3.3. Методология оценки достоверности информационной базы прогнозирования показателей уязвимости информации

Общий алгоритм работы эксперта при решении задачи оценки уязвимости информации может быть представлен так, как показано на рис. 3.1. Определяющей компонентой здесь является формирование взаимосвязанной совокупности базы данных (БД), базы знаний (БЗ) и базы моделей (БМ). Назовем эту совокупность интегрированной базой данных (ИБД).

Нетрудно видеть, что указанный алгоритм в отличие от известного алгоритма вычислительного эксперимента с имитационной моделью имеет признаки, характерные для самоорганизующихся систем, и позволяет эксперту использовать данные, знания, объективные и субъективные модели для анализа и решения поставленной проблемы. При этом решающее значение приобретает оценка достоверности входящей в ИБД информации.

Рис. 3.1. Общий алгоритм работы эксперта

Определим достоверность как «уровень разумной уверенности в истинности некоего высказывания, который удовлетворяет некоторым правилам непротиворечивости и в соответствии с этими правилами формально может быть выражен числом» [43].

Известные подходы к решению проблемы оценки достоверности связаны с применением теоремы Байеса (в широком смысле) (см. [43]) и теории нечетких множеств, на основе которых разработаны способы объединения свидетельств, регистрирующих связи между фрагментами.

Используя идею байесовского подхода, можно поставить вопрос о достоверности фрагментов ИБД в более общем плане, рассматривая любой ее фрагмент как гипотезу, а фрагменты, с которыми он связан, как свидетельства относительно фрагмента-гипотезы. Под фрагментом ИБД будем понимать часть содержания или структуры, обладающую свойством дискретности и независимости (в идеале содержащую одно независимое понятие), т.е. некоторую совокупность данных или высказываний, имеющую самостоятельный смысл.

Достоверность (Д) фрагмента, поступающего в ИБД, зависит от достоверности источника информации и методики ее получения. Каждый вновь поступающий в ИБД фрагмент (НФЗ – новый фрагмент знаний) есть пара:

НФЗ = <З, Д>, (3.9)

где З - значение фрагмента;

Д - достоверность фрагмента.

Разделим фрагменты-свидетельства на классы:

прямые свидетельства (ПС);

косвенные свидетельства: условные (УС) и связанные (СС).

Под прямыми свидетельствами будем понимать фрагменты типа измерения значения фрагмента-гипотезы. Они составляют выборку, на основании которой могут быть рассчитаны оценки значения фрагмента-гипотезы, и регистрируют, в основном, статистические связи между фрагментами.

Под условными свидетельствами будем понимать фрагменты типа: «если А и/или В, то С с достоверностью Р». С их помощью можно регистрировать качественные экспертные оценки, логические связи между фрагментами и априорные знания о фрагменте-гипотезе (условия применения того или иного метода, условные функции распределения и т.п.).

Связанные свидетельства регистрируют функциональные или системные связи между фрагментом-гипотезой и другими фрагментами, т.е. структуру некоторой достаточно автономной части ИБД (формулы, модели и т.п.).

НФЗ, будучи включенным в ИБД, взаимодействует с уже содержащимися в ней фрагментами и гипотезами, изменяя как их значения, так и достоверности. Эта реакция достаточно сложна и вызывает модификацию значений и достоверностей всех старых фрагментов ИБД, так или иначе связанных с вновь поступившими НФЗ. Для описания процесса модификации введем понятия системного значения (СЗ) и системной достоверности (СД) фрагмента ИБД, определяемых с учетом всех свидетельств, содержащихся в ИБД.

Таким образом, с учетом введенной классификации проблема оценки достоверности сводится к разработке методов определения в качестве атрибутов фрагмента-гипотезы ИБД системных достоверностей фрагментов, являющихся для данного фрагмента-гипотезы свидетельствами, а также системной достоверности данного фрагмента-гипотезы.

Рассмотрим возможность разработки формального алгоритма модификации фрагмента ИБД, а также методов обработки свидетельств.

Для модификации значения и достоверности фрагмента ИБД при изменении состава свидетельств можно использовать алгоритм, блок-схема которого изображена на рис. 3.2.

Рис. 3.2. Блок-схема алгоритма вычисления системного значения и системной достоверности фрагмента ИБД

Предполагается, что фрагменты представлены в ИБД в виде фреймов (элементов знаний), которые включают в свой состав значение фрагмента (З) и его достоверность (Д) при поступлении.

Алгоритм работает следующим образом. В блоке П₁ (рис. 3.2) формируются параметры выборки прямых свидетельств и на их основе – точечные или интервальные оценки (ПЗ_k, ПД_k) параметров распределения значения k-го фрагмента. Эти оценки присваиваются соответствующим элементам данного фрагмента, а также подаются на вход блока П₂.

В блоке П₂ вычисляются условное значение и условная достоверность (УЗ_k, УД_k) k-го фрагмента с учетом состояния условий и ограничений блока П₂ в данный момент. Полученные УЗ_k и УД_k присваиваются соответствующим элементам фрагмента и одновременно подаются на вход блока П₃. До обработки выборки можно пропустить через блок П₂ каждое ПС.

В блоке П₃ рассматриваются значение (УЗ_k) и достоверность (УД_k) поступившего нового свидетельства и для каждого связанного свидетельства (модели, содержащей этот фрагмент) уточняется вектор состояния, а результат снова подается на вход П₂. Процесс заканчивается при достижении заданного числа итераций или заданной точности оценки. Новые системные оценки получат значения всех фрагментов, являющихся составляющими векторов состояний моделей блока П₃. Значения СЗ_k и СД_k присваиваются соответствующим элементам данного фрагмента.

Очевидная проблема, возникающая при реализации описанного подхода, это разрастание числа фрагментов, вовлекаемых в алгоритм, до числа содержащихся в ИБД, включая все модели. Чтобы ее разрешить, необходимо ограничить число связей между фрагментами, регистрируя только самые существенные. Вопрос этот решает сам эксперт. Как следствие появляются варианты системной достоверности:

СДД – по К наиболее достоверным свидетельствам;

СДЦ – по К наиболее ценным свидетельствам;

СДП – по К последним свидетельствам.

Иными словами, для каждой конкретной задачи необходимо актуализировать свою определенную часть ИБД, т.е. уметь выделить наиболее существенные связи и фрагменты (доминант-фрагменты), образующие поле вычислительного эксперимента. Это позволит не только ограничить множество фрагментов и связей, но и повысить непротиворечивость фрагментов, выделенных из ИБД для решения конкретной задачи.

Рассмотрим более подробно методы обработки свидетельств, которые могут быть применены в описанном алгоритме модификации.

Прямые и условные свидетельства могут быть предварительно структурированы в кубе с осями “фрагмент-источник-время” (рис. 3.3).

Рис. 3.3. Представление свидетельств в виде куба

(фрагмент, время, источник)

Этот куб можно рассматривать как многоэтапную экспертизу и применить к нему методы обработки экспертных оценок, рассматривая источники информации как отдельных экспертов. Различные сечения куба позволяют анализировать разные свойства сгруппированной таким образом информации:

зависимости фрагментов Ф₁,...,Ф_k от источников информации И₁,...,И_n на некоторый момент времени (статика);

зависимости фрагментов Ф₁,...,Ф_k от времени по сведениям из одного источника (динамика);

зависимости одного фрагмента Ф_i от времени по сведениям из разных источников (динамика).

Любые достоверные данные, поступившие в ИБД и относящиеся к определенному моменту времени, рассматриваются на этот момент как эталонные, в соответствии с чем на этот же момент времени пересчитываются и достоверности источников информации. Эти методы традиционны для экспертных систем.

Вычислив параметры выборки, мы можем:

назначить фрагменту-гипотезе значение и достоверность;

модифицировать всем фрагментам - ПС достоверности, оставив их значения прежними;

модифицировать достоверности источников информации.

Кроме метода экспертных оценок для обработки ПС и УС могут быть применены другие достаточно традиционные методы теории вероятностей и математической статистики, а выбор их зависит от наличия априорной информации об исследуемом объекте.

При выборе методов обработки связанных свидетельств, необходимо исходить из того, что такими свидетельствами являются модели исследуемого процесса защиты информации и внешней среды.

Строя модель, фиксируя в ней структуру и параметры исследуемого процесса защиты информации, в том числе оценивая уровень ее безопасности, анализируя результат вычислительного эксперимента и модифицируя в соответствии с ним, а также в соответствии с поступающими свидетельствами фрагменты ИБД, эксперт тем самым формализует свои интуитивные представления и личный профессиональный опыт.

Этот процесс построения моделей самим экспертом и их постоянной модификации при появлении новой информации и является описанным выше процессом автоформализации знаний эксперта. При этом, начальные варианты моделей, как правило, достаточно просты, часто линейны или линеаризованы. Основная задача на первых итерациях – обеспечить принципиальную правильность и устойчивость модели. Однако, для ее дальнейшего улучшения очевидно необходим анализ всей вновь поступающей информации о векторе ее состояния, на основании которого можно было бы модифицировать значения и достоверности фрагментов модели, устранить в ней структурные и параметрические неопределенности.

Понятный и достаточно универсальный алгоритм модификации значения и достоверности вектора состояния моделей такого типа (т.е. целой связки фрагментов) по поступившей информации о некоторых фрагментах вектора состояния дает применение формального аппарата теории динамических систем, устойчивых к отказам [44], в основе которого лежит Байесов подход. Этот аппарат хорошо развит применительно к вероятностным системам, параметры и структура которых могут скачкообразно меняться в случайные моменты времени. Учитывая неполноту БЗ и неопределенность БД, можно сделать вывод, что большинство моделей в задачах оценки и прогнозирования уровня уязвимости информации будет принадлежать именно к этому классу.