Показать метаданные Скрыть метаданные

(19)

(11)

2 764 873

(13)

(51)

МПК

G06F21/55(2013-01-01)

(21) (22)

Заявка

2020139417, 2020-12-01

(24)

Дата начала отсчета патента

2020-12-01

(22)

дата подачи заявки

2020-12-01

(45)

опубликовано

2022-01-21

(72)

авторы

Дементьев Иван Владимирович

(73)

патентообладатели

Акционерное Общество

(56)

Документы, цитированные в отчете о поиске

ЗАЙЦЕВА О.Юи др"Модель бифуркаций в анализе безопасности процессов в системах", Успехи современного естествознания N8 2010, опублJONATHAN TOUBOUL "Bifurcation Analysis of a General Class of Nonlinear

Способ обнаружения аномалий в инфокоммуникационных системах Российский патент 2022 года по МПК G06F21/55

Описание патента на изобретение RU2764873C1

Предлагаемый способ относится к области защиты информации (диагностике и контролю функционирования) и может быть использован в информационно-коммуникационных, телекоммуникационных (далее инфокоммуникационных) системах для определения признаков их аномального функционирования. Аномальное функционирование может быть вызвано любыми причинами: от неправильных действий оператора до кибервоздействия на систему.

Тенденция развития современных средств информационных воздействий (кибервоздействий) на инфокоммуникационные системы направлена в сторону повышения их скрытности. Более того, кибервоздействия зачастую являются априорно неопределенными для системы защиты (антивирусов, систем обнаружения вторжений). Поэтому для обнаружения ранее неизвестного воздействия необходим подход, направленный на обнаружение косвенных признаков этого воздействия, выражающихся в изменении характера функционирования защищаемой системы.

В заявке RU 2004100462, G09B 19/00, предложен способ квалиметрического анализа многомерных объектов, с помощью которого рассчитывается единый интегрированный показатель качества на основе иерархической структуры частных характеристик оцениваемого объекта.

Недостатками данного способа являются:

- в способе производится сравнение оцениваемого объекта с однотипными ему, что не позволяет формировать динамическую оценку качества для единственного в своем роде, но динамически меняющегося объекта;

- в способе не отражена необходимость взаимной увязки частных характеристик, имеющих разную физическую природу, различные статистические характеристики, а также применительно к динамической системе отсев показателей, не изменяющихся во времени.

В патенте RU 2634169, G06N 7/06, G06G 7/66, G05B 19/4063, предложен способ моделирования мониторинга рисков для информационно-управляющей системы в условиях информационно-технических воздействий.

На основании статистических данных формируется физическая модель нормального функционирования абонентов защищаемой информационно-управляющей системы и их аномального поведения.

Недостатком указанного способа являются отсутствие экстраполяции траектории системы в фазовом пространстве, особенно в условиях пропусков значительного количества отсчетов данных или ограничениях на размер базы данных.

Наиболее близким по технической сущности к предлагаемому, является способ обнаружения вредоносного приложения на устройстве пользователя, приведенный в патенте RU 2617924, G06F 17/30, 21/71, 21/55, 21/56, принятый за прототип.

В способе-прототипе рассчитывается коэффициент аномальности поведения, основанный на сравнении фактических действий пользователя со сформированным шаблоном его действий в графическом интерфейсе.

Для формирования профиля нормального функционирования используются фактические образцы действий в графическом интерфейсе с целью отделить действия, производимые пользователем от действий имитирующей его сторонней программы (т.е. дистанционно злоумышленником). Классификация аномальности действий в способе-прототипе осуществляется, в том числе, на основе косвенных признаков активности (показания датчиков ускорения, освещенности, микрофона, траекторий движений по устройству ввода). При этом образцы аномальной активности отмечены заранее.

Недостатком способа-прототипа является то, что для обучения системы применен процесс обучения «с учителем».

В заявляемом изобретении решается задача создания способа, в котором обучение осуществляется «без учителя» – аниматы обучаются, основываясь на критерии эффективности собственных алгоритмов экстраполяции на предыдущих шагах функционирования системы.

Достигаемый технический результат – обнаружение аномалий в инфокоммуникационных системах по параметрам, характеризующим ее функционирование.

Технический результат достигается тем, что в известном способе, включающем сбор данных о процессе функционирования инфокоммуникационной системы и определяющем его «нормальность/аномальность», согласно изобретению, вводят функцию «полезности» для каждого частного показателя качества, которая отражает зависимость знака изменения комплексного показателя качества от знака изменения частного показателя качества оцениваемой системы; значимость частных показателей качества системы ранжируют в зависимости от их статистических параметров; с помощью декоррелятора преобразуют вектор входных данных в статистически некоррелированные факторы; при расчете весовых коэффициентов при частных показателях качества используют выборки исходных данных произвольной длины; экстраполируют состояние инфокоммуникационной системы с использованием аниматов; подкрепление аниматам формируют в зависимости от точности экстраполяции; генерируют и удаляют «виртуальные» аниматы для одновременной проверки нескольких гипотез о траектории системы для ускорения процесса обучения; для бифуркационного анализа применяют результат экстраполяции аниматом, показывавшим наименьшую ошибку экстраполяции на предыдущих шагах моделирования; по результатам бифуркационного анализа определяют «нормальность/аномальность» процесса функционирования инфокоммуникационной системы.

Решение поставленной задачи осуществляется с использованием бифуркационного анализа массива обработанных с использованием квалиметрических методов исходных данных о фактическом процессе, а также результата экстраполяции аниматами наиболее вероятного состояния системы.

Способ обнаружения «аномалий» функционирования инфокоммуникационной системы основан на явлении роста шумовых составляющих в системе при ее приближении к точке бифуркации.

Для применения методов бифуркационного анализа [4] проводится соответствующая подготовка исходных данных. Первоначально набор динамически изменяющихся частных характеристик системы с неопределенной взаимной зависимостью преобразуется в набор некоррелированных или слабо коррелированных частных показателей качества - факторов. На их основе проводится автоматизированный расчет единого комплексного показателя качества, который в дальнейшем подвергается бифуркационному анализу. Алгоритм экстраполяции последующего состояния инфокоммуникационной системы также предназначен для применения полученных с его помощью состояний в бифуркационном анализе.

Для динамически изменяющейся системы квалиметрическое оценивание проводится по временной выборке векторов её частных параметров с учетом их статистических характеристик.

Параметры системы, имеющие разную физическую природу и различные статистические характеристики, взаимно увязываютсяя посредством квалиметрических методов, исключение из расчета не изменяющихся во времени показателей производится модифицированным методом сводных показателей Крылова, посредством нормирования и автоматизированного расчета весовых коэффициентов.

Экстраполяция состояния системы возможна с использованием базы данных о фактически пройденной системой траектории в фазовом пространстве, что позволяет в условиях пропуска исходных данных экстраполировать положение системы.

Решение поставленной задачи в заявляемом способе осуществляется устройством, схема которого приведена на фиг. 1, где обозначено:

1 – квалиметрический блок;

2 – бифуркационый блок;

3 – блок аниматов;

4 – блок базы данных.

Устройство для реализации заявленного способа содержит последовательно соединенные квалиметрический блок 1 и бифуркационный блок 2; блок аниматов 3, выход которого соединен со вторым входом бифуркационного блока 2, выход которого является выходом устройства; а также блок базы данных 4, первый вход которого, объединенный с входом квалиметрического блока 1, является входом устройства. Кроме того, выход квалиметрического блока 1 соединен со вторым входом блока базы данных 4, который соединен двунаправленной связью с блоком аниматов 3.

Заявленный способ работает следующим образом.

Входные данные о состоянии инфокоммуникационной системы поступают на вход квалиметрического блока 1, где они подвергаются декорреляции и выделению линейно независимых факторов. Для полученных факторов модифицированным методом Крылова рассчитывается оценка комплексного показателя качества.

Оценка комплексного показателя качества передается на первый вход бифуркационного блока 2 и сохраняется в блоке базы данных 4. Кроме того, в блоке базы данных 4 сохраняется вектор текущих исходных данных, подаваемых на его первый вход.

Бифуркационный блок 2 получает данные от квалиметрического блока 1 на первый вход (последнее рассчитанное значение комплексного показателя качества) и с выхода блока аниматов 3 (наиболее достоверные данные экстраполяции состояния системы) – на второй вход.

Бифуркационный блок 2 на основе выборки оценок комплексного показателя качества и наиболее достоверного экстраполированного состояния системы, производит анализ «нормальности»/«аномальности» состояния системы и выдает на выход устройства результат указанного анализа.

В блоке аниматов 3, на основе полученных из блока 4 исходных данных о процессе функционирования, единичные аниматы самообучаются, строя модели функционирования и экстраполируя на их основе наиболее вероятные прогнозируемые состояния (для разных аниматов – разные).

Каждый анимат в блоке аниматов 3 представляет собой фрагмент программного кода, который имеет возможность изменять алгоритм собственного функционирования при получении «положительного» или «отрицательного» подкрепления результату своих вычислений. В заявляемом способе «подкрепление» обусловлено различием между экстраполированным и фактическим состояниями системы. Распределение подкреплений между единичными аниматами в блоке аниматов осуществляется исходя из точности экстраполяции комплексного показателя качества единичными аниматами. Чем меньше точность экстраполяции конкретного анимата, тем значительнее этот анимат должен модифицировать свой алгоритм экстраполяции для повышения её точности.

Анимат, имеющий наиболее точные по предыдущей выборке экстраполирующие данные, выдает вычисленные данные экстраполяции на второй вход бифуркационного блока 2.

Настройки аниматов, результаты и ошибки экстраполяции передаются для длительного хранения в блок базы данных 4 и извлекаются из нее при включении системы.

Блок базы данных 4 предназначен для:

- сохранения исходных данных, поступающих на вход системы;

- выдачи исходных данных за предыдущее время в квалиметрический блок 1;

- хранения результатов вычисления оценок комплексного показателя качества, полученных от квалиметрического блока 1;

- хранения и выдачи настроек аниматов, результатов и ошибок экстраполяции для каждого из аниматов в блок аниматов 3 и из блока аниматов 3 (необходимы для процесса самообучения и для длительного хранения).

Квалиметрический блок 1 преобразует многомерный поток данных о состоянии системы во временную выборку оценок комплексного показателя качества функционирования указанной системы. Для этого выборка векторов входных параметров подвергается следующей обработке.

В формулу расчета оценки комплексного показателя качества необходимо включить функцию полезности для каждого частного показателя качества φ(Х)_n, которая отражает зависимость знака изменения качества оцениваемой системы от знака изменения частного показателя качества.

Если возрастание n-го частного показателя качества приводит к улучшению комплексного показателя качества, то φ(Х)_n=1.

Если возрастание n-го частного показателя качества приводит к ухудшению комплексного показателя качества, то φ(Х)_n=-1.

Если изменение n-го частного показателя качества не приводит к изменению комплексного показателя качества, то φ(Х)_n=0.

Если значение n-го комплексного показателя качества ухудшается при отстройке частного показателя качества от определенного «оптимального» значения Х₀, то функция полезности может быть задана формулой

φ(Х)_n=2Θ(X₀-X)-1,

где Θ(X) – функция Хевисайда.

Если зависимость знака изменения качества оцениваемой системы от знака изменения частного показателя качества имеет более сложный характер, то φ(Х)_n может быть представлена как кусочно-заданная функция.

Значимость частных показателей качества системы для расчета количественной оценки ее качества ранжируется в зависимости от статистических параметров этих показателей. При этом, динамически не изменяющиеся характеристики системы в расчете комплексного показателя качества не используются.

Квалиметрический блок содержит декоррелятор, преобразующий вектор входных данных в статистически некоррелированные факторы (частные показатели качества).

Исходные данные для расчета комплексного показателя качества Q – выборка из M векторов (временная выборка), каждый из которых имеет N элементов (факторов, то есть взаимно некоррелированных частных показателей качества). Таким образом, X_nm – частный показатель качества n из общего количества частных показателей качества N, из выборки номера m из общей длины выборки M.

X_nМ – текущее (последнее во временной выборке длины M) значение n-го частного показателя качества.

Рассчитывается текущее нормированное значение Xnorm_n n-го частного показателя качества X_n_М исходя из выборки его предыдущих значений:

Текущее значение весового коэффициента при n-ом частном показателе качества kv_n при каждом Xnorm_n определяется:

где σ_n² – дисперсия n-го нормированного частного показателя качества.

Для вычисления весовых коэффициентов также допустимо применение отношения среднеквадратических отклонений факторов вместо дисперсий.

Текущая оценка комплексного показателя качества Q рассчитывается по формуле

При расчете весовых коэффициентов при частных показателях качества, допустимо использование выборок исходных данных произвольной длины, а также с возможностью пропуска данных.

Для бифуркационного анализа «нормальности/аномальности» предлагается применять экстраполированное состояние инфокоммуникационной системы. В качестве экстраполированного значения предлагается применять результаты расчетов от анимата, для которого ошибка экстраполяции минимальна.

По поступающим данным, аниматы постоянно формируют модель функционирования, и на ее основе производят экстраполяцию состояния системы.

В блоке аниматов 3 для ускорения самообучения и повышения точности экстраполяции применяется модель «виртуальных аниматов». Поскольку каждый анимат представляет собой фрагмент программного кода, их количество не регламентировано и может изменяться. Для ускорения процесса обучения генерируются дополнительные аниматы с различными начальными параметрами алгоритмов экстраполяции комплексного показателя качества. После обучения аниматы с наихудшими результатами экстраполяции удаляются.

Основные отличительные признаки предлагаемого технического решения состоят в применении в способе обнаружения аномалий в инфокоммуникационных системах:

- процесса обучения единичных аниматов из блока аниматов «без учителя», с использованием метода «обучения с подкреплением», только на основании данных из блока базы данных 4;

- «виртуальных» аниматов, позволяющих, формируя большое количество экстраполирующих алгоритмов и их настроек, ускорить процесс самообучения за счет одновременной проверки нескольких возможных гипотез о траектории движения инфокоммуникационной системы;

- метода квалиметрической оценки состояния системы в динамике, с учетом статистических характеристик частных показателей качества, с автоматизированным расчетом весовых коэффициентов;

- экстраполяции траектории системы в фазовом пространстве, которая возможна с использованием исходных данных из блока базы данных 4.

Технический результат предлагаемого способа был проверен в процессе моделирования. При моделировании были использованы следующие параметры:

1) модель исходных данных – хаотический процесс, основанный на уравнениях аттрактора Лоренца, количество показателей качества – 3, соответствующих переменным X, Y, Z аттрактора Лоренца;

2) модифицированный метод Крылова для расчета комплексного показателя качества, расчет весовых коэффициентов производился на основе статистических характеристик частных факторов с учетом нормировки;

3) обучение с подкреплением применялось для экстраполяции траектории системы в фазовом пространстве и создания самообучаемой модели среды функционирования.

Таким образом, в предлагаемом способе оценка «аномальности» состояния инфокоммуникационной системы производится формированием единой динамической квалиметрической оценки состояния системы, ее экстраполяцией и последующей оценкой «аномальности» состояния системы бифуркационным методом. Решение о «нормальности/аномальности» процесса функционирования принимается на основе бифуркационного анализа, в котором о приближении точки бифуркации свидетельствует характер роста и насыщения уровня шумов в системе и, соответственно, поведения дисперсии частных и комплексного показателей качества в модельном представлении инфокоммуникационной системы.

Источники информации.

1. Заявка RU 2004 100 462 A, G09B 19/00(2006.01).

2. Патент RU 2 634 169 C1 G06N 7/06(2006.01) G06G 7/66(2006.01) G05B 19/4063(2006.01).

3. Патент RU 2617924, G06F (17/30, 21/71, 21/55, 21/56).

4. М.-Г. М. Зульпукаров, Г. Г. Малинецкий, А. В. Подлазов Обратная задача теории бифуркаций в динамических системах с шумом. Ордена Ленина институт прикладной математики им. М.В. Келдыша Российской академии наук. Москва, 2005 http://keldysh.ru/papers/2005/prep39/prep2005_39.pdf

Иллюстрации к изобретению RU 2 764 873 C1

Реферат патента 2022 года Способ обнаружения аномалий в инфокоммуникационных системах

Изобретение относится к вычислительной технике. Технический результат заключается в обнаружении аномалий в инфокоммуникационных системах по параметрам, характеризующим ее функционирование. Способ обнаружения аномалий в инфокоммуникационных системах, в котором собирают данные о процессе функционирования инфокоммуникационной системы; с помощью декоррелятора преобразуют вектор входных данных в статистически некоррелированные частные показатели качества; вводят функцию «полезности» для каждого частного показателя качества, которая отражает зависимость знака изменения комплексного показателя качества оцениваемой системы от знака изменения частного показателя качества; значимость частных показателей качества системы ранжируют в зависимости от их статистических параметров; расчет оценки комплексного показателя качества производят методом Крылова; для бифуркационного анализа применяют результат экстраполяции аниматом, показывавшим наименьшую ошибку экстраполяции на предыдущих шагах моделирования; бифуркационный анализ осуществляется на основе выборки оценок комплексного показателя качества и результата экстраполяции; по результатам бифуркационного анализа определяют «нормальность/аномальность» процесса функционирования инфокоммуникационной системы. 1 ил.

Формула изобретения RU 2 764 873 C1

Способ обнаружения аномалий в инфокоммуникационных системах, включающий сбор данных о процессе функционирования инфокоммуникационной системы и определяющий его «нормальность/аномальность», отличающийся тем, что

с помощью декоррелятора преобразуют вектор входных данных в статистически некоррелированные частные показатели качества;

вводят функцию «полезности» для каждого частного показателя качества, которая отражает зависимость знака изменения комплексного показателя качества оцениваемой системы от знака изменения частного показателя качества;

значимость частных показателей качества системы ранжируют в зависимости от их статистических параметров;

при расчете весовых коэффициентов при частных показателях качества используют выборки исходных данных произвольной длины;

расчет оценки комплексного показателя качества производят методом Крылова;

подкрепления аниматам формируют в зависимости от точности предыдущей экстраполяции;

экстраполируют состояние инфокоммуникационной системы с использованием аниматов;

генерируют и удаляют «виртуальные» аниматы для одновременной проверки нескольких гипотез о траектории системы для ускорения процесса обучения;

для бифуркационного анализа применяют результат экстраполяции аниматом, показывавшим наименьшую ошибку экстраполяции на предыдущих шагах моделирования;

бифуркационный анализ осуществляется на основе выборки оценок комплексного показателя качества и результата экстраполяции;

по результатам бифуркационного анализа определяют «нормальность/аномальность» процесса функционирования инфокоммуникационной системы.

Документы, цитированные в отчете о поиске Патент 2022 года RU2764873C1

ЗАЙЦЕВА О.Ю
и др
"Модель бифуркаций в анализе безопасности процессов в системах", Успехи современного естествознания N8 2010, опубл
Способ очистки нефти и нефтяных продуктов и уничтожения их флюоресценции	1921	Тычинин Б.Г.	SU31A1
JONATHAN TOUBOUL "Bifurcation Analysis of a General Class of Nonlinear

RU 2 764 873 C1

Авторы

Дементьев Иван Владимирович

Даты

2022-01-21—Публикация

2020-12-01—Подача

название	год	авторы	номер документа
СПОСОБ ИНТЕЛЛЕКТУАЛЬНОГО АНАЛИЗА ОЦЕНКИ УСТОЙЧИВОСТИ ИНФОКОММУНИКАЦИОННОЙ СИСТЕМЫ К ДЕСТРУКТИВНОМУ ВОЗДЕЙСТВИЮ ЭЛЕКТРОМАГНИТНОГО ИЗЛУЧЕНИЯ	2014	Михайлов Виктор Алексеевич Царегородцев Анатолий Валерьевич Мырова Людмила Ошеровна	RU2560803C1
Способ и система удаленного мониторинга и прогнозирования состояния технологических объектов	2020	Лифшиц Михаил Валерьевич Маркелов Артём Иннокентьевич Персяев Антон Андреевич	RU2739727C1
Способ прогнозирования технического состояния и оперативной оценки остаточного ресурса гидроакустического комплекса корабля с применением информационно-сопроводительной системы	2022	Селезнев Игорь Александрович Ивакин Ян Альбертович Красников Иван Александрович	RU2793152C1
СИСТЕМА МОНИТОРИНГА КАЧЕСТВА И ПРОЦЕССОВ НА БАЗЕ МАШИННОГО ОБУЧЕНИЯ	2019	Бахов Владимир Сергеевич Жиналиев Диас Аманкосович	RU2716029C1
СПОСОБ УПРАВЛЕНИЯ СОСТОЯНИЕМ СЛОЖНОГО ОБЪЕКТА	2020	Стародубцев Юрий Иванович Иванов Сергей Александрович Вершенник Елена Валерьевна Вершенник Алексей Васильевич Закалкин Павел Владимирович Константинов Сергей Анатольевич Спицын Олег Леонтьевич	RU2748778C1
Автоматизированная система медицинского учреждения	2017	Даян Степан Степанович	RU2667356C1
СПОСОБ И СИСТЕМА ДЛЯ СТАДИИ ОБУЧЕНИЯ АКУСТИЧЕСКОГО ИЛИ ВИБРАЦИОННОГО АНАЛИЗА МАШИНЫ	2016	Банс Уилльям Буате Жан-Мишель Дюпон Одри Гриффатон Жюльен Кристиан Паскаль Лакай Жером Анри Ноэль	RU2704073C2
СПОСОБ ДИАГНОСТИРОВАНИЯ ТЕХНИЧЕСКОГО СОСТОЯНИЯ СЛУЖЕБНЫХ СИСТЕМ ЛЕТАТЕЛЬНОГО АППАРАТА	2014	Козлов Виктор Григорьевич Захаров Павел Александрович	RU2559401C1
СПОСОБ ПРОГНОЗИРОВАНИЯ РЕЗУЛЬТАТИВНОСТИ ДЕЯТЕЛЬНОСТИ У ПРАКТИЧЕСКИ ЗДОРОВЫХ ЛИЦ НА ОСНОВЕ КОМПЛЕКСА ЭЛЕКТРОФИЗИОЛОГИЧЕСКИХ ПОКАЗАТЕЛЕЙ	2015	Зорин Роман Александрович Лапкин Михаил Михайлович Жаднов Владимир Алексеевич	RU2611922C1
СПОСОБ РАСПРЕДЕЛЕННОГО КОНТРОЛЯ И АДАПТИВНОГО УПРАВЛЕНИЯ МНОГОУРОВНЕВОЙ СИСТЕМОЙ И УСТРОЙСТВО ДЛЯ ЕГО ОСУЩЕСТВЛЕНИЯ	2011	Будко Никита Павлович Будко Павел Александрович Винограденко Алексей Михайлович Дорошенко Геннадий Петрович Рожнов Алексей Владимирович Минеев Владимир Васильевич Мухин Александр Викторович	RU2450335C1