Способ контроля состояния сети передачи данных



Способ контроля состояния сети передачи данных
Способ контроля состояния сети передачи данных
Способ контроля состояния сети передачи данных
Способ контроля состояния сети передачи данных
Способ контроля состояния сети передачи данных
Способ контроля состояния сети передачи данных
Способ контроля состояния сети передачи данных
Способ контроля состояния сети передачи данных
Способ контроля состояния сети передачи данных
Способ контроля состояния сети передачи данных
Способ контроля состояния сети передачи данных
Способ контроля состояния сети передачи данных
Способ контроля состояния сети передачи данных

 


Владельцы патента RU 2610287:

Богданов Валентин Викторович (RU)

Изобретение относится к области технической кибернетики. Технический результат заключается в обеспечении оперативного способа контроля состояния сети передачи данных для оперативного обнаружения нештатной ситуации, инцидента, связанных, например, с угрозой нарушения безопасности или с нарушением требований безопасности. Технический результат достигается за счет того, что в способе контроля состояния сети передачи данных для каждого входного параметра задают область определения - диапазон значений, являющийся частью диапазона возможных значений для данного входного параметра, в пределах которого различные значения входного параметра характеризуются общим качественным состоянием, для каждого входного параметра в пределах каждой области его определения задают функцию принадлежности, позволяющую определить нечеткое множество, при этом каждый входной параметр в пределах каждой области его определения посредством функции принадлежности преобразуют в нечеткую переменную, характеризуемую наименованием, нечеткие переменные объединяют во входные лингвистические переменные, формируют выходные лингвистические переменные, вывод о значении каждой входной лингвистической переменной определяется нечеткой переменной. 4 з.п. ф-лы, 7 ил.

 

Изобретение относится к области технической кибернетики, а именно к способам осуществления комплексного контроля состояния сетей передачи данных по разнородной измерительной информации, и может быть использовано в автоматизированных системах обработки информации и анализа состояния сети, в том числе для защиты информации, мониторинга и контроля соответствия требованиям, предъявляемым к сети. Изобретение предназначено для использования в сетях передачи данных различного вида, в том числе в локальных сетях передачи данных, беспроводных, персональных, глобальных, промышленных, специализированных и прочих сетях передачи данных.

Известен способ мониторинга компьютерной системы по патенту РФ №2424564 на изобретение, в котором аккумулируют события, описывающие поведение компьютерной системы, разделяют события на группы по их типу и анализируют события для определения причин необычного поведения и/или проблемы в работе системы, отличающийся тем, что анализируют события, выполняя следующие операции:

- кластеризуют события из каждой группы событий в набор кластеров, при этом вычисляют сходство между событиями, применяя метрику сходства;

- определяют кластеры, которые описывают ненормальное поведение или проблемы в работе системы, при этом используют следующее правило: если событие в кластере содержит информацию о том, что функция системы возвратила неверное значение, тогда такой кластер считают кластером, который описывает ненормальное поведение или проблемы в работе системы;

- определяют причины ненормального поведения или проблем в работе системы, при этом определяют стабильные компоненты событий в каждом кластере, которые описывают ненормальное поведение или проблемы в работе системы: для i-го аргумента каждого события вычисляют среднее сходство M(i) с другими событиями и дисперсию D(i); считают аргумент стабильным, если дисперсия сходства в кластере находится в интервале [M(i)-D(i), M(i)+D(i)];

- отображают кластеры и отмечают причины ненормального поведения или проблем в работе системы для пользователя.

В способе могут вычислять сходство между событиями, применяя метрику сходства, используя при этом коэффициент Дайса и набор предельных значений для каждого типа аргумента событий: два аргумента разных событий считают сходными, если значение коэффициента Дайса для этих аргументов больше, чем предельное значение для данного типа аргумента; два события считают сходными, если сходны все аргументы этих событий, а также возвращаемые события; новое событие заносят в кластер, если это событие сходно хотя бы с одним событием из кластера. В способе возможно отображать кластеры и отмечать причины ненормального поведения или проблем в работе системы для пользователя, при этом части каждого события в кластере, которые приводят к ошибке, возможно выделять цветом.

Недостатком способа по патенту РФ №2424564 является, во-первых, ограниченность области действия изобретения, которое может быть применено только во встроенных компьютерных системах для определения причин необычного поведения и/или проблем в работе системы при выполнении программ. В качестве объекта анализа выбирают события, генерируемые средством профилирования. Каждое событие соответствует входу в (или возврату из) функцию ядра компьютерной системы. Событие содержит следующую информацию: ID функций, которые инициируют генерацию события, ID процесса и потока (контекста и вызова), аргументы (или возвращаемое значение). Список, содержащий аргументы и возвращаемые значения каждого системного вызова, используют в качестве вектора для процедуры кластеризации.

Во-вторых, в реальных условиях данные, подвергаемые анализу, могут иметь разнородную и неструктурированную природу. Кроме того, не вводятся и не определяются критерии и требования, на предмет соответствия которым необходимо проводить анализ, в том числе автоматическими методами. Проводится лишь только группировка по схожим признакам, определяемым коэффициентом Дайса для последующей визуализации результата.

Известен способ мониторинга безопасности автоматизированной системы по патенту РФ №2355024 на изобретение, заключающийся в том, что предварительно задают множество из N≥2 контролируемых параметров, характеризующих безопасность автоматизированной системы, М≥N эталонных значений контролируемых параметров и их коэффициенты важности KB, а затем выполняют цикл анализа, для чего измеряют значения контролируемых параметров, сравнивают их с эталонными, а по результатам сравнения формируют отчет и по сформированному отчету принимают решение о безопасности автоматизированной системы, при этом, согласно изобретению, из числа предварительно заданных контролируемых параметров формируют G≥2 групп контролируемых параметров, причем каждая g-я группа контролируемых параметров, где g=1, 2, , G, характеризует безопасность g-го структурного элемента и/или функционального процесса автоматизированной системы, а коэффициенты важности задают для каждой g-й группы. Дополнительно для каждой g-й группы контролируемых параметров задают максимальное и минимальное значения временных интервалов измерений значений контролируемых параметров и момент времени формирования отчета о безопасности автоматизированной системы, устанавливают значение интервала времени измерения контролируемых параметров g-й группы равным максимальному , а после сравнения измеренных значений параметров с эталонными, в случае их совпадения, цикл анализа безопасности автоматизированной системы повторяют до наступления момента времени формирования отчета о безопасности автоматизированной системы, а при несовпадении измеренных значений параметров с эталонными запоминают их, корректируют значение временного интервала измерений по формуле , сравнивают откорректированное значение с минимальным и при цикл анализа безопасности автоматизированной системы повторяют, а при формируют сигнал тревоги о выходе контролируемых параметров в g-й группе за пределы допустимых значений, блокируют работу элементов автоматизированной системы, параметры которых вышли за пределы допустимых значений, причем в отчет о состоянии автоматизированной системы включают сведения о заблокированных элементах автоматизированной системы.

Недостатком способа по патенту РФ №2355024 является его недостаточная достоверность, обусловленная тем, что при анализе сравниваются конкретные четкие значения контролируемых параметров, что не позволяет в полной мере учесть специфику контролируемой автоматизированной системы (поскольку для одних систем и условий работы систем определенные значения контролируемых параметров будут критичными, а для других систем и условий их работы те же самые значения контролируемых параметров будут являться допустимыми) и выявить отклонения от нормальных режимов работы системы в целом, агрегируя информацию о незначительных локальных отклонениях (поскольку каждый анализируемый параметр рассматривается отдельно), поскольку для одних систем и условий работы систем определенные значения контролируемых параметров будут критичными, а для других систем и условий их работы те же самые значения контролируемых параметров будут являться допустимыми.

Способ по патенту РФ №2355024 на изобретение выбран в качестве наиболее близкого аналога (прототипа).

Задача, решаемая предлагаемым изобретением - создание универсального, достоверного, оперативного способа контроля состояния сети передачи данных.

Технический результат, достигаемый изобретением - оперативное обнаружение нештатной ситуации, инцидента, связанных, например, с угрозой нарушения безопасности, с нарушением требований безопасности, сокращение сроков анализа параметров контролируемых объектов, повышение достоверности и расширение функциональных возможностей.

Технический результат достигается за счет того, что в способе контроля состояния сети передачи данных, заключающемся в том, что предварительно определяют структуру контролируемой сети, ее компонентный состав и индивидуальные особенности функционирования сети, задают критерии, характеризующие допустимые условия функционирования сети, осуществляют выбор входных параметров, позволяющих на основании их значений сделать вывод о соответствии состояния сети допустимым условиям, определяют возможный диапазон значений входных параметров, для каждого входного параметра задают область определения - диапазон значений, являющийся частью диапазона возможных значений для данного входного параметра, в пределах которого различные значения входного параметра характеризуются общим качественным состоянием, для каждого входного параметра в пределах каждой области его определения задают функцию принадлежности, позволяющую определить нечеткое множество, в пределах которого входной параметр характеризуется качественным состоянием, характерным для конкретной области его определения, а также определяют степень принадлежности значения каждого входного параметра данному нечеткому множеству, каждую функцию принадлежности задают с учетом особенностей структуры контролируемой сети и требований к условиям ее функционирования, каждый входной параметр в пределах каждой области его определения посредством функции принадлежности преобразуют в нечеткую переменную, характеризуемую наименованием, соотносимым с качественным состоянием входного параметра, областью определения, в пределах которой входной параметр характеризуется данным качественным состоянием, и соответствующей функцией принадлежности, при этом количество нечетких переменных для каждого входного параметра соответствует числу предварительно заданных для данного параметра качественных состояний, а совокупная область определения всех нечетких переменных для каждого входного параметра соответствует диапазону возможных значений входного параметра, нечеткие переменные, определяющие все качественные состояния для каждого входного параметра, объединяют во входные лингвистические переменные, каждая из которых характеризуется наименованием, соотносимым с наименованием соответствующего входного параметра, набором нечетких переменных, определяющих качественные состояния входного параметра, наименование которого соотносится с наименованием входной лингвистической переменной, областью определения, представляющей собой совокупную область определения всех нечетких переменных, входящих во входную лингвистическую переменную, формируют выходные лингвистические переменные, каждая из которых характеризуется наименованием, соотносимым с наименованием соответствующего критерия, характеризующего допустимое условие функционирования сети, набором нечетких переменных, каждая из которых определяет качественное состояние сети по выбранному критерию, областью определения, представляющей собой совокупность областей определения всех входящих в выходную лингвистическую переменную нечетких переменных, вывод о значении каждой входной лингвистической переменной определяется нечеткой переменной, являющейся результатом преобразования входного параметра, вывод о значении каждой выходной лингвистической переменной определяется одной из входящих в нее нечеткой переменной, формируют нечеткие правила, устанавливающие взаимосвязь между лингвистическими переменными, при этом условие каждого нечеткого правила содержит не менее одной входной или выходной лингвистической переменной, а заключение нечеткого правила представляет собой вывод о значении выходной лингвистической переменной, нечеткие правила формируют с учетом структуры сети и требований к условиям функционирования сети, все входные параметры, функции принадлежности, нечеткие переменные, лингвистические переменные, нечеткие правила представляют собой машиночитаемые данные, сохранение которых обеспечивают в онтологии, данные, хранящиеся в онтологии, связаны между собой по типу ориентированного бесконтурного графа, вершинами которого являются нечеткие правила или объединенные в одно множество нечеткие правила и лингвистические переменные, при этом обеспечивают формирование связи между двумя вершинами при условии, что в заключение первого правила и в условии второго правила, формирующих соответственно первую и вторую вершины графа, участвует одна и та же лингвистическая переменная, вывод о состоянии сети делают по значению одной или нескольких выходных лингвистических переменных, выбранных для контроля.

После получения вывода о состоянии сети возможно осуществление обратной декомпозиции.

Перед формированием функций принадлежности возможно осуществление моделирования нештатных ситуаций в сети, по результатам которых осуществляют корректировку функций принадлежности.

Целесообразно обеспечивать сохранение в онтологии результатов каждого предыдущего контроля сети для корректировки функций принадлежности с учетом накопленной статистической информации.

Значение выходной лингвистической переменной, определяющей вывод о состоянии сети, целесообразно приводить к числовому значению путем деффазификации.

В заявляемом способе обеспечивается повышение степени защищенности сети передачи данных, ее компонентов и информации, циркулирующей в ней, за счет автоматического оперативного в режиме реального времени контроля (анализа) сети и ее компонентов на предмет соответствия требованиям, задаваемым политикой информационной безопасности, иным требованиям, предъявляемым к условиям функционирования сети и ее компонентов. Заявленное изобретение может использоваться в локальных, глобальных, частных и беспроводных вычислительных сетях, автоматизированных системах управления и автоматизации (в т.ч. технологическими процессами и комплексами), в системах управления, в том числе в информационно аналитических системах и в сетях типа «Интернет вещей».

В заявляемом способе предварительно определяют структуру контролируемой сети, ее компонентный состав, индивидуальные особенности условий функционирования. Затем определяют условия, при которых состояние контролируемой сети считается нормальным, т.е. функционирующей в рамках установленных требований или в соответствии с заданной политикой безопасности; определяют критерии, характеризующие свойства сети, по значению которых делают вывод о состоянии сети; осуществляют выбор входных контролируемых параметров и определяют диапазоны возможных значений входных контролируемых параметров. В качестве входных контролируемых параметров выбирают такие параметры, обработка значений которых по заданным правилам позволит установить значение критериев, характеризующих различные свойства сети.

Выделяют диапазоны значений для каждого входного параметра, в пределах которых различные значения входного параметра характеризуются общим качественным состоянием (свойством). Например, контролируемым параметром может являться «пропускная способность сети». Качественное состояние пропускной способности может выражаться через такие качественные состояния, как «низкая», «высокая», «нормальная». Качественные состояния входных параметров задают с учетом особенностей сети и особенностей условий ее функционирования. Диапазон значений, при которых конкретный входной параметр (идентифицируемый по наименованию) характеризуется заданным для конкретной сети качественным состоянием, называется областью определения данного входного параметра. Область определения характеризуется единицей измерения определенного входного параметра и диапазоном его значений, определяющих конкретное качественное состояние входного параметра.

Для различных типов сетей передачи данных, с учетом особенностей их функционирования и с учетом особенностей их компонентного состава, один и тот же параметр (например, «пропускная способность сети») может иметь различные качественные состояния в одной и той же области определения. Например, для одних сетей пропускная способность равная 30000 Мб/с будет являться нормальной, а для других сетей - низкой.

Для каждого входного параметра задают функции принадлежности. Каждая функция принадлежности определяет нечеткое множество, включающее:

- область возможных значений входного контролируемого параметра, в пределах которых данный параметр будет характеризоваться конкретным качественным состоянием (в пределах области определения);

- степень принадлежности значения конкретного входного параметра множеству, характеризующему конкретное качественное состояние входного параметра.

Т.е. с помощью функции принадлежности осуществляют интерпретацию четкого значения конкретного входного параметра в качественное состояние данного параметра и определяют степень принадлежности входного параметра нечеткому множеству, которому принадлежат все значения входного параметра, обладающие этим качественным состоянием. Такая интерпретация позволяет более детально и полно описать состояние конкретного параметра с учетом индивидуальных особенностей контролируемой сети, условий ее функционирования.

Контроль состояния сети только по конкретным четким значениям контролируемых параметров не позволяет учесть в автоматическом режиме особенности условий функционирования сети, особенности предъявляемых к ней индивидуальных требований.

По результатам интерпретации входного контролируемого параметра с помощью функций принадлежности каждый входной параметр преобразуется в нечеткую переменную, характеризуемую (идентифицируемую) наименованием, областью определения и функцией принадлежности.

При этом наименованием нечеткой переменной будет являться не наименование входного параметра, а вывод о качественном состоянии входного параметра.

Область определения нечеткой переменной будет соответствовать диапазону возможных значений входного параметра, в пределах которого различные значения входного параметра характеризуются общим качественным состоянием.

По результатам интерпретаций все входные контролируемые параметры преобразуются в нечеткие переменные, каждая из которых характеризуется своим наименованием, областью определения и функцией принадлежности. Наименование такой нечеткой переменной принято обозначать как «Терм».

Значения функций принадлежности нечетких переменных в процессе осуществления контроля состояния сети корректируются с учетом статистических данных, предварительно полученных по результатам анализа состояния сети при моделировании ее состояния в соответствии с заранее заданными (т.е. известными) входными параметрами и выводами о ее состоянии по конкретному критерию. Моделирование осуществляют непосредственно на исследуемой сети. Возможно осуществлять моделирование на модели сети.

Нечеткие переменные, характеризующие различные качественные состояния одного и того же входного параметра, объединяют в лингвистическую переменную, наименование которой соответствует наименованию входного контролируемого параметра. Таким образом, лингвистическая переменная включает нечеткие переменные, относящиеся к одному входному параметру и описывающие различные качественные состояния конкретного входного параметра.

При этом каждая лингвистическая переменная характеризуется (идентифицируется) наименованием (соответствующим наименованию входного параметра), областью определения, совпадающей с совокупной областью определения нечетких переменных, входящих в данную лингвистическую переменную, а также совокупностью нечетких переменных, характеризующих различные качественные состояния входного параметра.

Совокупность указанных лингвистических переменных соответствует совокупности контролируемых входных параметров, значения которых используются при осуществлении контроля за состоянием сети. Такие лингвистические переменные в заявляемом способе называются входными лингвистическими переменными. Значение конкретной лингвистической переменной при определенном значении входного параметра (наименование которого соответствует наименованию лингвистической переменной) будет определяться наименованием одной из нечетких переменных, входящих в эту лингвистическую переменную.

Таким образом, в заявляемом способе осуществили переход от четких значений входных контролируемых параметров к лингвистическим переменным, каждая из которых содержит переменные (нечеткие переменные), описывающие возможные качественные состояния конкретного входного параметра с учетом индивидуальных особенностей сети, с учетом условий ее функционирования и с учетом индивидуальных требований, предъявляемых к сети.

Помимо лингвистических переменных, являющихся результатом интерпретации входных параметров, в заявляемом способе формируют лингвистические переменные, определяющие вывод о состоянии сети по критерию, задаваемому на основании требований к функционированию сети (выходные лингвистические переменные). Каждая из выходных лингвистических переменных характеризуется (идентифицируется) аналогично наименованием, областью определения и набором нечетких переменных. Наименование конкретной выходной лингвистической переменной при этом формулируется в соответствии с критерием, характеризующим состояние сети. Входящие в выходную лингвистическую переменную нечеткие переменные определяют вывод о состоянии сети по конкретному предварительно заданному критерию. При этом в каждую сформированную в соответствии с контролируемыми качественными состояниями сети выходную лингвистическую переменную входят нечеткие переменные, каждая из которых характеризуется своей областью определения, в пределах которой состояние сети характеризуется конкретным значением критерия, по которому контролируют состояние сети, наименование каждой из нечетких переменных, входящих в конкретную лингвистическую переменную, соответствует выводу о значении критерия, характеризующего одно из состояний сети. Совокупность областей определения нечетких переменных, входящих в конкретную выходную лингвистическую переменную, представляет собой область определения данной лингвистической переменной. Итоговое состояние сети по конкретному критерию будет определяться значением нечеткой переменной, входящей в выходную лингвистическую переменную.

Согласно заявляемому способу далее формируют нечеткие правила, устанавливающие взаимосвязь между входными лингвистическими переменными и выходными лингвистическими переменными с тем, чтобы установить, сочетание значений каких входных лингвистических переменных предопределяет конкретные значения выходных лингвистических переменных.

Нечеткое правило представляет собой формальную пару конечных непустых множеств (A, C), где А и С - наборы пар, вида (V, t), где V - лингвистическая переменная (наименование лингвистической переменной), а t - одно из ее значений (наименование нечеткой переменной). Множество А называется предпосылкой или антецедентом правила, Множество С - заключением или консеквентом.

Нечеткие правила задаются с учетом структуры сети, области ее использования и с учетом требований к условиям ее функционирования.

Условия (предпосылки) указанных нечетких правил содержат одну входную лингвистическую переменную или набор входных лингвистических переменных, необходимых для того, чтобы получить выводы о состоянии сети по конкретному критерию, а вывод (результат) нечетких правил содержит, как минимум, одну выходную лингвистическую переменную, значение которой определяет состояние сети по данному критерию.

Одна и та же входная лингвистическая переменная может входить как в условия (предпосылки), так и в заключения (следствия) нескольких нечетких правил. Аналогично, одна и та же выходная лингвистическая переменная может входить как в условия (предпосылки), так и в заключения (следствия) различных нечетких правил.

Состояние сети оценивают в соответствии с заранее сформулированными требованиями по одному или нескольким выбранным критериям (по значению одной или нескольких выходных лингвистических переменных). Если для контроля состояния сети выбирают не все выходные лингвистические переменные, а только часть из них или вообще одну, такие выбранные выходные лингвистические переменные называют контрольными лингвистическими переменными.

По результатам осуществления вышеуказанных действий, предшествующих действиям по непосредственному контролю текущего состояния сети, формируют онтологию (структуру данных), в которой обеспечивают сохранение, как минимум, всех сформированных нечетких переменных, входных и выходных лингвистических переменных, нечетких правил.

В целом процесс формирования онтологии можно описать последовательностью следующих действий:

- выявляют и идентифицируют основные признаки компонентов контролируемой сети и связи между ними, определяющие условия функционирования сети;

- выявляют и идентифицируют критерии оценки состояния сети;

- на основании выявленных признаков и критериев формируют нечеткие правила, определяющие нормальное состояние функционирования сети;

- моделируют проблемные, нештатные ситуации в сети с обеспечением сохранения результатов контроля;

- формируют функции принадлежности с учетом полученной статистической информации;

- осуществляют накопление информации и корректировку функций принадлежности с учетом собранной статистической информации и изменяющимися условиями функционирования сети.

Каждая нечеткая переменная, лингвистическая переменная, функция принадлежности, нечеткое правило представляют собой связанные между собой машиночитаемые данные. Структура данных сформирована по типу ориентированного графа, при этом вершинами графа являются нечеткие правила (или возможно, чтобы вершинами графа являлись нечеткие правила и лингвистические переменные, объединенные в одно множество), а дуга между двумя вершинами существует, если существует лингвистическая переменная, участвующая одновременно в заключении (результате или консеквенте) первого и в условии второго правила. Т.е. связи между вершинами графа формируются, когда на вход нечеткому правилу поступает переменная, являющаяся выходом другого правила (когда пересечение множества лингвистических переменных, участвующих в антецеденте (предпосылке) одного правила, пересекается с лингвистическими переменными, участвующими в консеквенте (результате) другого правила).

Таким образом, соответствующий граф G имеет вид , где ∏ - совокупность нечетких правил, A(R) и C(R) - лингвистические переменные, входящие в антецедент и консеквент нечеткого правила R, соответственно.

По построению графа и исходя из особенностей заданных требований к сети в совокупности правил, построенных в соответствии с требованиями к сети, не должно существовать цикла правил, то есть последовательности правил вида R1, R2, …, Rn такой, что , для i=1, …, n-1 и R1=Rn, для n>1 и для n=1.

Данное условие эквивалентно тому, что в ориентированном графе G не должно быть контуров.

В заявляемом способе обеспечивают сохранение входных параметров и всех результатов контроля сети с тем, чтобы, имея множество статистических данных о результатах контроля состояния сети, осуществлять постоянное уточнение и корректировку функций принадлежности и нечетких правил, обеспечивая максимальную достоверность результатов контроля.

Особенности контролируемой сети учитываются при выборе критериев контроля, при установлении требований к условиям функционирования сети, ее компонентного состава.

При осуществлении контроля текущего состояния сети текущие входные параметры интерпретируются посредством соответствующих функций принадлежности, которые предопределяют значение соответствующей входной лингвистической переменной. Выводы о состоянии сети делают по значению заранее выбранных контрольных лингвистических переменных (одной или нескольких). При этом для решения задачи контроля соответствия состояния сети заданным требованиям и определения несоответствий с их обратной декомпозицией используется процедура модифицированного нечеткого логического вывода, который позволяет автоматизировать процесс получения значений выходных лингвистических переменных на основании значений входных лингвистических переменных и получить обратную декомпозицию несоответствия с использованием онтологии, построенной на основании требований, предъявляемых к сети.

Об отклонении состояния сети от нормального судят по значению контрольной лингвистической переменной, например, после того, как его привели к числовому значению после процедуры деффазификации. В случае отклонения цифрового значения конечного расчетного параметра от допустимого значения можно с достаточной степенью уверенности делать вывод о том, что состояние сети не соответствует заданным онтологией требованиям.

При отклонении состояния сети от состояния, которое может быть охарактеризовано, как нормальное (т.е. не требующее вмешательства), посредством обратной декомпозиции устанавливают причину отклонения состояния сети от нормального.

Заявляемый способ позволяет с высокой степенью достоверности и точности в автоматическом интерактивном режиме определять текущее состояние сети при малейших возмущениях в ней, позволяяет не только определять текущее состояние сети, но и устанавливать причину возникших отклонений с возможной последующей корректировкой отклонения как в ручном, так и автоматическом режимах, например, отключением сетевого узла, несоответствующего требованиям.

Кроме того, заявляемый способ позволяет в процессе его осуществления постоянно повышать точность контроля по мере накопления статистических данных о результатах контроля и о входных параметрах сети.

Для формирования функций принадлежности в заявляемом способе используется метод лингвистических термов с использованием статистических данных (далее МЛТСД), изложенный в источнике: Сваровский С.Т. «Аппроксимация функций принадлежности значений лингвистической переменной» // Математические вопросы анализа данных. - Новосибирск, ВЦ СО АН СССР, 1980. - С. 127-131), который позволяет эффективно определять значения функций принадлежности термов лингвистической переменной на основании статистических данных. При этом в качестве статистических данных могут использоваться как данные, полученные от экспертов, так и данные, полученные путем эксперимента или наблюдения за функционированием компонентов контролируемой сети в различных условиях и режимах.

Нечеткий логический вывод включает следующие этапы.

1. Введение нечеткости (фаззификация).

На этапе введения нечеткости для четко заданных входных значений параметров (переменных) рассчитываются значения степени истинности принадлежности входных данных к отдельным нечетким множествам. Для каждого нечеткого правила рассчитываются значения zii(xi), где μi функция принадлежности, соответствующая нечеткой переменной Vi, для i=1, 2, .., n. В случае, если функция принадлежности задана конечной совокупностью точек, например, после применения МЛТСД, то для определения значения функции может использоваться линейная аппроксимация или сплайны более высоких различных порядков.

2. Нечеткая импликация.

На этапе нечеткой импликации вычисленные значения истинности применяются к заключениям (выводам) каждого правила. Это приводит к одному нечеткому подмножеству, которое будет назначено каждой переменной вывода для каждого правила. Вычисляется значение ; функция принадлежности для каждого элемента консеквента определяется как , где μj(z) - функция принадлежности, соответствующая нечеткой переменной, входящей в состав элемента консеквента (таких функций в рамках одного правила может быть несколько, каждая их них соответствует элементу консеквента).

В приведенном способе реализация операций ∧ и ∨ не фиксируется (например, может быть реализован как минимум и максимум соответственно).

3. Нечеткая композиция.

Нечеткая композиция объединяет нечеткие подмножества вывода, тем самым находится результирующая функция принадлежности всей совокупности правил при данном векторе входных сигналов. Для каждой нечеткой переменной из С функция принадлежности полагается равной , где операция ∨ выполняется по всем подсчитанным на предыдущем этапе функциям принадлежности, соответствующим переменной.

4. Приведение к четкости (дефаззификация).

Этап дефаззификации используется, если необходимо преобразовать выходную функцию принадлежности в четкое число z0 (в некоторых случаях достаточно результата в виде нечеткого множества). В качестве метода дефаззификации может использоваться любой известный метод, например центроидный, в котором z0 вычисляется по формулам:

, при и, при в дискретном случае, где D - область определения функции принадлежности в непрерывном случае и в дискретном случае. Заключение y0 формируется из значений z0.

В заявляемом способе нечеткие правила образуют не линейную, а иерархическую структуру. Таким образом, этапы нечеткой импликации и нечеткой композиции должны быть проведены не в произвольном, а в таком порядке, когда лингвистические переменные уже определены либо на основании фаззификации, либо на основании уже обработанных правил.

Как уже указывалось, анализ соответствия функционирования сети требованиям и определения несоответствий с их обратной декомпозицией в заявляемом способе решается за счет использования процедуры модифицированного нечеткого логического вывода, которая(ый) позволяет автоматизировать процесс получения значений конечных расчетных параметров на основании значений входных параметров (переменных) с использованием сформированной онтологии.

Контроль состояния сети осуществляют по текущим значениям входных параметров, получаемых из статических и динамических конфигураций компонентов сети, а также по значениям некоторых системных и сетевых параметров, представленных в виде вектора текущих входных параметров, сформированного на основе построенной онтологии.

Пусть x - это вектор значений входных параметров с элементами из , (V1, …, Vn) - соответствующие входным параметрам нечеткие переменные из соответствующих правил, а y - вектор значений выходных параметров с элементами из , где А - это совокупность входных, а С - выходных лингвистических переменных и D(X) - область определения лингвистической переменной X.

Нечеткий логический вывод является результатом применения правила нечеткой логики, позволяющего на основании базы знаний, состоящей из совокупности нечетких продукционных правил ∏, по заданному x=x0 определить заключение y=y0.

Как уже указывалось, для осуществления заявляемого способа формируют иерархическую структуру правил, образующую ориентированный граф (орграф), вершины которого представляют собой нечеткие правила (или нечеткие правила и лингвистические переменные, объединенные в одно множество). Под ориентированным графом понимается орграф, порядок нумерации вершин которого такой, что каждая дуга выходит из вершины с меньшим номером в вершину с большим. Таким образом, применение модификации процедуры нечеткого логического вывода Мамдани к топологически отсортированным правилам приведет к тому, что значение каждой выходной лингвистической переменной будет определено корректно.

Поскольку соответствующий структуре данных в заявляемом способе орграф является орграфом без контуров, то он допускает топологическую сортировку в соответствии с известным принципом (описанным, например, в источнике: «Дискретная математика: графы, матроиды, алгоритмы» / М.О. Асанов, В.А. Баранский, В.В. Расин // М: Регулярная и хаотическая динамика, 2001. - 288 с.):

1) положить n равным количеству вершин в орграфе (количеству правил); ;

2) выбрать вершину ν ∈ V(G), полустепень исхода которой равна 0 (то есть правило, переменные консеквента которого не участвуют в других правилах). Присвоить вершине номер n. Такая вершина найдется в силу того, что граф – бесконтурный;

3) удалить из орграфа вершину ν со всеми дугами, входящими в нее;

4) повторять шаги 2 и 3, пока все вершины не получат порядок.

Топологически отсортированными логическими правилами является последовательность правил, для которых соответствующий им граф топологически отсортирован.

Построение графа G по имеющемуся набору правил ∏ в заявляемом способе должно быть выполнено с использованием следующих шагов:

1) положить ;

2) для ν ∈ L, положить , где L - множество лингвистических переменных онтологии;

3) для каждого правила R ∈ ∏, по всем ν ∈ A(R) полагается , a по ν ∈ C(R), , в итоге, для каждой лингвистической переменной ν ∈ V, находятся множества правил A(ν) и С(ν), в которые переменная v входит как антецедент и консеквент, соответственно. Под A(R) и C(R) - понимаются лингвистические переменные, входящие в антецедент и консеквент нечеткого правила R, соответственно;

4) положить ,

Последовательность действий по осуществлению контроля соответствия требованиям с обратной декомпозицией несоответствий обобщенно имеет следующий вид.

1. Осуществляют обработку используемой онтологии: т.е. осуществляют упорядочивание правил в соответствии с требуемой топологической сортировкой.

2. Выявляют и задают входные контролируемые параметры сети в соответствии с входными параметрами онтологий. Получают значения входных параметров.

4. Осуществляют обработку входных параметров по заданным нечетким правилам с использованием процедуры нечеткого логического вывода.

5. Осуществляют оценку полученных итоговых значений выходных лингвистических переменных и определяют «общую степень соответствия» состояния сети по заданному критерию.

В случае, когда числовые значения «контрольных» лингвистических переменных (полученных после дефаззификации) отклоняются от заданного порогового значения, делается вывод о несоответствии анализируемой сети заданным требованиям и о степени соответствия требованиям.

В случае отклонения значений «контрольных» лингвистических переменных от пороговых значений (после процедуры дефаззификации) проводится обратная декомпозиция, возвращающая значения расчетных и исходных параметров. Это позволит установить причины несоответствия, какие параметры (их значения) привели к итоговому отклонению.

Повторение шагов 2, 3, 4 и 5 до получения внешнего сигнала о завершения работы. Повторение шагов 2-5 целесообразно в случае осуществления постоянного контроля, т.к. возможно изменение объекта защиты, появление новых событий, элементов и т.п.

Формально процедуру обработки данных в заявляемом способе можно представить следующей совокупностью действий.

Пусть V - лингвистическая переменная, за T(V) обозначим множество термов V, T(R, V) - терм лингвистической переменной V, использующийся в правиле R. T(R, V) определяет терм единственным образом, поскольку в рамках одного правила в антецеденте и в консеквенте лингвистическая переменная может использоваться только один раз, и соответствующий правилам граф не содержит контуров. За μT(R,V) обозначим функцию принадлежности нечеткой переменной, соответствующую терму T(R, V). В данных обозначениях каждое правило R можно представить в виде R=(A, C), где , . Множество всех лингвистических переменных обозначим за L.

В рамках заявляемого способа анализу (обработке) подлежат:

L; ∏ - совокупность нечетких правил; серии векторов вида , (m серий); I - множество «контрольных» лингвистических переменных, I⊆L; (α1, α2, …, αl) - пороговые значения для «контрольных» лингвистических переменных.

Без ограничения общности, можно считать, что для L={V1, V2, …, Vl}, лингвистические переменные V1, …, Vk соответствуют компонентам входных векторов, {Vl, Vl-1, …, Vl-|I|+1}=I являются «контрольными» лингвистическими переменными.

Вспомогательная структура данных: М=(μ1, …, μl), где μi функция принадлежности, соответствующая промежуточному значению переменной Vi; ƒi,j - промежуточные значения, полученные при фаззификации и корреляции; ui - промежуточные значения, полученные при расчете нечеткого влияния; imi,j - промежуточные значения, полученные при проведении нечеткой импликации. Граф представляет собой орграф, используемый для представления обратной декомпозиции при выявленных несоответствиях требованиям к условия функционирования сети. Вершинами графа являются лингвистические переменные и правила, входящие в состав онтологии. При инициализации обработки данных множество дуг представляет собой пустое множество.

Последовательности шагов при обработке данных.

1. Проведение топологической сортировки правил графа G, соответствующего набору правил ∏, результатом является упорядоченная последовательность правил (R1, R2, …, Rn), где .

2. Получение значений параметров статической и динамической конфигурации, а также других необходимых системных и сетевых показателей компонентов сети в форме вектора входных параметров .

3. Обработка вектора входных параметров. Выполнение процедуры модифицированного нечеткого логического вывода.

Результаты данного шага - вектор , компоненты которого представляют собой значения «контрольных» лингвистических переменных после дефаззификации и граф DC, используемый при обратной декомпозиции.

4. Оценка полученных значений «контрольных» лингвистических переменных, оценка полученного значения лингвистической переменной «общая степень соответствия»:

Процедура Inform ответственна за консолидацию информации о несоответствиях и деталях несоответствия (с последующим представлением консолидированной информации ответственному лицу или сервису-потребителю информации). При реализации способа пороговые значения αi можно принять равными нулю либо они должны быть заданы отдельно для каждой «контрольной» лингвистической переменной. DC(Vi) - подграф графа DC, представляющий обратную декомпозицию выявленного несоответствия. Подграф строится из графа DC, например, поиском в глубину по обратным дугам до вершин Vi для i ∈ {1, …, k}.

5. Повторение шагов 2, 3 и 4 до получения внешнего сигнала о завершении работы.

Вычислительная сложность представленной процедуры в худшем случае оценивается как O(nlm+mn2) и O(nm) в среднем.

На фиг. 1 изображена структура нечетких правил при осуществлении заявляемого способа (согласно примеру, представленному в описании).

На фиг. 2 представлена таблица 1.

На фиг. 3 представлена таблица 2.

На фиг. 4 представлена таблица 3.

На фиг. 5 представлена таблица 4.

На фиг. 6 представлен полученный граф обратной декомпозиции (согласно примеру, представленному в описании).

На фиг. 7 представлена блок-схема осуществления заявляемого способа.

Пример реализации заявляемого способа.

К примеру, совокупность требований, применимых к сети, указывает, что пользователи не должны использовать ресурсы сети во внерабочее время. Следовательно, наличие некоторого количества пользователей во внерабочее время (например, в ночное) должно указывать на несоответствие требованиям - возможность проникновения. Одновременное наличие большого количества пользователей в сети (например, большее, чем легальное количество пользователей сети в целом) в любом случае должно сигнализировать о нарушении требований и о возможности реализации этапа распространения компьютерной атаки (например, связанной с сетевым червем). В свою очередь зафиксированный факт реализации атаки указывает на то, что уровень риска для сети велик. Кроме того, политика мониторинга (требования к условиям проведения мониторинга) может указывать на необходимость анализа файлов мониторинга не реже чем 1 раз в 3 дня, а политика резервного копирования предполагает ежедневное резервирование ключевой информации. При этом указывается, что состояние отклонения от политики мониторинга при высокой возможности распространения атаки также должно указывать на то, что уровень риска для сети (низкий уровень соответствия требованиям) очень высок. Аналогично для политики резервного копирования.

Для описания приведенных положений политики безопасности могут использоваться следующие правила.

R1: Если время «нерабочее» и пользователей системы «несколько», то возможность проникновения «высокая»;

R2: Если пользователей системы «очень много», то возможность проникновения «высокая» и возможность распространения «высокая»;

R3: Если время, прошедшее с момента последнего анализа файлов мониторинга, «давно», то нарушение политики «выявлено»;

R4: Если время, прошедшее с момента последнего резервного копирования, «давно», то нарушение политики «выявлено»;

R5: Если возможность проникновения «высокая», то уровень риска «высокий»;

R6: Если возможность распространения «высокая» и нарушение политики мониторинга «выявлено», то уровень риска «очень высокий».

Структура правил приведенного примера изображена на фиг. 1.

Таким образом, можно считать, что определена структура контролируемой сети, ее компонентный состав, индивидуальные особенности условий функционирования. Кроме того, зафиксированы условия, при которых состояние контролируемой сети считается нормальным, определены критерии, характеризующие свойства сети, по значению которых делают вывод о состоянии сети; осуществлен выбор входных контролируемых параметров и диапазоны возможных значений входных контролируемых параметров. В качестве входных контролируемых параметров определены лингвистические переменные, спецификация которых приведена в таблице 1 на фиг. 2.

Правила задает следующая таблица 2 на фиг. 3.

Таким образом, сочетание лингвистических переменных и нечетких правил задает онтологию. В качестве пороговых значений выбран нулевой вектор.

Первым шагом является упорядочивание совокупности правил. В рассматриваемом примере видно, что правила уже пронумерованы в соответствии с топологическим порядком - любая дуга графа , исходит из вершины с меньшим номером в вершину с большим.

Второй шаг - получение входных параметров. Пусть на вход поступает вектор входных данных , где соответствует лингвистической переменной Vi для i ∈ {1, 2, 3, 4}.

В рамках третьего шага выполняются шаги модифицированного нечеткого вывода. Промежуточные результаты цикла, выполняющегося для каждого правила, представлены в таблице 3 на фиг. 4.

В результате второго цикла, выполняющегося для каждой контрольной лингвистической переменной, производится процедура дефаззификации - центроидным методом вычисляются значения , где соответствует лингвистической переменной Vi+4 для i ∈ {1, 2, 3, 4}.

Также результаты (в т.ч. оценка полученных значений - 4-й шаг метода) могут быть представлены в форме функций принадлежности (см. таблицу 4 на фиг. 5) вместе с результатами обратной декомпозиции.

Графическое представление полученного графа обратной декомпозиции к представленному примеру приведено на фиг. 6.

1. Способ контроля состояния сети передачи данных, заключающийся в том, что предварительно определяют структуру контролируемой сети, ее компонентный состав и индивидуальные особенности функционирования сети, задают критерии, характеризующие допустимые условия функционирования сети, осуществляют выбор входных параметров, позволяющих на основании их значений сделать вывод о соответствии состояния сети допустимым условиям, определяют возможный диапазон значений входных параметров, для каждого входного параметра задают область определения - диапазон значений, являющийся частью диапазона возможных значений для данного входного параметра, в пределах которого различные значения входного параметра характеризуются общим качественным состоянием, для каждого входного параметра в пределах каждой области его определения задают функцию принадлежности, позволяющую определить нечеткое множество, в пределах которого входной параметр характеризуется качественным состоянием, характерным для конкретной области его определения, а также определяют степень принадлежности значения каждого входного параметра данному нечеткому множеству, каждую функцию принадлежности задают с учетом особенностей структуры контролируемой сети и требований к условиям ее функционирования, каждый входной параметр в пределах каждой области его определения посредством функции принадлежности преобразуют в нечеткую переменную, характеризуемую наименованием, соотносимым с качественным состоянием входного параметра, областью определения, в пределах которой входной параметр характеризуется данным качественным состоянием, и соответствующей функцией принадлежности, при этом количество нечетких переменных для каждого входного параметра соответствует числу предварительно заданных для данного параметра качественных состояний, а совокупная область определения всех нечетких переменных для каждого входного параметра соответствует диапазону возможных значений входного параметра, нечеткие переменные, определяющие все качественные состояния для каждого входного параметра, объединяют во входные лингвистические переменные, каждая из которых характеризуется наименованием, соотносимым с наименованием соответствующего входного параметра, набором нечетких переменных, определяющих качественные состояния входного параметра, наименование которого соотносится с наименованием входной лингвистической переменной, областью определения, представляющей собой совокупную область определения всех нечетких переменных, входящих во входную лингвистическую переменную, формируют выходные лингвистические переменные, каждая из которых характеризуется наименованием, соотносимым с наименованием соответствующего критерия, характеризующего допустимое условие функционирования сети, набором нечетких переменных, каждая из которых определяет качественное состояние сети по выбранному критерию, областью определения, представляющей собой совокупность областей определения всех входящих в выходную лингвистическую переменную нечетких переменных, вывод о значении каждой входной лингвистической переменной определяется нечеткой переменной, являющейся результатом преобразования входного параметра, вывод о значении каждой выходной лингвистической переменной определяется одной из входящих в нее нечеткой переменной, формируют нечеткие правила, устанавливающие взаимосвязь между лингвистическими переменными, при этом условие каждого нечеткого правила содержит не менее одной входной или выходной лингвистической переменной, а заключение нечеткого правила представляет собой вывод о значении выходной лингвистической переменной, нечеткие правила формируют с учетом структуры сети и требований к условиям функционирования сети, все входные параметры, функции принадлежности, нечеткие переменные, лингвистические переменные, нечеткие правила представляют собой машиночитаемые данные, сохранение которых обеспечивают в онтологии, данные, хранящиеся в онтологии, связаны между собой по типу ориентированного бесконтурного графа, вершинами которого являются нечеткие правила или объединенные в одно множество нечеткие правила и лингвистические переменные, при этом обеспечивают формирование связи между двумя вершинами при условии, что в заключение первого правила и в условии второго правила, формирующих соответственно первую и вторую вершины графа, участвует одна и та же лингвистическая переменная, вывод о состоянии сети делают по значению одной или нескольких выходных лингвистических переменных, выбранных для контроля.

2. Способ по п. 1, отличающийся тем, что после получения вывода о состоянии сети осуществляют обратную декомпозицию.

3. Способ по п. 1, отличающийся тем, что перед формированием функций принадлежности осуществляют моделирование нештатных ситуаций в сети, по результатам которых осуществляют корректировку функций принадлежности.

4. Способ по п. 1, отличающийся тем, что обеспечивают сохранение в онтологии результатов каждого предыдущего контроля сети для корректировки функций принадлежности с учетом накопленной статистической информации.

5. Способ по п. 1, отличающийся тем, что значение выходной лингвистической переменной, определяющей вывод о состоянии сети, приводят к числовому значению путем деффазификации.



 

Похожие патенты:

Изобретение относится к области навигации по данным изображения. Технический результат – обеспечение уменьшения задержки, возникающей при навигации по данным изображения, за счет повышения точности предсказания запросов вида.

Изобретение относится к коммуникационным технологиям. Технический результат заключается в повышении эффективности обработки информации.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении управления удалением офлайновых данных при обновлении в офлайновом режиме облегченного приложения.

Изобретение относится к беспроводной связи. Технический результат - повышение качества связи при управлении двунаправленной передачей, даже при сокращении количества управляющей или служебной информации.

Изобретение относится к электросвязи, в частности к устройствам оценки информационного обмена в системах связи. Техническим результатом предлагаемого устройства является повышение точности оценки КПД передачи информации за счет учета при ее определении воздействия на систему связи помех путем дополнительной оценки параметра помехоустойчивости и уточнения с ее помощью оценки КПД передачи информации.

Изобретение относится к обработке электронных сообщений. Технический результат заключается в улучшении обработки электронных сообщений.

Изобретение относится к обработке электронных сообщений. Технический результат заключается в улучшении обработки электронных сообщений.

Изобретение относится к обработке электронных сообщений. Технический результат заключается в улучшении обработки электронных сообщений.

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении скорости передачи данных.

Изобретение относится к технике связи и может использоваться в системах для передачи данных. Технический результат состоит в повышении пропускной способности каналов передачи.

Изобретение относится к компьютерной технике, а именно к области электронной почты. Технический результат – обеспечение ускоренной работы пользователя с электронной почтой.

Изобретение относится к автоматизированному определению языка или языковой группы (например, романская, германская, кельтская, славянская и т.д.), к которой относится язык анализируемого текста.

Изобретение относится к способу, машиночитаемому носителю данных и системе извлечения данных из структурированного документа. Технический результат заключается в повышении точности формирования объекта структурированного документа за счет дополнительного анализа таблицы и модификации формируемого объекта данных, представленного таблицей, на основе этого анализа.

Изобретение относится к способу, машиночитаемому носителю данных и системе для создания корпуса сравнимых документов. Технический результат заключается в возможности автоматического формирования корпуса сравнимых документов.

Изобретение в целом относится к вычислительным системам, а точнее к системам и способам обработки естественного языка. Техническим результатом является повышение точности и уменьшение времени сравнения текстовых фрагментов за счет обеспечения автоматического сопоставления семантических значений предложений и их частей независимо от способа их синтаксического выражения.

Изобретение относится к интеллектуальному управлению устройством. Технический результат - простое, удобное и более быстрое управление интеллектуальным устройством за счет использования переносного самонастраиваемого управляющего устройства посредством инициирования на переносном устройстве события ввода на основе информации параметров, включенной в графический интерфейс взаимодействия, отображаемый на данном устройстве.

Изобретение относится к средствам ассоциирования текстовых сообщений с электронной таблицей, хранимой в первом вычислительном устройстве. Технический результат заключается в ускорении обработки электронной таблицы на устройствах с малым дисплеем.

Изобретение относится к способу и шлюзовому компьютеру для интеграции множества транзакционных услуг. Технический результат заключается в повышении эффективности проведения транзакций за счет преобразования данных в форматы данных для обмена данными с поставщиками и эквайерами.

Изобретение относится к извлечению и интерпретации информации из неструктурированных текстов на естественных языках, в частности, к машинному извлечению и интерпретации информации в текстовых документах.

Изобретение относится к области обработки естественного языка, а именно к извлечению и поиску информации по коллекции документов. Технический результат - эффективная идентификация информационных объектов, представленных в документе, и информационных объектов в хранилище документов.

Изобретение относится к обработке телеметрической информации (ТМИ), получаемой при проведении приемо-сдаточных и летно-конструкторских испытаний беспилотных летательных аппаратов (БПЛА).
Наверх