Лекция моделирование. Который характеризует состояние угроз, причем

1 2.4. Модели на базе теории игр
Теория игр представляет собой математический метод изучения оптимальных стратегий. Под игрой понимается процесс, в котором участвуют две и более сторон (система защиты информации и злоумышленники), ведущих борьбу за реализацию своих интересов. Каждая из сторон имеет свою цель и использует некоторую стратегию, которая может вести к успеху или проигрышу
- в зависимости от поведения игроков. Теория игр помогает выбрать лучшие стратегии с учётом представлений о других участниках и их возможностях.
Наиболее сложной (в смысле предотвращения) и наиболее актуальной задачей для ТКС является борьба с информационными угрозами. Предположим, что все возможные угрозы известны и представлены в виде множества


J
i
j
u
U
,
1
| =
=
. Очевидно, что угрозы в зависимости от поведения злоумышленников, могут появляться в различных сочетаниях и поэтому введем вектор
( )
( )


k
t
j
s
k
t
S
=
, который характеризует состояние угроз, причем:
( )
1
=
k
t
j
s
, если
−
i
м игроком реализована
j
u
угроза при проявлении вектора
( )
k
t
S
,
( )
0
=
k
t
j
s
- в противном случае. Известно, что угрозы по желанию атакующей стороны могут быть адресованы тем или иным объектам
f
r
,
F
f
,
1
=
по-разному. Чтобы отразить распределение угроз по объектам введем матрицу
( )
k
t

, элементы которой описываются следующим образом:
( )
1
=
k
t
f
jr

- если при проявлении вектора
( )
k
t
S
угроза типа
j
u
адресуется к объекту
f
r
;
( )
0
=
k
t
f
jr

- в противном случае.
Каждый тип угроз при атаке к определенному объекту в той или иной степени представляет опасность. Уровень опасности угрозы типа
j
u
к объекту
f
r
покажем через показатель
j
p
, который находится в пределах
1 0

 j
p
С другой стороны, в целях защиты объектов от предполагаемых угроз ТКС имеет в своем распоряжении множество


I
i
i
z
Z
,
1
| =
=
механизмов защиты, эффективность которых по отношению к угрозам характеризуются показателями
i
q
, находящимися в пределах
1 0

 i
q
,
I
i
,
1
=
. Обычно известны возможные типы угроз, но заранее не известно поведение злоумышленника, т.е. какие угрозы каким объектам ТКС будут инициироваться. В связи с этим, в силу определенных обстоятельств (эффективность функционирования ТКС, рациональное использование пропускной способности сети и т.д.) ТКС может задействовать различные механизмы защиты для борьбы с угрозами.
В связи с этим введем вектор состояний механизмов защиты
( )
k
t

, элементы вектора определяются следующим образом:
( )
1
=
k
t
z

- если ТКС задействовала механизм защиты
Z
i
z 
,
( )
0
=
k
t
z

- в противном случае.
Для реализации игрового метода моделирования требуется определить матрицу игры, элементами которой в данном случае могут быть значения уровня

2 ущерба ТКС, зависящие от конкретных реализаций информационных угроз злоумышленником.
Предположим, что, рассматриваемая ТКС содержит
f
r
,
F
f
,
1
=
объектов
(WWW-сервер, DNS-сервер, UUCP-сервер, SMTP-сервер, FTP-сервер и т.д.), доступ к которым несанкционированным пользователям запрещен.
Злоумышленник, используя современные информационные технологии, реализует информационные атаки (подмена IP-адресов, инициирование отказа в обслуживании, внедрение сетевых вирусов и т.д.) которые известны, т.е. известен


J
i
j
u
U
,
1
| =
=
. Вектор
f
r
j
u ,
определяет тот факт, что злоумышленник при атаке на объект
f
r
использует атаку типа
j
u
В целях противодействия информационным атака ТКС задействует различные средства защиты информации (межсетевой экран, антивирусную программу, криптографические средства защиты анализаторы пакетов и трафика и т.д.), т.е. известен


I
i
i
z
Z
,
1
| =
=
. Вектор
j
u
i
z ,
определяет тот факт, что ТКС задействует
i
z
против атаки типа
j
u
На основании известных или определенных по результатам эксплуатации значений
j
p
и
i
q
определим матрицу игры, элементами которой будут значения ущерба от реализации злоумышленником информационных атак, с учетом задействованных средств защиты:
(
)
m
q
m
p
mn
−
=
1

,
M
m
,
1
=
,
N
n
,
1
=
,
1 0

 mn

,
(2.10) где M - множество возможных стратегий злоумышленника, т.е. множество векторов
f
r
j
u ,
;
N
- множество стратегий системы защиты ТКС, т.е. множество векторов
j
u
i
z ,
Требуется найти такие оптимальные стратегии системы защиты ТКС, чтобы свести к минимуму значение ущерба от реализации злоумышленником информационных атак
mn

:
 
mn
n
n

min
:

(2.11)
Данная задача удобно решается методом итераций (метод Брауна-
Робинсона). Идея метода в следующем. Разыгрывается «мысленный эксперимент», в котором стороны А и В поочередно применяют друг против друга свои стратегии, стремясь выиграть побольше (проиграть поменьше).
Эксперимент состоит из ряда «партий» игры. Начинается он с того, что один из игроков (скажем, А) выбирает произвольно одну из своих стратегий
i
a
Противник В отвечает ему той из своих стратегий
j
b
, которая обращает выигрыш А, в минимум. Дальше снова очередь А - он отвечает В той своей стратегией
k
a
, которая дает максимальный выигрыш при стратегии противника.
Дальше снова очередь В, он отвечает своей стратегией
l
b
. И так далее: на каждом

3 шаге итерационного процесса каждый игрок отвечает на очередной ход другого той своей стратегией, которая является оптимальной для него относительно смешанной стратегии другого, в которую все примененные до сих пор стратегии входят пропорционально частотам их применения.
Вместо того чтобы вычислять каждый раз средний выигрыш, можно пользоваться просто «накопленным» за предыдущие ходы выигрышем и выбирать ту свою стратегию, при которой этот накопленный выигрыш максимален (минимален). Доказано, что такой метод сходится: при увеличении числа «партий» средний выигрыш на одну партию будет стремиться к цене игры, а частоты применения стратегий - к их вероятностям в оптимальных смешанных стратегиях игроков.
На рис. 2.8 представлен граф алгоритма принятия решения по противодействию угрозам. Первым делом по данному алгоритму вводятся исходные данные мощности угроз и эффективности МЗ. Затем определяется множество стратегий злоумышленника и множество стратегий СЗИ. После этого вычисляется платежная матрица, которая показывает размер выигрыша
(проигрыша) при применении определенных стратегий. На следующем этапе
ППР получает из ПОУ информацию о реализуемой злоумышленником стратегии. Затем определяется стратегия защиты с учетом критерия (1). После этого можно рассчитать цену игры, а так же оценить математическое ожидание и дисперсию цены игры. Здесь приведен один цикл алгоритма, который можно повторять необходимое для решения количество раз.
Рассмотрим пример. Будем считать, что в сегменте ТКС имеются два объекта. Мощность угроз известна и равняется


6
,
0 9
,
0
=
P
, а эффективность средств защиты


9
,
0 99
,
0
=
Q
Платежная матрица имеет вид:
Далее необходимо определить границы цены игры. Нижняя граница
( )
(
)
00096
,
0
;
min max min max
=
=
b
a
С

, где
 
7
;
1
=
a
- номер строки,
 
6
;
1
=
b
- номер столбца, Верхняя граница цены игры
( )
(
)
96
,
0
;
max min max min
=
=
b
a
С

, где
 
7
;
1
=
a
- номер строки,
 
6
;
1
=
b
- номер столбца.
Так как цена игры есть величина случайная, то следует определять ее математическое ожидание и дисперсию:

4
 
 
(
)
2 2
,


−
=
=
=
=
t
k
C
m
t
C
C
C
D
t
k
t
C
C
m
C
M

(2.12) где
k
- количество итераций,
t
- номер итерации.
Графики значений (2.12) представлены на рис. 2.8.
Рис. 2.8. Графики зависимости цены игры, ее математического ожидания и дисперсии от количества итераций
2.5. Модели систем искусственного интеллекта
Искусственный интеллект (ИИ) как раздел науки сформировался во второй половине XX в. на базе вычислительной техники, математической логики, программирования, психологии, лингвистики, нейрофизиологии и других отраслей знаний.
Интеллект (имеется в виду человеческий) обычно понимается в следующем смысле: обладать способностью успешно реагировать на любую, особенно новую, ситуацию путем надлежащих корректировок поведения, а также способностью понимать взаимосвязи между фактами действительности для выработки действий, ведущих к достижению поставленной цели.
В настоящее время общепринятого определения термина «искусственный интеллект» нет. Достаточно полно смысл понятия ИИ отражает следующее определение [1-3].
Искусственный
интеллект
- научная дисциплина
(область исследования, область знаний), основной задачей которой является разработка математических описаний функций человеческого интеллекта с целью аппаратурной, программной и технической реализации этих описаний средствами вычислительной техники.
Иногда вместо ИИ предлагается использовать термин - новая информационная технология решения инженерных задач, связанных с поиском, анализом и синтезом информации в системах искусственного интеллекта.

5
Под системой искусственного интеллекта (СИИ) будем понимать систему, способную принимать решение в условиях:
• ограниченной информации;
• неопределенности (нечеткости);
• многомерности пространства;
• необходимости обрабатывать и анализировать большой массив информации;
• необходимости распознавать ситуации (образы, сцены и т.д.);
• различных стадий жизненного цикла объектов управления - проектирования, производства, эксплуатации и т.д.
Все существующие СИИ можно разбить на два класса: общего назначения и специализированные. Структура СИИ общего назначения, основанных на знаниях, или технологиях обработки и использования знаний, представлена на рис. 2.9.
Рис. 2.9. Структура СИИ общего назначения
Эксперт (технолог, оператор, специалист) формирует знания (данные и правила), описывающие выбранные приложения (прикладные задачи, предметную область). Затем на основе этих знаний, заданной цели и исходных данных генерируют метапроцедуры и исполняют процедуру решения кон- кретных задач, например задачи управления технологическим процессом или производством.
Специализированные СИИ предназначены для решения заданного набора задач, определенного на стадии проектирования системы. Однако, это существенно ограничивает способность СИИ реагировать на изменения внешней среды. Для устранения этого недостатка специализированные СИИ разрабатывают с использованием технологий инженерии знаний в виде экспертных систем (ЭС). Примером таких СИИ являются АС УВД.
Все СИИ можно подразделить на системы, решающие задачи анализа и задачи синтеза. На рис. 2.10 приведены примеры таких задач.
Существуют различные подходы к построению моделей систем искусственного интеллекта: логический, структурный, имитационный и

6 эволюционный. Отметим, что четкой границы между ними нет и часто для построения моделей СИИ используются смешанные подходы.
Рис. 2.10. Классификация задач, решаемых системой искусственного интеллекта
Основой логического подхода является алгебра Буля, которая получила дальнейшее развитие в виде исчисления предикатов за счет введения предметных символов, отношений между ними, кванторов существования и всеобщности [29]. Большую выразительность логическому подходу позволило получить сравнительно новое направление - нечеткая логика.
Структурный подход основан на построении СИИ путем моделирования структуры человеческого мозга. Одной из первых моделей такого рода был перцептрон Ф. Розенблатта. Основной моделируемой структурной единицей в перцептронах является нейрон. Позднее возникли и другие модели, которые в настоящее время известны как нейронные сети. Эти модели различаются по строению отдельных нейронов, по топологии связей между ними и по алгоритмам обучения. Среди наиболее распространенных вариантов нейронных сетей можно отметить сети с обратным распространением ошибки, сети
Хопфилда, стохастические нейронные сети [1-3].
Для имитационного подхода базовым является понятие «черный ящик».
Черный ящик - технологический процесс, аппарат, устройство управления, программный модуль и т.д., информация о внутренней структуре и содержании которых ограничена или отсутствует, но известны входные воздействия и выходные величины.
При эволюционном подходе основное внимание уделяется построению первоначальной модели и правилам, по которым она может изменяться
(эволюционировать). Причем модель может быть построена в соответствии с различными подходами - структурным, логическим и т.д.
В системах искусственного интеллекта знания (совместно с данными, на которых они базируются) представляют в некоторой явной форме, т. е. моделью представления знаний.

7
Под знаниямибудем понимать вид информации, отражающий опыт эксперта (специалиста в определенной предметной области), его понимание множества текущих ситуаций и способов перехода от одного описания объекта к другому.
На рис. 2.11 показана классификация моделей представления знаний.
Рис. 2.11. Классификация моделей представления знаний
Продукционная модель - это способ описания знаний в виде продукционных правил (правил продукций): ЕСЛИ «предпосылка, условие» ТО
«заключение, действие».
Полнота продукционных правил (базы знаний) определяет возможности
СИИ по удовлетворению потребностей пользователей. Логический вывод с помощью продукционных моделей основан на построении прямой и обратной цепочек заключений, образуемых в результате последовательного
Семантическая модель (семантическая сеть) - модель, в которой структура знаний формализуется ориентированным графом, вершины которого обозначают объекты предметной области (аппараты, агрегаты, регуляторы, свойства, операции), а дуги - отношения между ними (отношение - связи типа
«это», «имеет частью», «принадлежит» и т.д.) [2]. Поиск решения в базе знаний типа семантическая сеть сводится к задаче поиска фрагмента сети, соответствующего поставленному вопросу.
Во фреймовой модели единицей представления знаний является фрейм, т. е. формализованная модель для отображения образа или ситуации. Фрейм имеет определенную внутреннюю структуру, состоящую из множества элементов, называемых слотами. Каждый слот в свою очередь представляется определенной структурой данных. Какая именно структура описывается фреймом, определяется пользователем.
По содержательному смыслу выделяют фреймы-понятия, фреймы-меню и фреймы с иерархически вложенной структурой.
Фрейм-понятие обычно представляет собой фрейм типа И. Например, фрейм «технологическая операция» содержит имена слотов «что делать», «как делать», «кто делает», «где делает» и т.п., которые объединяются связкой «И».
Фрейм-меню (типа ИЛИ) служит для организации процедурных знаний, используя оператор «выбрать». Например, фрейм «что делать» может состоять из слотов «построить математическую модель», «подставить данные», «решить математическую модель» и т.п., объединенные связкой «ИЛИ».

8
Фреймы с иерархически вложенной структурой (фреймы-сценарии) в качестве слотов могут использовать имена других фреймов и слотов, т.е. использовать структуру иерархического типа, в которой комбинируются другие виды фреймов.
Важнейшим свойством фреймовых моделей является заимствованное из семантических моделей наследование свойств. Наследование происходит по
АКО-связям (сокращение английского выражения A Kind Of - это). Слот АКО указывает на фрейм более высокого уровня, откуда неявно наследуется, т.е. переносятся, значения аналогичных слотов.
Основой формальных логических моделей является классическое исчисление предикатов первого порядка, т.е. когда предметная область или задача описывается в виде набора аксиом. Описание этих моделей не приводится, так как исчисление предикатов первого порядка в АС УВД практически не используется.
ТКСС, рассматриваемые с позиций системного подхода, состоят из большого количества взаимосвязанных подсистем, между которыми существуют отношения соподчиненности в виде иерархической структуры.
Управление такой системой является чрезвычайно сложной задачей, решаемой методами математического моделирования. Задача управления усложняется тем, что технологические процессы характеризуются следующим, достаточно общим, набором факторов: наличием нелинейности; распределенностью параметров в пространстве и времени; нестационарностью; непрерывным дрейфом параметров; неполной наблюдаемостью некоторых величин; вербальным уровнем формализации информации, используемой для решения задач управления и принятия решений.
Перечисленные факторы являются причиной, порождающей существенные трудности при решении задач оценки переменных состояния и идентификации систем, которые лежат в основе построения их адекватного математического описания, используемого при решении задач управления, принятия решений и оптимизации.
Большинство существовавших методов идентификации ориентировано на идеализированные условия работы объектов (полную наблюдаемость, детерминированность свойств, отсутствие случайных неконтролируемых помех и др.). При таких допущениях для решения задач управления во многих практических случаях используют детерминированные математические модели.
Последние имеют недостатки, обусловленные невозможностью определения точных значений входящих в них параметров, что объясняется влиянием факторов неопределенности.
Под неопределенностью будем понимать случайность параметров и нечеткость констант, относящихся к некоторому процессу.
Для всех параметров в справочниках приведены их средние или интервальные значения, а на практике они носят случайных характер, который определяется взаимным влиянием этих величин друг на друга, флуктуацией структуры потоков, особенностью конструкций аппаратов, машин и т.д.

9
Неопределенность может вызываться также погрешностями датчиков, информационных каналов, неточностью задания переменных в математической модели объекта, начальных и граничных условий и т.п.
Рисунок 2.12. Типы неопределенностей
Неизвестность - этот тип неопределенности имеет место в том случае, когда неизвестна информация на выходе объекта исследования, т.е. нет технических средств и способов ее измерения.
Неоднозначность имеет место в том случае, когда при строго определенной информации на входе некоторого технологического объекта, информация на выходе имеет различие. Неоднозначность может быть различной природы:
• физическая природа обуславливается случайностью или неточностью информации, что, как правило, определяется техническими измерительными средствами;
• лингвистическая природа имеет место в том случае, когда информация, используемая для анализа технологического объекта, может быть сформулирована на качественном (лингвистическом) уровне.
Недостоверность - этот тип неопределенности может быть в случае, когда информация об исследуемом объекте, явлении или технологических параметрах не является строго определенной (детерминированной).
Начиная со второй половины XX в. развитие промышленных производств характеризуется внедрением прогрессивных технологий, обеспечивающих высокий уровень энерго- и ресурсосбережения, ужесточением требований к качеству выпускаемой продукции и экологической чистоты. Это приводит к тому, что ошибки в управлении при использовании детерминированных математических моделей могут приводить к огромным экономическим потерям и способствуют возникновению аварийных ситуаций.
Для решения задач моделирования, управления и оптимизации в условиях неопределенности обычно используют три подхода: стохастический, интервальный анализ и теорию нечетких множеств.
Построение стохастических моделей для решения задач оптимизации, проверки адекватности этих моделей требует проведения большого числа

10 независимых экспериментальных исследований. Последнее сопряжено со значительными трудностями, которые обуславливаются как сложным аппаратурным оформлением современных технологических процессов, так и ненаблюдаемостью некоторых из них, а также требует больших материальных затрат. Однако даже в том случае, когда применение теории управления стохастическими объектами строго обосновано и получены необходимые статистические характеристики, можно выделить основной недостаток, присущий большинству задач управления. В этих задачах функционал и ограничения рассматриваются в среднем, при этом не формализуются и не определяются выполнения технологических и технических требований на тех или иных режимах с заданной вероятностью.
Такой подход имеет ограниченное применение, так как совершенно не исключает возможности аварийных ситуаций, потерь качества продукта, нарушений технологических требований и условий. Причина этого, очевидно, заключается в том, что стремление приблизить работу реальных объектов к оптимальным режимам одновременно сопровождается приближением к предельным значениям технологических требований. В этих условиях учет сто- хастических свойств объектов лишь «в среднем» является технологически недопустимым. Тем более невозможно использовать стохастические методы для вновь проектируемых производств, так как в этом случае в принципе нельзя провести прямые эксперименты.
Обычно на практике бывает известен лишь приближенно вид распределения, которому принадлежит неизвестная истинная плотность распределения, или неопределенный параметр задается только верхней и нижней границей, и о его поведении на границах и внутри интервала ничего не известно.
В этом случае могут быть применены методы интервального анализа, когда неточность формализуется на основе использования интервальных оценок вместо фиксированных чисел.
Однако интервальный анализ имеет недостатки, которые зачастую могут привести к ошибкам в управлении, потере оптимального решения или к нарушению качественных показателей. Это объясняется, прежде всего, сложностью выбора интервальной оценки технологического параметра, так как при выборе малого интервала увеличивается вероятность нарушения качественных показателей, а при выборе большого интервала - возможно на- хождение технологического режима далекого от оптимального.
Наиболее существенным недостатком интервальной оценки является не возможность использования накопленного опыта эксплуатации технологических процессов, имеющихся знаний операторов, технологов, специалистов по управлению.
Между тем практика внедрения АС показывает, что оператор зачастую решает задачи управления более успешно, чем эксплуатируемые системы управления. Это определяет необходимость использования качественной информации, получаемой от инженерно-технического персонала (экспертов),

11 длительное время занимающегося эксплуатацией технологических процессов и систем.
Проблема математической обработки качественной информации включает сбор, оценку достоверности, систематизацию, формализацию, переработку информации качественного характера с применением современных средств вычислительной техники.
Введенное Л.Заде понятие нечеткого множества как математического объекта [3], позволяющего формализовать термины словесного описания особенностей ТП, стимулировало развитие качественного этапа системного анализа и позволило подойти к решению указанной проблемы. При этом стали очевидны следующие достоинства подхода, основанного на аппарате теории не- четких множеств:
- «сжатие» качественной информации, которая определяется целью исследования и осуществляется с использованием методов инженерии знаний;
- наглядность и простота агрегирования и классификации сведений об исследуемом технологическом процессе, получаемых из различных источников;
- возможность применения качественной информации при переходе от смысловой к математической постановке задач;
- формирование стратегий управления технологическим процессом на основе качественной формализации действий оператора-технолога;
- синтез формальных вычислительных процедур для решения задач оптимизации и управления при нечеткой исходной информации и в нечетко определенных ситуациях задач оптимизации и управления с использованием качественной информации [3].
Математическое описание процессов, функционирующих в условиях неопределенности в общем виде может быть представлено следующим образом:


b
u
x
M
y