ISSN 2305-5626. Вестник МГТУ им. Н.Э. Баумана: электронное издание. 2013
2
ходным кодом. В результате выделены основные недостатки суще-
ствующих систем: отсутствие сертификатов ФСТЭК и ФСБ; отсут-
ствие средств противодействия атакам, использующим технологию
аппаратной виртуализации. Основные достоинства данных систем
приняты в качестве базовых требований к разрабатываемой СОПВ.
Ключевым элементом СОПВ является модуль классификации со-
стояний автоматизированной системы. Для выбора математических
алгоритмов, лежащих в основе данного модуля и дополнительных
модулей (оценки аномальности распределения сетевого трафика и
оценки аномальности сетевых протоколов), проведен сравнительный
анализ методов обработки сетевой информации.
В качестве алгоритма модуля классификации состояния автома-
тизированной системы выбраны экспертные системы с элементами
нечеткой логики [3] (алгоритм Мамдани [4]). Данный алгоритм со-
стоит из нескольких этапов:
– формирование базы правил вида
RULE_1: IF “Condition_1”
THEN “Conclusion_1” (F1) AND “Conclusion_2” (F2)
;
– фаззификация входных переменных. На вход поступают сфор-
мированная база правил и массив входных данных
А
= {
a
1
, ...,
a
m
}, где
m
— количество входных переменных. В массиве содержатся значения
всех входных переменных. Целью этапа является получение значений
истинности для всех подусловий из базы правил, т. е. для каждого из
подусловий находится значение
b
i
= μ(
a
i
). Таким образом, получается
множество значений
b
i
, где
i
= 1, …,
m
;
– агрегирование подусловий. Условие правила может быть состав-
ным, т. е. включать подусловия, связанные между собой с помощью
логической операции
AND
. Целью этого этапа является определение
степени истинности условий для каждого правила системы нечеткого
вывода. Упрощенно говоря, для каждого условия находим минималь-
ное значение истинности всех его подусловий. Формально это выгля-
дит так:
c
j
=
min{
b
i
},
где
j
= 1, …,
n
;
n
— количество условий;
– активизация подзаключений. На этом этапе происходит переход
от условий к подзаключениям. Для каждого подзаключения находит-
ся степень истинности
i
i i
d c F
=
, где
i
= 1, …,
q
;
q
— количество под-
заключений. Затем опять же каждому
i
-му подзаключению ставится
множество
D
i
с новой функцией принадлежности. Ее значение опре-
деляется как минимум из
d
i
и значения функции принадлежности
терма из подзаключения. Этот метод называется min-активизацией,
который формально записывают следующим образом:
( )
i
x
′μ
=
= min {
d
i
, μ
i
(
x
)}, где
( )
i
x
′μ
— «активизированная» функция принад-
лежности; μ
i
(
x
) — функция принадлежности терма;
d
i
— степень ис-
тинности
i
-го подзаключения. Цель этого этапа — получение сово-
купности «активизированных» нечетких множеств
D
i
для каждого из
подзаключений в базе правил (
i
= 1, …,
q
);