторов объединены, отличающееся тем, что дополнительно введены устройство ввода исходного количества классов, сумматор, преобразователь кодов, имеющий N выходов, первый и второй блоки ключей, состоящие из N ключей каждый, блок сравнения, состоящий из N устройств сравнения, логический элемент ИЛИ-НЕ, ключ и база данных классов несанкционированных воздействий, имеющая N выходов, при этом выход устройства ввода исходного количества классов соединен с первым входом сумматора, второй вход которого подключен к выходу логического элемента ИЛИ-НЕ, вход преобразователя кодов и первый вход ключа объединены и соединены с выходом сумматора, j-й выход преобразователя кодов, где , подключен ко второму входу j-го ключа первого блока ключей и второму входу j-го ключа второго блока ключей, первые входы всех ключей первого блока ключей объединены для подачи входного воздействия, выход j-го ключа первого блока ключей соединен с входом соответствующего детектора блока детекторов, выход классификатора соединен с объединенными первыми входами устройств сравнения блока сравнения, с первым входом базы данных классов несанкционированных воздействий и является выходом устройства выявления несанкционированных воздействий на информационную телекоммуникационную систему, вторые входы j-го устройства сравнения блока сравнения соединены с соответствующими выходами ключей второго блока ключей, выход j-го устройства сравнения блока сравнения подключен к j-му входу логического элемента ИЛИ-НЕ, с выходом которого соединен второй вход ключа, выход ключа подключен ко второму входу базы данных классов несанкционированных воздействий, первые входы ключей второго блока ключей подключены к соответствующим выходам базы данных классов несанкционированных воздействий.