RU2610287C1 - Method of monitoring state of data transmission network - Google Patents

Method of monitoring state of data transmission network Download PDF

Info

Publication number
RU2610287C1
RU2610287C1 RU2015153126A RU2015153126A RU2610287C1 RU 2610287 C1 RU2610287 C1 RU 2610287C1 RU 2015153126 A RU2015153126 A RU 2015153126A RU 2015153126 A RU2015153126 A RU 2015153126A RU 2610287 C1 RU2610287 C1 RU 2610287C1
Authority
RU
Russia
Prior art keywords
fuzzy
network
input
variables
input parameter
Prior art date
Application number
RU2015153126A
Other languages
Russian (ru)
Inventor
Валентин Викторович Богданов
Original Assignee
Валентин Викторович Богданов
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Валентин Викторович Богданов filed Critical Валентин Викторович Богданов
Priority to RU2015153126A priority Critical patent/RU2610287C1/en
Application granted granted Critical
Publication of RU2610287C1 publication Critical patent/RU2610287C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Artificial Intelligence (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

FIELD: physics, computer engineering.
SUBSTANCE: invention relates to engineering cybernetics. The technical result is achieved due to that the method of monitoring the state of a data transmission network comprises setting for each input parameter a determination region - a range of values that are part of the range of possible values for said input parameter, within which different values of the input parameter is characterised by a common qualitative state, for each input parameter within each region of determination thereof, setting a membership function which enables to determine a fuzzy set, wherein each input parameter within each region of determination thereof, through the membership function, is converted into a fuzzy variable, characterised by a name, fuzzy variables are combined into input linguistic variables, output linguistic variables are generated, and the conclusion on the value of each input linguistic variable is determined by the fuzzy variable.
EFFECT: invention provides a real-time method of monitoring the state of a data transmission network for real-time detection of an off-nominal situation, incidents associated with, for example, the threat of violation of security or violation of security requirements.
5cl, 7 dwg

Description

Изобретение относится к области технической кибернетики, а именно к способам осуществления комплексного контроля состояния сетей передачи данных по разнородной измерительной информации, и может быть использовано в автоматизированных системах обработки информации и анализа состояния сети, в том числе для защиты информации, мониторинга и контроля соответствия требованиям, предъявляемым к сети. Изобретение предназначено для использования в сетях передачи данных различного вида, в том числе в локальных сетях передачи данных, беспроводных, персональных, глобальных, промышленных, специализированных и прочих сетях передачи данных.The invention relates to the field of technical cybernetics, and in particular to methods for implementing integrated monitoring of the state of data transmission networks for heterogeneous measurement information, and can be used in automated information processing and network status analysis systems, including for information protection, monitoring and compliance monitoring, presented to the network. The invention is intended for use in various types of data transmission networks, including local data transmission networks, wireless, personal, global, industrial, specialized and other data transmission networks.

Известен способ мониторинга компьютерной системы по патенту РФ №2424564 на изобретение, в котором аккумулируют события, описывающие поведение компьютерной системы, разделяют события на группы по их типу и анализируют события для определения причин необычного поведения и/или проблемы в работе системы, отличающийся тем, что анализируют события, выполняя следующие операции:There is a known method of monitoring a computer system according to the patent of the Russian Federation No. 2424564 for an invention in which events describing the behavior of a computer system are accumulated, events are divided into groups according to their type and events are analyzed to determine the causes of unusual behavior and / or problems in the operation of the system, characterized in that analyze events by performing the following operations:

- кластеризуют события из каждой группы событий в набор кластеров, при этом вычисляют сходство между событиями, применяя метрику сходства;- cluster events from each group of events into a set of clusters, while calculating the similarity between the events using the similarity metric;

- определяют кластеры, которые описывают ненормальное поведение или проблемы в работе системы, при этом используют следующее правило: если событие в кластере содержит информацию о том, что функция системы возвратила неверное значение, тогда такой кластер считают кластером, который описывает ненормальное поведение или проблемы в работе системы;- identify clusters that describe abnormal behavior or problems in the system, while using the following rule: if an event in the cluster contains information that the system function returned an incorrect value, then such a cluster is considered a cluster that describes abnormal behavior or problems in operation systems;

- определяют причины ненормального поведения или проблем в работе системы, при этом определяют стабильные компоненты событий в каждом кластере, которые описывают ненормальное поведение или проблемы в работе системы: для i-го аргумента каждого события вычисляют среднее сходство M(i) с другими событиями и дисперсию D(i); считают аргумент стабильным, если дисперсия сходства в кластере находится в интервале [M(i)-D(i), M(i)+D(i)];- determine the causes of abnormal behavior or problems in the operation of the system, while determining the stable components of events in each cluster that describe abnormal behavior or problems in the operation of the system: for the ith argument of each event, calculate the average similarity of M (i) to other events and the variance D (i); consider the argument stable if the variance of similarity in the cluster is in the interval [M (i) -D (i), M (i) + D (i)];

- отображают кластеры и отмечают причины ненормального поведения или проблем в работе системы для пользователя.- display clusters and note the causes of abnormal behavior or problems in the system for the user.

В способе могут вычислять сходство между событиями, применяя метрику сходства, используя при этом коэффициент Дайса и набор предельных значений для каждого типа аргумента событий: два аргумента разных событий считают сходными, если значение коэффициента Дайса для этих аргументов больше, чем предельное значение для данного типа аргумента; два события считают сходными, если сходны все аргументы этих событий, а также возвращаемые события; новое событие заносят в кластер, если это событие сходно хотя бы с одним событием из кластера. В способе возможно отображать кластеры и отмечать причины ненормального поведения или проблем в работе системы для пользователя, при этом части каждого события в кластере, которые приводят к ошибке, возможно выделять цветом.The method can calculate the similarity between events using the similarity metric, using the Dyce coefficient and a set of limit values for each type of event argument: two arguments of different events are considered similar if the value of the Dyce coefficient for these arguments is greater than the limit value for this type of argument ; two events are considered similar if all arguments of these events are similar, as well as the events returned; a new event is entered into the cluster if this event is similar to at least one event from the cluster. In the method it is possible to display clusters and note the causes of abnormal behavior or problems in the system for the user, while the parts of each event in the cluster that lead to an error can be highlighted.

Недостатком способа по патенту РФ №2424564 является, во-первых, ограниченность области действия изобретения, которое может быть применено только во встроенных компьютерных системах для определения причин необычного поведения и/или проблем в работе системы при выполнении программ. В качестве объекта анализа выбирают события, генерируемые средством профилирования. Каждое событие соответствует входу в (или возврату из) функцию ядра компьютерной системы. Событие содержит следующую информацию: ID функций, которые инициируют генерацию события, ID процесса и потока (контекста и вызова), аргументы (или возвращаемое значение). Список, содержащий аргументы и возвращаемые значения каждого системного вызова, используют в качестве вектора для процедуры кластеризации.The disadvantage of the method according to the patent of the Russian Federation No. 2424564 is, firstly, the limited scope of the invention, which can be applied only in embedded computer systems to determine the causes of unusual behavior and / or problems in the system when executing programs. The events generated by the profiling tool are selected as the object of analysis. Each event corresponds to an entrance to (or return from) the function of the core of a computer system. The event contains the following information: IDs of the functions that trigger the generation of the event, process and thread ID (context and call), arguments (or return value). A list containing the arguments and return values of each system call is used as a vector for the clustering procedure.

Во-вторых, в реальных условиях данные, подвергаемые анализу, могут иметь разнородную и неструктурированную природу. Кроме того, не вводятся и не определяются критерии и требования, на предмет соответствия которым необходимо проводить анализ, в том числе автоматическими методами. Проводится лишь только группировка по схожим признакам, определяемым коэффициентом Дайса для последующей визуализации результата.Secondly, in real conditions, the data being analyzed can have a heterogeneous and unstructured nature. In addition, the criteria and requirements for compliance with which it is necessary to conduct an analysis, including automatic methods, are not introduced or defined. Only grouping is carried out according to similar characteristics, determined by the Dyce coefficient for subsequent visualization of the result.

Известен способ мониторинга безопасности автоматизированной системы по патенту РФ №2355024 на изобретение, заключающийся в том, что предварительно задают множество из N≥2 контролируемых параметров, характеризующих безопасность автоматизированной системы, М≥N эталонных значений контролируемых параметров и их коэффициенты важности KB, а затем выполняют цикл анализа, для чего измеряют значения контролируемых параметров, сравнивают их с эталонными, а по результатам сравнения формируют отчет и по сформированному отчету принимают решение о безопасности автоматизированной системы, при этом, согласно изобретению, из числа предварительно заданных контролируемых параметров формируют G≥2 групп контролируемых параметров, причем каждая g-я группа контролируемых параметров, где g=1, 2, , G, характеризует безопасность g-го структурного элемента и/или функционального процесса автоматизированной системы, а коэффициенты важности

Figure 00000001
задают для каждой g-й группы. Дополнительно для каждой g-й группы контролируемых параметров задают максимальное
Figure 00000002
и минимальное
Figure 00000003
значения временных интервалов измерений значений контролируемых параметров и момент времени
Figure 00000004
формирования отчета о безопасности автоматизированной системы, устанавливают значение интервала времени измерения контролируемых параметров g-й группы равным максимальному
Figure 00000005
, а после сравнения измеренных значений параметров с эталонными, в случае их совпадения, цикл анализа безопасности автоматизированной системы повторяют до наступления момента времени
Figure 00000006
формирования отчета о безопасности автоматизированной системы, а при несовпадении измеренных значений параметров с эталонными запоминают их, корректируют значение временного интервала измерений по формуле
Figure 00000007
, сравнивают откорректированное значение
Figure 00000008
с минимальным
Figure 00000009
и при
Figure 00000010
цикл анализа безопасности автоматизированной системы повторяют, а при
Figure 00000011
формируют сигнал тревоги о выходе контролируемых параметров в g-й группе за пределы допустимых значений, блокируют работу элементов автоматизированной системы, параметры которых вышли за пределы допустимых значений, причем в отчет о состоянии автоматизированной системы включают сведения о заблокированных элементах автоматизированной системы.A known method of monitoring the security of an automated system according to the patent of the Russian Federation No. 2355024 for the invention, which consists in pre-setting a set of N≥2 monitored parameters characterizing the security of the automated system, M≥N reference values of the monitored parameters and their importance factors K B , and then perform an analysis cycle, for which they measure the values of the monitored parameters, compare them with the reference ones, and form a report based on the results of the comparison and decide on the generated report safety of an automated system, in this case, according to the invention, G≥2 groups of monitored parameters are formed from a number of predefined monitored parameters, each gth group of monitored parameters, where g = 1, 2, ... , G, characterizes the safety of the gth structural element and / or functional process of an automated system, and importance factors
Figure 00000001
set for each gth group. Additionally, for each gth group of controlled parameters, the maximum
Figure 00000002
and minimum
Figure 00000003
values of time intervals for measuring values of controlled parameters and time
Figure 00000004
generating a report on the security of the automated system, set the value of the time interval for measuring the controlled parameters of the gth group equal to the maximum
Figure 00000005
, and after comparing the measured values of the parameters with the reference, if they coincide, the safety analysis cycle of the automated system is repeated until the time
Figure 00000006
generating a report on the safety of the automated system, and if the measured parameter values do not coincide with the reference values, they are stored, the value of the measurement time interval is adjusted according to the formula
Figure 00000007
compare the adjusted value
Figure 00000008
with minimal
Figure 00000009
and with
Figure 00000010
the safety analysis cycle of the automated system is repeated, and when
Figure 00000011
they generate an alarm signal about the output of the controlled parameters in the gth group beyond the permissible values, block the operation of the elements of the automated system, the parameters of which are outside the permissible values, and information about the blocked elements of the automated system is included in the report on the state of the automated system.

Недостатком способа по патенту РФ №2355024 является его недостаточная достоверность, обусловленная тем, что при анализе сравниваются конкретные четкие значения контролируемых параметров, что не позволяет в полной мере учесть специфику контролируемой автоматизированной системы (поскольку для одних систем и условий работы систем определенные значения контролируемых параметров будут критичными, а для других систем и условий их работы те же самые значения контролируемых параметров будут являться допустимыми) и выявить отклонения от нормальных режимов работы системы в целом, агрегируя информацию о незначительных локальных отклонениях (поскольку каждый анализируемый параметр рассматривается отдельно), поскольку для одних систем и условий работы систем определенные значения контролируемых параметров будут критичными, а для других систем и условий их работы те же самые значения контролируемых параметров будут являться допустимыми.The disadvantage of the method according to the patent of the Russian Federation No. 2355024 is its lack of reliability, due to the fact that the analysis compares the specific clear values of the controlled parameters, which does not allow to fully take into account the specifics of the controlled automated system (since for certain systems and operating conditions of the systems, certain values of the controlled parameters will be critical, and for other systems and their operating conditions, the same values of the monitored parameters will be acceptable) and identify deviations from the norm operating modes of the system as a whole, aggregating information about insignificant local deviations (since each analyzed parameter is considered separately), since for some systems and operating conditions of systems certain values of controlled parameters will be critical, and for other systems and their working conditions the same values of controlled parameters will be valid.

Способ по патенту РФ №2355024 на изобретение выбран в качестве наиболее близкого аналога (прототипа).The method according to RF patent No. 2355024 for the invention is selected as the closest analogue (prototype).

Задача, решаемая предлагаемым изобретением - создание универсального, достоверного, оперативного способа контроля состояния сети передачи данных.The problem solved by the invention is the creation of a universal, reliable, operational way of monitoring the status of the data network.

Технический результат, достигаемый изобретением - оперативное обнаружение нештатной ситуации, инцидента, связанных, например, с угрозой нарушения безопасности, с нарушением требований безопасности, сокращение сроков анализа параметров контролируемых объектов, повышение достоверности и расширение функциональных возможностей.The technical result achieved by the invention is the rapid detection of an abnormal situation, an incident related, for example, with a threat of a security breach, with a violation of security requirements, shortening the analysis of parameters of controlled objects, increasing reliability and expanding functionality.

Технический результат достигается за счет того, что в способе контроля состояния сети передачи данных, заключающемся в том, что предварительно определяют структуру контролируемой сети, ее компонентный состав и индивидуальные особенности функционирования сети, задают критерии, характеризующие допустимые условия функционирования сети, осуществляют выбор входных параметров, позволяющих на основании их значений сделать вывод о соответствии состояния сети допустимым условиям, определяют возможный диапазон значений входных параметров, для каждого входного параметра задают область определения - диапазон значений, являющийся частью диапазона возможных значений для данного входного параметра, в пределах которого различные значения входного параметра характеризуются общим качественным состоянием, для каждого входного параметра в пределах каждой области его определения задают функцию принадлежности, позволяющую определить нечеткое множество, в пределах которого входной параметр характеризуется качественным состоянием, характерным для конкретной области его определения, а также определяют степень принадлежности значения каждого входного параметра данному нечеткому множеству, каждую функцию принадлежности задают с учетом особенностей структуры контролируемой сети и требований к условиям ее функционирования, каждый входной параметр в пределах каждой области его определения посредством функции принадлежности преобразуют в нечеткую переменную, характеризуемую наименованием, соотносимым с качественным состоянием входного параметра, областью определения, в пределах которой входной параметр характеризуется данным качественным состоянием, и соответствующей функцией принадлежности, при этом количество нечетких переменных для каждого входного параметра соответствует числу предварительно заданных для данного параметра качественных состояний, а совокупная область определения всех нечетких переменных для каждого входного параметра соответствует диапазону возможных значений входного параметра, нечеткие переменные, определяющие все качественные состояния для каждого входного параметра, объединяют во входные лингвистические переменные, каждая из которых характеризуется наименованием, соотносимым с наименованием соответствующего входного параметра, набором нечетких переменных, определяющих качественные состояния входного параметра, наименование которого соотносится с наименованием входной лингвистической переменной, областью определения, представляющей собой совокупную область определения всех нечетких переменных, входящих во входную лингвистическую переменную, формируют выходные лингвистические переменные, каждая из которых характеризуется наименованием, соотносимым с наименованием соответствующего критерия, характеризующего допустимое условие функционирования сети, набором нечетких переменных, каждая из которых определяет качественное состояние сети по выбранному критерию, областью определения, представляющей собой совокупность областей определения всех входящих в выходную лингвистическую переменную нечетких переменных, вывод о значении каждой входной лингвистической переменной определяется нечеткой переменной, являющейся результатом преобразования входного параметра, вывод о значении каждой выходной лингвистической переменной определяется одной из входящих в нее нечеткой переменной, формируют нечеткие правила, устанавливающие взаимосвязь между лингвистическими переменными, при этом условие каждого нечеткого правила содержит не менее одной входной или выходной лингвистической переменной, а заключение нечеткого правила представляет собой вывод о значении выходной лингвистической переменной, нечеткие правила формируют с учетом структуры сети и требований к условиям функционирования сети, все входные параметры, функции принадлежности, нечеткие переменные, лингвистические переменные, нечеткие правила представляют собой машиночитаемые данные, сохранение которых обеспечивают в онтологии, данные, хранящиеся в онтологии, связаны между собой по типу ориентированного бесконтурного графа, вершинами которого являются нечеткие правила или объединенные в одно множество нечеткие правила и лингвистические переменные, при этом обеспечивают формирование связи между двумя вершинами при условии, что в заключение первого правила и в условии второго правила, формирующих соответственно первую и вторую вершины графа, участвует одна и та же лингвистическая переменная, вывод о состоянии сети делают по значению одной или нескольких выходных лингвистических переменных, выбранных для контроля.The technical result is achieved due to the fact that in the method for monitoring the state of the data transmission network, which consists in preliminarily determining the structure of the monitored network, its component composition and individual features of the network’s functioning, set criteria that characterize the permissible conditions for the network’s functioning, select input parameters, allowing on the basis of their values to conclude that the network state corresponds to acceptable conditions, determine a possible range of input parameters, For each input parameter, a domain of definition is defined — a range of values that is part of the range of possible values for a given input parameter, within which various values of the input parameter are characterized by a general qualitative state, for each input parameter, within each domain of its definition, an membership function is defined that allows one to determine fuzzy the set within which the input parameter is characterized by a qualitative state characteristic of a specific area of its definition phenomena, and also determine the degree of belonging of the values of each input parameter to a given fuzzy set, each membership function is set taking into account the peculiarities of the structure of the controlled network and the requirements for the conditions of its operation, each input parameter within each domain of its determination is converted into a fuzzy variable characterized by the name correlated with the qualitative state of the input parameter, the domain of definition, within which the input parameter is characterized by this qualitative state and the corresponding membership function, while the number of fuzzy variables for each input parameter corresponds to the number of qualitative states predefined for this parameter, and the total domain of definition of all fuzzy variables for each input parameter corresponds to the range of possible values of the input parameter, fuzzy variables, defining all qualitative states for each input parameter, combine into input linguistic variables, each of which is characterized by a name corresponding to the name of the corresponding input parameter, a set of fuzzy variables that determine the qualitative state of the input parameter, the name of which corresponds with the name of the input linguistic variable, the domain of definition, which is the total domain of all fuzzy variables included in the input linguistic variable, form the output linguistic variables, each of which is characterized by a novation corresponding to the name of the corresponding criterion characterizing the admissible condition for the functioning of the network, a set of fuzzy variables, each of which determines the qualitative state of the network according to the selected criterion, a domain of definition, which is a set of definition areas of all fuzzy variables included in the output linguistic variable, a conclusion about the value of each the input linguistic variable is determined by a fuzzy variable resulting from the conversion of the input parameter Tra, the conclusion about the value of each output linguistic variable is determined by one of the fuzzy variables included in it, fuzzy rules are formed that establish the relationship between linguistic variables, while the condition of each fuzzy rule contains at least one input or output linguistic variable, and the conclusion of the fuzzy rule is the conclusion about the value of the output linguistic variable, fuzzy rules are formed taking into account the network structure and the requirements for the network functioning conditions, input parameters, membership functions, fuzzy variables, linguistic variables, fuzzy rules are machine-readable data that are stored in the ontology, the data stored in the ontology are interconnected by the type of oriented contour graph whose vertices are fuzzy rules or combined into one set fuzzy rules and linguistic variables, while ensuring the formation of a connection between two vertices, provided that at the conclusion of the first rule and in condition According to the second rule, which form the first and second vertices of the graph, the same linguistic variable is involved, the network status is drawn from the value of one or more output linguistic variables selected for control.

После получения вывода о состоянии сети возможно осуществление обратной декомпозиции.After receiving a conclusion about the network status, reverse decomposition is possible.

Перед формированием функций принадлежности возможно осуществление моделирования нештатных ситуаций в сети, по результатам которых осуществляют корректировку функций принадлежности.Before the formation of membership functions, it is possible to simulate contingencies in the network, according to the results of which the membership functions are adjusted.

Целесообразно обеспечивать сохранение в онтологии результатов каждого предыдущего контроля сети для корректировки функций принадлежности с учетом накопленной статистической информации.It is advisable to ensure that the results of each previous network control are stored in the ontology to adjust membership functions taking into account the accumulated statistical information.

Значение выходной лингвистической переменной, определяющей вывод о состоянии сети, целесообразно приводить к числовому значению путем деффазификации.The value of the output linguistic variable that determines the conclusion about the state of the network, it is advisable to lead to a numerical value by defazification.

В заявляемом способе обеспечивается повышение степени защищенности сети передачи данных, ее компонентов и информации, циркулирующей в ней, за счет автоматического оперативного в режиме реального времени контроля (анализа) сети и ее компонентов на предмет соответствия требованиям, задаваемым политикой информационной безопасности, иным требованиям, предъявляемым к условиям функционирования сети и ее компонентов. Заявленное изобретение может использоваться в локальных, глобальных, частных и беспроводных вычислительных сетях, автоматизированных системах управления и автоматизации (в т.ч. технологическими процессами и комплексами), в системах управления, в том числе в информационно аналитических системах и в сетях типа «Интернет вещей».The claimed method provides an increase in the degree of security of the data transmission network, its components and the information circulating in it, due to automatic real-time real-time monitoring (analysis) of the network and its components for compliance with the requirements specified by the information security policy and other requirements to the conditions of functioning of the network and its components. The claimed invention can be used in local, global, private and wireless computer networks, automated control and automation systems (including technological processes and complexes), in control systems, including information-analytical systems and networks such as “Internet of things” ".

В заявляемом способе предварительно определяют структуру контролируемой сети, ее компонентный состав, индивидуальные особенности условий функционирования. Затем определяют условия, при которых состояние контролируемой сети считается нормальным, т.е. функционирующей в рамках установленных требований или в соответствии с заданной политикой безопасности; определяют критерии, характеризующие свойства сети, по значению которых делают вывод о состоянии сети; осуществляют выбор входных контролируемых параметров и определяют диапазоны возможных значений входных контролируемых параметров. В качестве входных контролируемых параметров выбирают такие параметры, обработка значений которых по заданным правилам позволит установить значение критериев, характеризующих различные свойства сети.In the inventive method, the structure of the controlled network, its component composition, individual characteristics of the operating conditions are preliminarily determined. Then, the conditions are determined under which the state of the controlled network is considered normal, i.e. functioning within the framework of established requirements or in accordance with a specified security policy; define criteria characterizing the properties of the network, by the value of which they conclude about the state of the network; carry out the selection of input controlled parameters and determine the ranges of possible values of input controlled parameters. As input controlled parameters, such parameters are selected, the processing of the values of which according to the given rules will allow to establish the value of the criteria characterizing various properties of the network.

Выделяют диапазоны значений для каждого входного параметра, в пределах которых различные значения входного параметра характеризуются общим качественным состоянием (свойством). Например, контролируемым параметром может являться «пропускная способность сети». Качественное состояние пропускной способности может выражаться через такие качественные состояния, как «низкая», «высокая», «нормальная». Качественные состояния входных параметров задают с учетом особенностей сети и особенностей условий ее функционирования. Диапазон значений, при которых конкретный входной параметр (идентифицируемый по наименованию) характеризуется заданным для конкретной сети качественным состоянием, называется областью определения данного входного параметра. Область определения характеризуется единицей измерения определенного входного параметра и диапазоном его значений, определяющих конкретное качественное состояние входного параметра.The ranges of values for each input parameter are distinguished, within which various values of the input parameter are characterized by a general qualitative state (property). For example, the monitored parameter may be “network bandwidth”. The quality state of the throughput can be expressed through such quality conditions as “low”, “high”, “normal”. Qualitative conditions of input parameters are set taking into account the characteristics of the network and the particular conditions of its functioning. The range of values at which a particular input parameter (identified by name) is characterized by a qualitative state specified for a particular network is called the domain of definition of this input parameter. The definition area is characterized by the unit of measurement of a certain input parameter and the range of its values that determine the specific qualitative state of the input parameter.

Для различных типов сетей передачи данных, с учетом особенностей их функционирования и с учетом особенностей их компонентного состава, один и тот же параметр (например, «пропускная способность сети») может иметь различные качественные состояния в одной и той же области определения. Например, для одних сетей пропускная способность равная 30000 Мб/с будет являться нормальной, а для других сетей - низкой.For various types of data transmission networks, taking into account the features of their functioning and taking into account the features of their component composition, the same parameter (for example, “network bandwidth”) can have different qualitative states in the same domain. For example, for some networks, bandwidth equal to 30,000 Mb / s will be normal, and for other networks - low.

Для каждого входного параметра задают функции принадлежности. Каждая функция принадлежности определяет нечеткое множество, включающее:For each input parameter, membership functions are defined. Each membership function defines a fuzzy set, including:

- область возможных значений входного контролируемого параметра, в пределах которых данный параметр будет характеризоваться конкретным качественным состоянием (в пределах области определения);- the range of possible values of the input controlled parameter, within which this parameter will be characterized by a specific qualitative state (within the definition area);

- степень принадлежности значения конкретного входного параметра множеству, характеризующему конкретное качественное состояние входного параметра.- the degree to which the value of a particular input parameter belongs to a set that characterizes a specific qualitative state of the input parameter.

Т.е. с помощью функции принадлежности осуществляют интерпретацию четкого значения конкретного входного параметра в качественное состояние данного параметра и определяют степень принадлежности входного параметра нечеткому множеству, которому принадлежат все значения входного параметра, обладающие этим качественным состоянием. Такая интерпретация позволяет более детально и полно описать состояние конкретного параметра с учетом индивидуальных особенностей контролируемой сети, условий ее функционирования.Those. using the membership function, they interpret the clear value of a particular input parameter into the qualitative state of a given parameter and determine the degree to which the input parameter belongs to a fuzzy set, to which all values of the input parameter that have this quality state belong. Such an interpretation allows a more detailed and complete description of the state of a particular parameter, taking into account the individual characteristics of the controlled network, the conditions for its functioning.

Контроль состояния сети только по конкретным четким значениям контролируемых параметров не позволяет учесть в автоматическом режиме особенности условий функционирования сети, особенности предъявляемых к ней индивидуальных требований.Monitoring the network status only by specific clear values of the monitored parameters does not allow to take into account in automatic mode the features of the network’s functioning conditions, the features of individual requirements for it.

По результатам интерпретации входного контролируемого параметра с помощью функций принадлежности каждый входной параметр преобразуется в нечеткую переменную, характеризуемую (идентифицируемую) наименованием, областью определения и функцией принадлежности.Based on the interpretation of the input controlled parameter using membership functions, each input parameter is transformed into a fuzzy variable characterized by (identified) name, domain of definition and membership function.

При этом наименованием нечеткой переменной будет являться не наименование входного параметра, а вывод о качественном состоянии входного параметра.In this case, the name of the fuzzy variable will not be the name of the input parameter, but the conclusion about the qualitative state of the input parameter.

Область определения нечеткой переменной будет соответствовать диапазону возможных значений входного параметра, в пределах которого различные значения входного параметра характеризуются общим качественным состоянием.The domain of definition of the fuzzy variable will correspond to the range of possible values of the input parameter, within which various values of the input parameter are characterized by a general qualitative state.

По результатам интерпретаций все входные контролируемые параметры преобразуются в нечеткие переменные, каждая из которых характеризуется своим наименованием, областью определения и функцией принадлежности. Наименование такой нечеткой переменной принято обозначать как «Терм».Based on the interpretation results, all input controlled parameters are converted into fuzzy variables, each of which is characterized by its name, domain of definition and membership function. The name of such a fuzzy variable is usually denoted as "Term".

Значения функций принадлежности нечетких переменных в процессе осуществления контроля состояния сети корректируются с учетом статистических данных, предварительно полученных по результатам анализа состояния сети при моделировании ее состояния в соответствии с заранее заданными (т.е. известными) входными параметрами и выводами о ее состоянии по конкретному критерию. Моделирование осуществляют непосредственно на исследуемой сети. Возможно осуществлять моделирование на модели сети.The values of the membership functions of fuzzy variables in the process of monitoring the state of the network are adjusted taking into account statistical data previously obtained from the analysis of the state of the network when modeling its state in accordance with predetermined (i.e. known) input parameters and conclusions about its state according to a specific criterion . Modeling is carried out directly on the studied network. It is possible to carry out modeling on a network model.

Нечеткие переменные, характеризующие различные качественные состояния одного и того же входного параметра, объединяют в лингвистическую переменную, наименование которой соответствует наименованию входного контролируемого параметра. Таким образом, лингвистическая переменная включает нечеткие переменные, относящиеся к одному входному параметру и описывающие различные качественные состояния конкретного входного параметра.Fuzzy variables characterizing various qualitative states of the same input parameter are combined into a linguistic variable, the name of which corresponds to the name of the input controlled parameter. Thus, a linguistic variable includes fuzzy variables related to a single input parameter and describing various qualitative states of a particular input parameter.

При этом каждая лингвистическая переменная характеризуется (идентифицируется) наименованием (соответствующим наименованию входного параметра), областью определения, совпадающей с совокупной областью определения нечетких переменных, входящих в данную лингвистическую переменную, а также совокупностью нечетких переменных, характеризующих различные качественные состояния входного параметра.Moreover, each linguistic variable is characterized (identified) by the name (corresponding to the name of the input parameter), the domain of definition that coincides with the total domain of definition of the fuzzy variables included in this linguistic variable, as well as a combination of fuzzy variables characterizing various qualitative states of the input parameter.

Совокупность указанных лингвистических переменных соответствует совокупности контролируемых входных параметров, значения которых используются при осуществлении контроля за состоянием сети. Такие лингвистические переменные в заявляемом способе называются входными лингвистическими переменными. Значение конкретной лингвистической переменной при определенном значении входного параметра (наименование которого соответствует наименованию лингвистической переменной) будет определяться наименованием одной из нечетких переменных, входящих в эту лингвистическую переменную.The totality of these linguistic variables corresponds to the totality of the controlled input parameters, the values of which are used in monitoring the state of the network. Such linguistic variables in the claimed method are called input linguistic variables. The value of a particular linguistic variable for a certain value of the input parameter (the name of which corresponds to the name of the linguistic variable) will be determined by the name of one of the fuzzy variables included in this linguistic variable.

Таким образом, в заявляемом способе осуществили переход от четких значений входных контролируемых параметров к лингвистическим переменным, каждая из которых содержит переменные (нечеткие переменные), описывающие возможные качественные состояния конкретного входного параметра с учетом индивидуальных особенностей сети, с учетом условий ее функционирования и с учетом индивидуальных требований, предъявляемых к сети.Thus, in the inventive method, a transition was made from clear values of input controlled parameters to linguistic variables, each of which contains variables (fuzzy variables) that describe possible qualitative states of a particular input parameter, taking into account the individual characteristics of the network, taking into account the conditions of its functioning and taking into account individual network requirements.

Помимо лингвистических переменных, являющихся результатом интерпретации входных параметров, в заявляемом способе формируют лингвистические переменные, определяющие вывод о состоянии сети по критерию, задаваемому на основании требований к функционированию сети (выходные лингвистические переменные). Каждая из выходных лингвистических переменных характеризуется (идентифицируется) аналогично наименованием, областью определения и набором нечетких переменных. Наименование конкретной выходной лингвистической переменной при этом формулируется в соответствии с критерием, характеризующим состояние сети. Входящие в выходную лингвистическую переменную нечеткие переменные определяют вывод о состоянии сети по конкретному предварительно заданному критерию. При этом в каждую сформированную в соответствии с контролируемыми качественными состояниями сети выходную лингвистическую переменную входят нечеткие переменные, каждая из которых характеризуется своей областью определения, в пределах которой состояние сети характеризуется конкретным значением критерия, по которому контролируют состояние сети, наименование каждой из нечетких переменных, входящих в конкретную лингвистическую переменную, соответствует выводу о значении критерия, характеризующего одно из состояний сети. Совокупность областей определения нечетких переменных, входящих в конкретную выходную лингвистическую переменную, представляет собой область определения данной лингвистической переменной. Итоговое состояние сети по конкретному критерию будет определяться значением нечеткой переменной, входящей в выходную лингвистическую переменную.In addition to the linguistic variables resulting from the interpretation of the input parameters, linguistic variables are formed in the claimed method that determine the conclusion about the state of the network according to a criterion defined on the basis of requirements for the functioning of the network (output linguistic variables). Each of the output linguistic variables is characterized (identified) in the same way by its name, domain of definition and a set of fuzzy variables. The name of a specific output linguistic variable is formulated in accordance with a criterion characterizing the state of the network. Fuzzy variables included in the output linguistic variable determine the conclusion about the state of the network by a specific predefined criterion. In this case, each output linguistic variable formed in accordance with the controlled qualitative network conditions includes fuzzy variables, each of which is characterized by its domain of definition, within which the network state is characterized by a specific value of the criterion by which the network state is controlled, the name of each of the fuzzy variables included to a specific linguistic variable, corresponds to the conclusion about the value of the criterion characterizing one of the states of the network. The set of definition domains for fuzzy variables included in a particular output linguistic variable is the definition domain for a given linguistic variable. The final state of the network according to a specific criterion will be determined by the value of the fuzzy variable included in the output linguistic variable.

Согласно заявляемому способу далее формируют нечеткие правила, устанавливающие взаимосвязь между входными лингвистическими переменными и выходными лингвистическими переменными с тем, чтобы установить, сочетание значений каких входных лингвистических переменных предопределяет конкретные значения выходных лингвистических переменных.According to the claimed method, fuzzy rules are further formed that establish the relationship between the input linguistic variables and the output linguistic variables in order to establish the combination of the values of which input linguistic variables determines the specific values of the output linguistic variables.

Нечеткое правило представляет собой формальную пару конечных непустых множеств (A, C), где А и С - наборы пар, вида (V, t), где V - лингвистическая переменная (наименование лингвистической переменной), а t - одно из ее значений (наименование нечеткой переменной). Множество А называется предпосылкой или антецедентом правила, Множество С - заключением или консеквентом.A fuzzy rule is a formal pair of finite nonempty sets (A, C), where A and C are sets of pairs of the form (V, t), where V is a linguistic variable (name of a linguistic variable), and t is one of its values (name fuzzy variable). Set A is called the premise or antecedent of the rule; Set C is called a conclusion or consequent.

Нечеткие правила задаются с учетом структуры сети, области ее использования и с учетом требований к условиям ее функционирования.Fuzzy rules are set taking into account the structure of the network, the scope of its use and taking into account the requirements for the conditions of its functioning.

Условия (предпосылки) указанных нечетких правил содержат одну входную лингвистическую переменную или набор входных лингвистических переменных, необходимых для того, чтобы получить выводы о состоянии сети по конкретному критерию, а вывод (результат) нечетких правил содержит, как минимум, одну выходную лингвистическую переменную, значение которой определяет состояние сети по данному критерию.The conditions (prerequisites) of these fuzzy rules contain one input linguistic variable or a set of input linguistic variables necessary to obtain conclusions about the state of the network according to a specific criterion, and the output (result) of fuzzy rules contains at least one output linguistic variable, value which determines the state of the network by this criterion.

Одна и та же входная лингвистическая переменная может входить как в условия (предпосылки), так и в заключения (следствия) нескольких нечетких правил. Аналогично, одна и та же выходная лингвистическая переменная может входить как в условия (предпосылки), так и в заключения (следствия) различных нечетких правил.One and the same input linguistic variable can enter both the conditions (prerequisites) and the conclusions (consequences) of several fuzzy rules. Similarly, the same output linguistic variable can be included in both the conditions (prerequisites) and the conclusions (consequences) of various fuzzy rules.

Состояние сети оценивают в соответствии с заранее сформулированными требованиями по одному или нескольким выбранным критериям (по значению одной или нескольких выходных лингвистических переменных). Если для контроля состояния сети выбирают не все выходные лингвистические переменные, а только часть из них или вообще одну, такие выбранные выходные лингвистические переменные называют контрольными лингвистическими переменными.The state of the network is evaluated in accordance with pre-defined requirements according to one or more selected criteria (by the value of one or more output linguistic variables). If not all output linguistic variables are selected for monitoring the network state, but only a part of them or even one at all, such selected output linguistic variables are called control linguistic variables.

По результатам осуществления вышеуказанных действий, предшествующих действиям по непосредственному контролю текущего состояния сети, формируют онтологию (структуру данных), в которой обеспечивают сохранение, как минимум, всех сформированных нечетких переменных, входных и выходных лингвистических переменных, нечетких правил.Based on the results of the above actions, preceding actions to directly monitor the current state of the network, an ontology (data structure) is formed in which at least all generated fuzzy variables, input and output linguistic variables, and fuzzy rules are stored.

В целом процесс формирования онтологии можно описать последовательностью следующих действий:In general, the process of ontology formation can be described by the sequence of the following actions:

- выявляют и идентифицируют основные признаки компонентов контролируемой сети и связи между ними, определяющие условия функционирования сети;- identify and identify the main features of the components of the controlled network and the connections between them, which determine the conditions for the functioning of the network;

- выявляют и идентифицируют критерии оценки состояния сети;- identify and identify criteria for assessing the status of the network;

- на основании выявленных признаков и критериев формируют нечеткие правила, определяющие нормальное состояние функционирования сети;- on the basis of the identified signs and criteria form fuzzy rules that determine the normal state of functioning of the network;

- моделируют проблемные, нештатные ситуации в сети с обеспечением сохранения результатов контроля;- simulate problematic, emergency situations in the network while ensuring the preservation of control results;

- формируют функции принадлежности с учетом полученной статистической информации;- form membership functions taking into account the received statistical information;

- осуществляют накопление информации и корректировку функций принадлежности с учетом собранной статистической информации и изменяющимися условиями функционирования сети.- carry out the accumulation of information and adjustment of membership functions taking into account the collected statistical information and the changing conditions of the network.

Каждая нечеткая переменная, лингвистическая переменная, функция принадлежности, нечеткое правило представляют собой связанные между собой машиночитаемые данные. Структура данных сформирована по типу ориентированного графа, при этом вершинами графа являются нечеткие правила (или возможно, чтобы вершинами графа являлись нечеткие правила и лингвистические переменные, объединенные в одно множество), а дуга между двумя вершинами существует, если существует лингвистическая переменная, участвующая одновременно в заключении (результате или консеквенте) первого и в условии второго правила. Т.е. связи между вершинами графа формируются, когда на вход нечеткому правилу поступает переменная, являющаяся выходом другого правила (когда пересечение множества лингвистических переменных, участвующих в антецеденте (предпосылке) одного правила, пересекается с лингвистическими переменными, участвующими в консеквенте (результате) другого правила).Each fuzzy variable, linguistic variable, membership function, fuzzy rule are related machine-readable data. The data structure is formed by the type of a directed graph, while the vertices of the graph are fuzzy rules (or it is possible that the vertices of the graph are fuzzy rules and linguistic variables combined into one set), and an arc between two vertices exists if there is a linguistic variable participating simultaneously in conclusion (result or consequent) of the first and condition of the second rule. Those. connections between the vertices of the graph are formed when a variable arrives at the input of a fuzzy rule, which is the output of another rule (when the intersection of the set of linguistic variables involved in the antecedent (premise) of one rule intersects with the linguistic variables involved in the consequent (result) of the other rule).

Таким образом, соответствующий граф G имеет вид

Figure 00000012
, где ∏ - совокупность нечетких правил, A(R) и C(R) - лингвистические переменные, входящие в антецедент и консеквент нечеткого правила R, соответственно.Thus, the corresponding graph G has the form
Figure 00000012
, where ∏ is the set of fuzzy rules, A (R) and C (R) are the linguistic variables included in the antecedent and consequent of the fuzzy rule R, respectively.

По построению графа и исходя из особенностей заданных требований к сети в совокупности правил, построенных в соответствии с требованиями к сети, не должно существовать цикла правил, то есть последовательности правил вида R1, R2, …, Rn такой, что

Figure 00000013
, для i=1, …, n-1 и R1=Rn, для n>1 и
Figure 00000014
для n=1.According to the construction of the graph and based on the characteristics of the given network requirements in the totality of the rules constructed in accordance with the network requirements, there should not be a cycle of rules, that is, a sequence of rules of the form R 1 , R 2 , ..., R n such that
Figure 00000013
, for i = 1, ..., n-1 and R 1 = R n , for n> 1 and
Figure 00000014
for n = 1.

Данное условие эквивалентно тому, что в ориентированном графе G не должно быть контуров.This condition is equivalent to the fact that in a directed graph G there should not be contours.

В заявляемом способе обеспечивают сохранение входных параметров и всех результатов контроля сети с тем, чтобы, имея множество статистических данных о результатах контроля состояния сети, осуществлять постоянное уточнение и корректировку функций принадлежности и нечетких правил, обеспечивая максимальную достоверность результатов контроля.In the inventive method, it is ensured that the input parameters and all the results of the network monitoring are stored so that, having a lot of statistics on the results of monitoring the network status, to constantly refine and adjust membership functions and fuzzy rules, ensuring maximum reliability of the monitoring results.

Особенности контролируемой сети учитываются при выборе критериев контроля, при установлении требований к условиям функционирования сети, ее компонентного состава.Features of the controlled network are taken into account when choosing control criteria, when establishing requirements for the conditions for the functioning of the network, its component composition.

При осуществлении контроля текущего состояния сети текущие входные параметры интерпретируются посредством соответствующих функций принадлежности, которые предопределяют значение соответствующей входной лингвистической переменной. Выводы о состоянии сети делают по значению заранее выбранных контрольных лингвистических переменных (одной или нескольких). При этом для решения задачи контроля соответствия состояния сети заданным требованиям и определения несоответствий с их обратной декомпозицией используется процедура модифицированного нечеткого логического вывода, который позволяет автоматизировать процесс получения значений выходных лингвистических переменных на основании значений входных лингвистических переменных и получить обратную декомпозицию несоответствия с использованием онтологии, построенной на основании требований, предъявляемых к сети.When monitoring the current state of the network, the current input parameters are interpreted by the corresponding membership functions, which determine the value of the corresponding input linguistic variable. Conclusions about the state of the network are made by the value of pre-selected control linguistic variables (one or more). In order to solve the problem of monitoring the conformity of the network state to the specified requirements and determining inconsistencies with their reverse decomposition, the modified fuzzy inference procedure is used, which allows you to automate the process of obtaining the values of the output linguistic variables based on the values of the input linguistic variables and obtain the reverse decomposition of the mismatch using the ontology constructed based on network requirements.

Об отклонении состояния сети от нормального судят по значению контрольной лингвистической переменной, например, после того, как его привели к числовому значению после процедуры деффазификации. В случае отклонения цифрового значения конечного расчетного параметра от допустимого значения можно с достаточной степенью уверенности делать вывод о том, что состояние сети не соответствует заданным онтологией требованиям.The deviation of the network state from normal is judged by the value of the control linguistic variable, for example, after it was led to a numerical value after the dephasification procedure. If the digital value of the final design parameter deviates from the permissible value, it can be concluded with a sufficient degree of confidence that the network state does not meet the requirements specified by the ontology.

При отклонении состояния сети от состояния, которое может быть охарактеризовано, как нормальное (т.е. не требующее вмешательства), посредством обратной декомпозиции устанавливают причину отклонения состояния сети от нормального.If the network state deviates from the state, which can be characterized as normal (i.e., requiring no intervention), the reason for the deviation of the network state from normal is established by reverse decomposition.

Заявляемый способ позволяет с высокой степенью достоверности и точности в автоматическом интерактивном режиме определять текущее состояние сети при малейших возмущениях в ней, позволяяет не только определять текущее состояние сети, но и устанавливать причину возникших отклонений с возможной последующей корректировкой отклонения как в ручном, так и автоматическом режимах, например, отключением сетевого узла, несоответствующего требованиям.The inventive method allows with a high degree of reliability and accuracy in the automatic interactive mode to determine the current state of the network at the slightest disturbance in it, allows not only to determine the current state of the network, but also to establish the cause of the deviations with possible subsequent correction of the deviation in both manual and automatic modes , for example, by shutting down a non-compliant network node.

Кроме того, заявляемый способ позволяет в процессе его осуществления постоянно повышать точность контроля по мере накопления статистических данных о результатах контроля и о входных параметрах сети.In addition, the inventive method allows in the process of its implementation to constantly improve the accuracy of control as statistics are accumulated on the results of the control and on the input parameters of the network.

Для формирования функций принадлежности в заявляемом способе используется метод лингвистических термов с использованием статистических данных (далее МЛТСД), изложенный в источнике: Сваровский С.Т. «Аппроксимация функций принадлежности значений лингвистической переменной» // Математические вопросы анализа данных. - Новосибирск, ВЦ СО АН СССР, 1980. - С. 127-131), который позволяет эффективно определять значения функций принадлежности термов лингвистической переменной на основании статистических данных. При этом в качестве статистических данных могут использоваться как данные, полученные от экспертов, так и данные, полученные путем эксперимента или наблюдения за функционированием компонентов контролируемой сети в различных условиях и режимах.To form membership functions in the claimed method, the method of linguistic terms using statistical data (hereinafter MLTSD) is used, as set out in the source: S. Swarovsky “Approximation of the membership functions of the values of a linguistic variable” // Mathematical problems in data analysis. - Novosibirsk, Computing Center of the Siberian Branch of the Academy of Sciences of the USSR, 1980. - P. 127-131), which allows one to effectively determine the values of the membership functions of the terms of a linguistic variable based on statistical data. In this case, as statistics can be used as data obtained from experts, as well as data obtained by experiment or by monitoring the functioning of the components of a controlled network in various conditions and modes.

Нечеткий логический вывод включает следующие этапы.Fuzzy inference involves the following steps.

1. Введение нечеткости (фаззификация).1. Introduction of fuzziness (fuzzification).

На этапе введения нечеткости для четко заданных входных значений параметров (переменных) рассчитываются значения степени истинности принадлежности входных данных к отдельным нечетким множествам. Для каждого нечеткого правила рассчитываются значения zii(xi), где μi функция принадлежности, соответствующая нечеткой переменной Vi, для i=1, 2, .., n. В случае, если функция принадлежности задана конечной совокупностью точек, например, после применения МЛТСД, то для определения значения функции может использоваться линейная аппроксимация или сплайны более высоких различных порядков.At the stage of introducing fuzziness for clearly defined input values of parameters (variables), the values of the degree of truth of belonging of the input data to individual fuzzy sets are calculated. For each fuzzy rule, the values z i = μ i (x i ) are calculated, where μ i is the membership function corresponding to the fuzzy variable V i for i = 1, 2, .., n. If the membership function is specified by a finite set of points, for example, after applying MLTSD, then linear approximation or splines of higher different orders can be used to determine the value of the function.

2. Нечеткая импликация.2. Fuzzy implication.

На этапе нечеткой импликации вычисленные значения истинности применяются к заключениям (выводам) каждого правила. Это приводит к одному нечеткому подмножеству, которое будет назначено каждой переменной вывода для каждого правила. Вычисляется значение

Figure 00000015
; функция принадлежности для каждого элемента консеквента определяется как
Figure 00000016
, где μj(z) - функция принадлежности, соответствующая нечеткой переменной, входящей в состав элемента консеквента (таких функций в рамках одного правила может быть несколько, каждая их них соответствует элементу консеквента).At the fuzzy implication stage, the calculated truth values are applied to the conclusions (conclusions) of each rule. This results in one fuzzy subset that will be assigned to each output variable for each rule. The value is calculated
Figure 00000015
; the membership function for each element of the consequent is defined as
Figure 00000016
, where μ j (z) is the membership function corresponding to the fuzzy variable that is part of the consequent element (there can be several such functions within the same rule, each of them corresponds to the consequent element).

В приведенном способе реализация операций ∧ и ∨ не фиксируется (например, может быть реализован как минимум и максимум соответственно).In the above method, the implementation of the operations ∧ and ∨ is not fixed (for example, at least and maximum can be implemented, respectively).

3. Нечеткая композиция.3. Fuzzy composition.

Нечеткая композиция объединяет нечеткие подмножества вывода, тем самым находится результирующая функция принадлежности всей совокупности правил при данном векторе входных сигналов. Для каждой нечеткой переменной из С функция принадлежности полагается равной

Figure 00000017
, где операция ∨ выполняется по всем подсчитанным на предыдущем этапе функциям принадлежности, соответствующим переменной.Fuzzy composition combines fuzzy output subsets, thereby finding the resulting membership function of the entire set of rules for a given input signal vector. For each fuzzy variable from C, the membership function is set equal to
Figure 00000017
, where the operation ∨ is performed for all membership functions calculated at the previous stage that correspond to the variable.

4. Приведение к четкости (дефаззификация).4. Bringing to clarity (defazzification).

Этап дефаззификации используется, если необходимо преобразовать выходную функцию принадлежности в четкое число z0 (в некоторых случаях достаточно результата в виде нечеткого множества). В качестве метода дефаззификации может использоваться любой известный метод, например центроидный, в котором z0 вычисляется по формулам:The defuzzification stage is used if it is necessary to convert the output membership function to a clear number z 0 (in some cases, a result in the form of a fuzzy set is sufficient). As a defazzification method, any known method can be used, for example, centroid, in which z 0 is calculated by the formulas:

Figure 00000018
, при
Figure 00000019
и
Figure 00000020
, при
Figure 00000021
в дискретном случае, где D - область определения функции принадлежности в непрерывном случае и
Figure 00000022
в дискретном случае. Заключение y0 формируется из значений z0.
Figure 00000018
at
Figure 00000019
and
Figure 00000020
at
Figure 00000021
in the discrete case, where D is the domain of the membership function in the continuous case and
Figure 00000022
in the discrete case. Conclusion y 0 is formed from the values of z 0 .

В заявляемом способе нечеткие правила образуют не линейную, а иерархическую структуру. Таким образом, этапы нечеткой импликации и нечеткой композиции должны быть проведены не в произвольном, а в таком порядке, когда лингвистические переменные уже определены либо на основании фаззификации, либо на основании уже обработанных правил.In the inventive method, fuzzy rules do not form a linear, but hierarchical structure. Thus, the stages of fuzzy implication and fuzzy composition should be carried out not in an arbitrary, but in the order when the linguistic variables are already determined either on the basis of fuzzification, or on the basis of already processed rules.

Как уже указывалось, анализ соответствия функционирования сети требованиям и определения несоответствий с их обратной декомпозицией в заявляемом способе решается за счет использования процедуры модифицированного нечеткого логического вывода, которая(ый) позволяет автоматизировать процесс получения значений конечных расчетных параметров на основании значений входных параметров (переменных) с использованием сформированной онтологии.As already indicated, the analysis of the correspondence of the functioning of the network to the requirements and the determination of inconsistencies with their reverse decomposition in the claimed method is solved by using the modified fuzzy inference procedure, which allows automating the process of obtaining the values of the final calculated parameters based on the values of the input parameters (variables) with using the formed ontology.

Контроль состояния сети осуществляют по текущим значениям входных параметров, получаемых из статических и динамических конфигураций компонентов сети, а также по значениям некоторых системных и сетевых параметров, представленных в виде вектора текущих входных параметров, сформированного на основе построенной онтологии.The network status is monitored by the current values of the input parameters obtained from the static and dynamic configurations of the network components, as well as by the values of some system and network parameters presented in the form of a vector of current input parameters formed on the basis of the constructed ontology.

Пусть x - это вектор значений входных параметров с элементами из

Figure 00000023
, (V1, …, Vn) - соответствующие входным параметрам нечеткие переменные из соответствующих правил, а y - вектор значений выходных параметров с элементами из
Figure 00000024
, где А - это совокупность входных, а С - выходных лингвистических переменных и D(X) - область определения лингвистической переменной X.Let x be the vector of values of input parameters with elements from
Figure 00000023
, (V 1 , ..., V n ) are fuzzy variables corresponding to the input parameters from the corresponding rules, and y is the vector of values of the output parameters with elements from
Figure 00000024
, where A is the set of input, and C is the output of linguistic variables and D (X) is the domain of definition of the linguistic variable X.

Нечеткий логический вывод является результатом применения правила нечеткой логики, позволяющего на основании базы знаний, состоящей из совокупности нечетких продукционных правил ∏, по заданному x=x0 определить заключение y=y0.Fuzzy inference is a result of the application of fuzzy logic rules allowing based on the knowledge base, consisting of a plurality of fuzzy production rules Π, for a given x = x 0 define the conclusion y = y 0.

Как уже указывалось, для осуществления заявляемого способа формируют иерархическую структуру правил, образующую ориентированный граф (орграф), вершины которого представляют собой нечеткие правила (или нечеткие правила и лингвистические переменные, объединенные в одно множество). Под ориентированным графом понимается орграф, порядок нумерации вершин которого такой, что каждая дуга выходит из вершины с меньшим номером в вершину с большим. Таким образом, применение модификации процедуры нечеткого логического вывода Мамдани к топологически отсортированным правилам приведет к тому, что значение каждой выходной лингвистической переменной будет определено корректно.As already indicated, for the implementation of the proposed method, a hierarchical structure of rules is formed, forming a directed graph (digraph), the vertices of which are fuzzy rules (or fuzzy rules and linguistic variables combined into one set). A directed graph is a digraph whose vertex numbering is such that each arc leaves a vertex with a lower number and a vertex with a larger one. Thus, applying a modification of the Mamdani fuzzy inference procedure to topologically sorted rules will result in the value of each output linguistic variable being determined correctly.

Поскольку соответствующий структуре данных в заявляемом способе орграф является орграфом без контуров, то он допускает топологическую сортировку в соответствии с известным принципом (описанным, например, в источнике: «Дискретная математика: графы, матроиды, алгоритмы» / М.О. Асанов, В.А. Баранский, В.В. Расин // М: Регулярная и хаотическая динамика, 2001. - 288 с.):Since the digraph corresponding to the data structure in the claimed method is a digraph without contours, it allows topological sorting in accordance with the well-known principle (described, for example, in the source: “Discrete mathematics: graphs, matroids, algorithms” / M.O. Asanov, V. A. Baransky, V.V. Rasin // M: Regular and chaotic dynamics, 2001. - 288 p.):

1) положить n равным количеству вершин в орграфе (количеству правил);

Figure 00000025
;1) put n equal to the number of vertices in the digraph (the number of rules);
Figure 00000025
;

2) выбрать вершину ν ∈ V(G), полустепень исхода которой равна 0 (то есть правило, переменные консеквента которого не участвуют в других правилах). Присвоить вершине номер n. Такая вершина найдется в силу того, что граф – бесконтурный;2) choose a vertex ν ∈ V (G), whose semi-degree of outcome is 0 (that is, a rule whose consequent variables do not participate in other rules). Assign vertex number n. Such a vertex exists because the graph is contourless;

3) удалить из орграфа вершину ν со всеми дугами, входящими в нее;3) remove the vertex ν from all digraphs with all the arcs included in it;

4) повторять шаги 2 и 3, пока все вершины не получат порядок.4) repeat steps 2 and 3 until all vertices get the order.

Топологически отсортированными логическими правилами является последовательность правил, для которых соответствующий им граф топологически отсортирован.A topologically sorted logical rule is a sequence of rules for which the corresponding graph is topologically sorted.

Построение графа G по имеющемуся набору правил ∏ в заявляемом способе должно быть выполнено с использованием следующих шагов:The construction of column G according to the available set of rules ∏ in the claimed method should be performed using the following steps:

1) положить

Figure 00000026
;1) put
Figure 00000026
;

2) для ν ∈ L, положить

Figure 00000027
, где L - множество лингвистических переменных онтологии;2) for ν ∈ L, put
Figure 00000027
where L is the set of linguistic variables of the ontology;

3) для каждого правила R ∈ ∏, по всем ν ∈ A(R) полагается

Figure 00000028
, a по ν ∈ C(R),
Figure 00000029
, в итоге, для каждой лингвистической переменной ν ∈ V, находятся множества правил A(ν) и С(ν), в которые переменная v входит как антецедент и консеквент, соответственно. Под A(R) и C(R) - понимаются лингвистические переменные, входящие в антецедент и консеквент нечеткого правила R, соответственно;3) for each rule R ∈ ∏, for all ν ∈ A (R) it is assumed
Figure 00000028
, a with respect to ν ∈ C (R),
Figure 00000029
as a result, for each linguistic variable ν ∈ V, there are sets of rules A (ν) and C (ν), into which the variable v enters as antecedent and consequent, respectively. By A (R) and C (R) - we mean linguistic variables included in the antecedent and consequent of the fuzzy rule R, respectively;

4) положить

Figure 00000030
,4) put
Figure 00000030
,

Figure 00000031
Figure 00000031

Последовательность действий по осуществлению контроля соответствия требованиям с обратной декомпозицией несоответствий обобщенно имеет следующий вид.The sequence of actions for monitoring compliance with reverse decomposition of nonconformities is summarized as follows.

1. Осуществляют обработку используемой онтологии: т.е. осуществляют упорядочивание правил в соответствии с требуемой топологической сортировкой.1. Carry out the processing of the used ontology: ie carry out the ordering of the rules in accordance with the required topological sorting.

2. Выявляют и задают входные контролируемые параметры сети в соответствии с входными параметрами онтологий. Получают значения входных параметров.2. Identify and set the input controlled network parameters in accordance with the input parameters of the ontologies. Get the values of the input parameters.

4. Осуществляют обработку входных параметров по заданным нечетким правилам с использованием процедуры нечеткого логического вывода.4. The input parameters are processed according to the specified fuzzy rules using the fuzzy inference procedure.

5. Осуществляют оценку полученных итоговых значений выходных лингвистических переменных и определяют «общую степень соответствия» состояния сети по заданному критерию.5. Evaluate the resulting final values of the output linguistic variables and determine the "general degree of compliance" of the network state according to a given criterion.

В случае, когда числовые значения «контрольных» лингвистических переменных (полученных после дефаззификации) отклоняются от заданного порогового значения, делается вывод о несоответствии анализируемой сети заданным требованиям и о степени соответствия требованиям.In the case when the numerical values of the “control” linguistic variables (obtained after defuzzification) deviate from the given threshold value, it is concluded that the analyzed network does not meet the specified requirements and the degree of compliance with the requirements.

В случае отклонения значений «контрольных» лингвистических переменных от пороговых значений (после процедуры дефаззификации) проводится обратная декомпозиция, возвращающая значения расчетных и исходных параметров. Это позволит установить причины несоответствия, какие параметры (их значения) привели к итоговому отклонению.If the values of the “control” linguistic variables deviate from the threshold values (after the defuzzification procedure), an inverse decomposition is carried out, which returns the values of the calculated and initial parameters. This will allow to establish the reasons for the discrepancy, which parameters (their values) led to the final deviation.

Повторение шагов 2, 3, 4 и 5 до получения внешнего сигнала о завершения работы. Повторение шагов 2-5 целесообразно в случае осуществления постоянного контроля, т.к. возможно изменение объекта защиты, появление новых событий, элементов и т.п.Repeat steps 2, 3, 4 and 5 until an external signal is received to complete the work. Repeating steps 2-5 is advisable in the case of continuous monitoring, because it is possible to change the object of protection, the appearance of new events, elements, etc.

Формально процедуру обработки данных в заявляемом способе можно представить следующей совокупностью действий.Formally, the data processing procedure in the claimed method can be represented by the following set of actions.

Пусть V - лингвистическая переменная, за T(V) обозначим множество термов V, T(R, V) - терм лингвистической переменной V, использующийся в правиле R. T(R, V) определяет терм единственным образом, поскольку в рамках одного правила в антецеденте и в консеквенте лингвистическая переменная может использоваться только один раз, и соответствующий правилам граф не содержит контуров. За μT(R,V) обозначим функцию принадлежности нечеткой переменной, соответствующую терму T(R, V). В данных обозначениях каждое правило R можно представить в виде R=(A, C), где

Figure 00000032
,
Figure 00000033
. Множество всех лингвистических переменных обозначим за L.Let V be a linguistic variable, let T (V) denote the set of terms V, T (R, V) be the term of the linguistic variable V used in rule R. T (R, V) defines the term uniquely, since within the framework of one rule in In the antecedent and in consequent, a linguistic variable can be used only once, and the graph corresponding to the rules does not contain contours. For μ T (R, V) we denote the membership function of a fuzzy variable corresponding to the term T (R, V). In these notation, each rule R can be represented as R = (A, C), where
Figure 00000032
,
Figure 00000033
. The set of all linguistic variables is denoted by L.

В рамках заявляемого способа анализу (обработке) подлежат:In the framework of the proposed method analysis (processing) are subject to:

L; ∏ - совокупность нечетких правил; серии векторов вида

Figure 00000034
, (m серий); I - множество «контрольных» лингвистических переменных, I⊆L; (α1, α2, …, αl) - пороговые значения для «контрольных» лингвистических переменных.L; ∏ - a set of fuzzy rules; series of view vectors
Figure 00000034
, (m series); I - the set of “control” linguistic variables, I⊆L; (α 1 , α 2 , ..., α l ) are threshold values for the “control” linguistic variables.

Без ограничения общности, можно считать, что для L={V1, V2, …, Vl}, лингвистические переменные V1, …, Vk соответствуют компонентам входных векторов, {Vl, Vl-1, …, Vl-|I|+1}=I являются «контрольными» лингвистическими переменными.Without loss of generality, we can assume that for L = {V 1 , V 2 , ..., V l }, the linguistic variables V 1 , ..., V k correspond to the components of the input vectors, {V l , V l-1 , ..., V l- | I | +1 } = I are the “control” linguistic variables.

Вспомогательная структура данных: М=(μ1, …, μl), где μi функция принадлежности, соответствующая промежуточному значению переменной Vi; ƒi,j - промежуточные значения, полученные при фаззификации и корреляции; ui - промежуточные значения, полученные при расчете нечеткого влияния; imi,j - промежуточные значения, полученные при проведении нечеткой импликации. Граф

Figure 00000035
представляет собой орграф, используемый для представления обратной декомпозиции при выявленных несоответствиях требованиям к условия функционирования сети. Вершинами графа являются лингвистические переменные и правила, входящие в состав онтологии. При инициализации обработки данных множество дуг представляет собой пустое множество.Auxiliary data structure: M = (μ 1 , ..., μ l ), where μ i is the membership function corresponding to the intermediate value of the variable V i ; ƒ i, j are intermediate values obtained by fuzzification and correlation; u i - intermediate values obtained in the calculation of fuzzy effects; im i, j - intermediate values obtained during fuzzy implication. Graph
Figure 00000035
is a digraph used to represent reverse decomposition in case of inconsistencies with the requirements for the network functioning conditions. The vertices of the graph are linguistic variables and rules that are part of the ontology. When data processing is initialized, the set of arcs is an empty set.

Последовательности шагов при обработке данных.The sequence of steps in data processing.

1. Проведение топологической сортировки правил графа G, соответствующего набору правил ∏, результатом является упорядоченная последовательность правил (R1, R2, …, Rn), где

Figure 00000036
.1. The topological sorting of the rules of the graph G corresponding to the set of rules ∏, the result is an ordered sequence of rules (R 1 , R 2 , ..., R n ), where
Figure 00000036
.

2. Получение значений параметров статической и динамической конфигурации, а также других необходимых системных и сетевых показателей компонентов сети в форме вектора входных параметров

Figure 00000037
.2. Obtaining the values of the parameters of the static and dynamic configuration, as well as other necessary system and network indicators of network components in the form of a vector of input parameters
Figure 00000037
.

3. Обработка вектора входных параметров. Выполнение процедуры модифицированного нечеткого логического вывода.3. Processing the vector of input parameters. Execution of the modified fuzzy inference procedure.

Figure 00000038
Figure 00000038

Figure 00000039
Figure 00000039

Результаты данного шага - вектор

Figure 00000040
, компоненты которого представляют собой значения «контрольных» лингвистических переменных после дефаззификации и граф DC, используемый при обратной декомпозиции.Results of this step - vector
Figure 00000040
whose components are the values of the “control” linguistic variables after defuzzification and the DC graph used for reverse decomposition.

4. Оценка полученных значений «контрольных» лингвистических переменных, оценка полученного значения лингвистической переменной «общая степень соответствия»:4. Evaluation of the obtained values of the “control” linguistic variables, evaluation of the obtained value of the linguistic variable “general degree of conformity”:

Figure 00000041
Figure 00000041

Процедура Inform ответственна за консолидацию информации о несоответствиях и деталях несоответствия (с последующим представлением консолидированной информации ответственному лицу или сервису-потребителю информации). При реализации способа пороговые значения αi можно принять равными нулю либо они должны быть заданы отдельно для каждой «контрольной» лингвистической переменной. DC(Vi) - подграф графа DC, представляющий обратную декомпозицию выявленного несоответствия. Подграф строится из графа DC, например, поиском в глубину по обратным дугам до вершин Vi для i ∈ {1, …, k}.The Inform procedure is responsible for the consolidation of information on non-compliance and details of non-compliance (with the subsequent submission of the consolidated information to the responsible person or service consumer of the information). When implementing the method, the threshold values α i can be taken equal to zero or they must be set separately for each "control" linguistic variable. DC (V i ) is a subgraph of the DC graph representing the inverse decomposition of the identified inconsistency. A subgraph is constructed from the graph DC, for example, by searching in depth along the back arcs to the vertices V i for i ∈ {1, ..., k}.

5. Повторение шагов 2, 3 и 4 до получения внешнего сигнала о завершении работы.5. Repeat steps 2, 3 and 4 until an external signal is received to complete the work.

Вычислительная сложность представленной процедуры в худшем случае оценивается как O(nlm+mn2) и O(nm) в среднем.In the worst case, the computational complexity of the presented procedure is estimated as O (nlm + mn 2 ) and O (nm) on average.

На фиг. 1 изображена структура нечетких правил при осуществлении заявляемого способа (согласно примеру, представленному в описании).In FIG. 1 shows the structure of fuzzy rules in the implementation of the proposed method (according to the example presented in the description).

На фиг. 2 представлена таблица 1.In FIG. 2 presents table 1.

На фиг. 3 представлена таблица 2.In FIG. 3 presents table 2.

На фиг. 4 представлена таблица 3.In FIG. 4 presents table 3.

На фиг. 5 представлена таблица 4.In FIG. 5 presents table 4.

На фиг. 6 представлен полученный граф обратной декомпозиции (согласно примеру, представленному в описании).In FIG. 6 shows the obtained graph of reverse decomposition (according to the example presented in the description).

На фиг. 7 представлена блок-схема осуществления заявляемого способа.In FIG. 7 presents a block diagram of the implementation of the proposed method.

Пример реализации заявляемого способа.An example implementation of the proposed method.

К примеру, совокупность требований, применимых к сети, указывает, что пользователи не должны использовать ресурсы сети во внерабочее время. Следовательно, наличие некоторого количества пользователей во внерабочее время (например, в ночное) должно указывать на несоответствие требованиям - возможность проникновения. Одновременное наличие большого количества пользователей в сети (например, большее, чем легальное количество пользователей сети в целом) в любом случае должно сигнализировать о нарушении требований и о возможности реализации этапа распространения компьютерной атаки (например, связанной с сетевым червем). В свою очередь зафиксированный факт реализации атаки указывает на то, что уровень риска для сети велик. Кроме того, политика мониторинга (требования к условиям проведения мониторинга) может указывать на необходимость анализа файлов мониторинга не реже чем 1 раз в 3 дня, а политика резервного копирования предполагает ежедневное резервирование ключевой информации. При этом указывается, что состояние отклонения от политики мониторинга при высокой возможности распространения атаки также должно указывать на то, что уровень риска для сети (низкий уровень соответствия требованиям) очень высок. Аналогично для политики резервного копирования.For example, a set of requirements applicable to a network indicates that users should not use network resources outside of office hours. Consequently, the presence of a certain number of users outside of working hours (for example, at night) should indicate non-compliance with the requirements - the possibility of penetration. The simultaneous presence of a large number of users on the network (for example, greater than the legal number of network users in general) should in any case signal a violation of the requirements and the possibility of implementing the stage of spreading a computer attack (for example, associated with a network worm). In turn, the recorded fact of an attack indicates that the risk level for the network is high. In addition, the monitoring policy (requirements for monitoring conditions) may indicate the need to analyze monitoring files at least once every 3 days, and the backup policy assumes daily backup of key information. At the same time, it is indicated that the state of deviation from the monitoring policy with a high possibility of spreading the attack should also indicate that the level of risk for the network (low level of compliance with requirements) is very high. Similarly for the backup policy.

Для описания приведенных положений политики безопасности могут использоваться следующие правила.The following rules can be used to describe these security policies.

R1: Если время «нерабочее» и пользователей системы «несколько», то возможность проникновения «высокая»;R1: If the time is “non-working” and there are several users of the system, then the penetration possibility is “high”;

R2: Если пользователей системы «очень много», то возможность проникновения «высокая» и возможность распространения «высокая»;R2: If there are “very many” users of the system, then the penetration is “high” and the possibility of distribution is “high”;

R3: Если время, прошедшее с момента последнего анализа файлов мониторинга, «давно», то нарушение политики «выявлено»;R3: If the time elapsed since the last analysis of the monitoring files is “long”, then a policy violation is “detected”;

R4: Если время, прошедшее с момента последнего резервного копирования, «давно», то нарушение политики «выявлено»;R4: If the time elapsed since the last backup was “long”, then a policy violation is “detected”;

R5: Если возможность проникновения «высокая», то уровень риска «высокий»;R5: If penetration is “high”, then the level of risk is “high”;

R6: Если возможность распространения «высокая» и нарушение политики мониторинга «выявлено», то уровень риска «очень высокий».R6: If the distribution possibility is “high” and a violation of the monitoring policy is “identified”, then the risk level is “very high”.

Структура правил приведенного примера изображена на фиг. 1.The rule structure of the example is shown in FIG. one.

Таким образом, можно считать, что определена структура контролируемой сети, ее компонентный состав, индивидуальные особенности условий функционирования. Кроме того, зафиксированы условия, при которых состояние контролируемой сети считается нормальным, определены критерии, характеризующие свойства сети, по значению которых делают вывод о состоянии сети; осуществлен выбор входных контролируемых параметров и диапазоны возможных значений входных контролируемых параметров. В качестве входных контролируемых параметров определены лингвистические переменные, спецификация которых приведена в таблице 1 на фиг. 2.Thus, we can assume that the structure of the controlled network, its component composition, and individual characteristics of the operating conditions are determined. In addition, conditions are fixed under which the state of the controlled network is considered normal, criteria are defined that characterize the properties of the network, by the value of which they make a conclusion about the state of the network; selection of input controlled parameters and ranges of possible values of input controlled parameters are made. As input controlled parameters, linguistic variables are defined, the specification of which is given in table 1 in FIG. 2.

Правила задает следующая таблица 2 на фиг. 3.The rules are defined by the following table 2 in FIG. 3.

Таким образом, сочетание лингвистических переменных и нечетких правил задает онтологию. В качестве пороговых значений выбран нулевой вектор.Thus, a combination of linguistic variables and fuzzy rules defines an ontology. The threshold value is zero.

Первым шагом является упорядочивание совокупности правил. В рассматриваемом примере видно, что правила уже пронумерованы в соответствии с топологическим порядком - любая дуга графа

Figure 00000042
, исходит из вершины с меньшим номером в вершину с большим.The first step is to streamline the set of rules. In this example, it can be seen that the rules are already numbered in accordance with the topological order - any arc of the graph
Figure 00000042
, comes from the vertex with a smaller number to the vertex with a larger one.

Второй шаг - получение входных параметров. Пусть на вход поступает вектор входных данных

Figure 00000043
, где
Figure 00000044
соответствует лингвистической переменной Vi для i ∈ {1, 2, 3, 4}.The second step is to obtain input parameters. Let the input vector of input data
Figure 00000043
where
Figure 00000044
corresponds to the linguistic variable V i for i ∈ {1, 2, 3, 4}.

В рамках третьего шага выполняются шаги модифицированного нечеткого вывода. Промежуточные результаты цикла, выполняющегося для каждого правила, представлены в таблице 3 на фиг. 4.In the third step, the steps of the modified fuzzy inference are performed. The intermediate results of the cycle running for each rule are presented in table 3 in FIG. four.

В результате второго цикла, выполняющегося для каждой контрольной лингвистической переменной, производится процедура дефаззификации - центроидным методом вычисляются значения

Figure 00000045
, где
Figure 00000046
соответствует лингвистической переменной Vi+4 для i ∈ {1, 2, 3, 4}.As a result of the second cycle, performed for each control linguistic variable, a defuzzification procedure is performed - the values are calculated using the centroid method
Figure 00000045
where
Figure 00000046
corresponds to the linguistic variable V i + 4 for i ∈ {1, 2, 3, 4}.

Также результаты (в т.ч. оценка полученных значений - 4-й шаг метода) могут быть представлены в форме функций принадлежности (см. таблицу 4 на фиг. 5) вместе с результатами обратной декомпозиции.Also, the results (including the assessment of the obtained values - the 4th step of the method) can be presented in the form of membership functions (see table 4 in Fig. 5) together with the results of the reverse decomposition.

Графическое представление полученного графа обратной декомпозиции к представленному примеру приведено на фиг. 6.A graphical representation of the obtained inverse decomposition graph for the presented example is shown in FIG. 6.

Claims (5)

1. Способ контроля состояния сети передачи данных, заключающийся в том, что предварительно определяют структуру контролируемой сети, ее компонентный состав и индивидуальные особенности функционирования сети, задают критерии, характеризующие допустимые условия функционирования сети, осуществляют выбор входных параметров, позволяющих на основании их значений сделать вывод о соответствии состояния сети допустимым условиям, определяют возможный диапазон значений входных параметров, для каждого входного параметра задают область определения - диапазон значений, являющийся частью диапазона возможных значений для данного входного параметра, в пределах которого различные значения входного параметра характеризуются общим качественным состоянием, для каждого входного параметра в пределах каждой области его определения задают функцию принадлежности, позволяющую определить нечеткое множество, в пределах которого входной параметр характеризуется качественным состоянием, характерным для конкретной области его определения, а также определяют степень принадлежности значения каждого входного параметра данному нечеткому множеству, каждую функцию принадлежности задают с учетом особенностей структуры контролируемой сети и требований к условиям ее функционирования, каждый входной параметр в пределах каждой области его определения посредством функции принадлежности преобразуют в нечеткую переменную, характеризуемую наименованием, соотносимым с качественным состоянием входного параметра, областью определения, в пределах которой входной параметр характеризуется данным качественным состоянием, и соответствующей функцией принадлежности, при этом количество нечетких переменных для каждого входного параметра соответствует числу предварительно заданных для данного параметра качественных состояний, а совокупная область определения всех нечетких переменных для каждого входного параметра соответствует диапазону возможных значений входного параметра, нечеткие переменные, определяющие все качественные состояния для каждого входного параметра, объединяют во входные лингвистические переменные, каждая из которых характеризуется наименованием, соотносимым с наименованием соответствующего входного параметра, набором нечетких переменных, определяющих качественные состояния входного параметра, наименование которого соотносится с наименованием входной лингвистической переменной, областью определения, представляющей собой совокупную область определения всех нечетких переменных, входящих во входную лингвистическую переменную, формируют выходные лингвистические переменные, каждая из которых характеризуется наименованием, соотносимым с наименованием соответствующего критерия, характеризующего допустимое условие функционирования сети, набором нечетких переменных, каждая из которых определяет качественное состояние сети по выбранному критерию, областью определения, представляющей собой совокупность областей определения всех входящих в выходную лингвистическую переменную нечетких переменных, вывод о значении каждой входной лингвистической переменной определяется нечеткой переменной, являющейся результатом преобразования входного параметра, вывод о значении каждой выходной лингвистической переменной определяется одной из входящих в нее нечеткой переменной, формируют нечеткие правила, устанавливающие взаимосвязь между лингвистическими переменными, при этом условие каждого нечеткого правила содержит не менее одной входной или выходной лингвистической переменной, а заключение нечеткого правила представляет собой вывод о значении выходной лингвистической переменной, нечеткие правила формируют с учетом структуры сети и требований к условиям функционирования сети, все входные параметры, функции принадлежности, нечеткие переменные, лингвистические переменные, нечеткие правила представляют собой машиночитаемые данные, сохранение которых обеспечивают в онтологии, данные, хранящиеся в онтологии, связаны между собой по типу ориентированного бесконтурного графа, вершинами которого являются нечеткие правила или объединенные в одно множество нечеткие правила и лингвистические переменные, при этом обеспечивают формирование связи между двумя вершинами при условии, что в заключение первого правила и в условии второго правила, формирующих соответственно первую и вторую вершины графа, участвует одна и та же лингвистическая переменная, вывод о состоянии сети делают по значению одной или нескольких выходных лингвистических переменных, выбранных для контроля.1. A method for monitoring the state of a data transmission network, which consists in preliminarily determining the structure of the monitored network, its component composition and individual features of the network’s functioning, setting criteria characterizing the permissible conditions for the functioning of the network, selecting input parameters that make it possible to draw a conclusion based on their values on the compliance of the network state with the permissible conditions, determine the possible range of values of the input parameters, for each input parameter, specify the area - a range of values, which is part of the range of possible values for a given input parameter, within which various values of the input parameter are characterized by a general qualitative state, for each input parameter within each area of its definition, a membership function is defined that allows you to define a fuzzy set within which the input the parameter is characterized by a qualitative state characteristic of a specific area of its definition, and also determine the degree of belonging each input parameter to a given fuzzy set, each membership function is set taking into account the features of the structure of the controlled network and the requirements for the conditions of its operation, each input parameter within each domain of its determination is converted by means of the membership function into a fuzzy variable characterized by a name correlated with the quality state of the input parameter, the domain of definition within which the input parameter is characterized by a given qualitative state, and correspondingly an existing membership function, while the number of fuzzy variables for each input parameter corresponds to the number of qualitative states predefined for this parameter, and the total domain of definition of all fuzzy variables for each input parameter corresponds to the range of possible values of the input parameter, fuzzy variables that determine all qualitative states for each input parameter, combine into input linguistic variables, each of which is characterized by According to the name corresponding to the name of the corresponding input parameter, a set of fuzzy variables that determine the qualitative state of the input parameter, the name of which corresponds to the name of the input linguistic variable, the domain of definition, which is the combined domain of all fuzzy variables included in the input linguistic variable, forms the output linguistic variables , each of which is characterized by a name correlated with the name of the corresponding its criterion characterizing the admissible condition for the functioning of the network, by a set of fuzzy variables, each of which determines the qualitative state of the network according to the selected criterion, the domain of definition, which is a set of definition areas of all fuzzy variables included in the output linguistic variable, the conclusion about the value of each input linguistic variable is determined by the fuzzy variable resulting from the conversion of the input parameter, the conclusion about the value of each output linguistically the variable is determined by one of the fuzzy variables included in it, fuzzy rules are formed that establish the relationship between linguistic variables, while the condition of each fuzzy rule contains at least one input or output linguistic variable, and the conclusion of the fuzzy rule is a conclusion about the value of the output linguistic variable, fuzzy the rules form taking into account the structure of the network and the requirements for the functioning of the network, all input parameters, membership functions, fuzzy variables, linguistic variables, fuzzy rules are machine-readable data that are stored in the ontology, the data stored in the ontology are interconnected by the type of a oriented contour graph whose vertices are fuzzy rules or fuzzy rules and linguistic variables combined into one set, with this ensures the formation of a connection between two vertices, provided that at the conclusion of the first rule and in the condition of the second rule, forming respectively the first and second vertices of the graph, the same linguistic variable is involved, a conclusion about the state of the network is made by the value of one or more output linguistic variables selected for control. 2. Способ по п. 1, отличающийся тем, что после получения вывода о состоянии сети осуществляют обратную декомпозицию.2. The method according to p. 1, characterized in that after receiving a conclusion about the state of the network, reverse decomposition is performed. 3. Способ по п. 1, отличающийся тем, что перед формированием функций принадлежности осуществляют моделирование нештатных ситуаций в сети, по результатам которых осуществляют корректировку функций принадлежности.3. The method according to p. 1, characterized in that before the formation of the membership functions carry out the simulation of emergency situations in the network, the results of which carry out the adjustment of membership functions. 4. Способ по п. 1, отличающийся тем, что обеспечивают сохранение в онтологии результатов каждого предыдущего контроля сети для корректировки функций принадлежности с учетом накопленной статистической информации.4. The method according to p. 1, characterized in that they ensure that the results of each previous network control are stored in the ontology to adjust membership functions taking into account the accumulated statistical information. 5. Способ по п. 1, отличающийся тем, что значение выходной лингвистической переменной, определяющей вывод о состоянии сети, приводят к числовому значению путем деффазификации.5. The method according to p. 1, characterized in that the value of the output linguistic variable that determines the conclusion about the state of the network, lead to a numerical value by defazification.
RU2015153126A 2015-12-10 2015-12-10 Method of monitoring state of data transmission network RU2610287C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2015153126A RU2610287C1 (en) 2015-12-10 2015-12-10 Method of monitoring state of data transmission network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2015153126A RU2610287C1 (en) 2015-12-10 2015-12-10 Method of monitoring state of data transmission network

Publications (1)

Publication Number Publication Date
RU2610287C1 true RU2610287C1 (en) 2017-02-08

Family

ID=58457862

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2015153126A RU2610287C1 (en) 2015-12-10 2015-12-10 Method of monitoring state of data transmission network

Country Status (1)

Country Link
RU (1) RU2610287C1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2664402C1 (en) * 2017-06-21 2018-08-17 Элдар Али Оглы Разроев Method of providing access to the databases
RU2672137C1 (en) * 2018-02-28 2018-11-12 Александр Александрович Бречко Method for monitoring status of logical structure of communication network
RU2684493C1 (en) * 2018-03-30 2019-04-09 Валерий Иванович Стародубцев System for structuring objects for operation in software environments and methods for its implementation
CN114410984A (en) * 2022-01-25 2022-04-29 湖南株冶有色金属有限公司 Control method for abnormal working condition in zinc hydrometallurgy leaching process
CN115361690A (en) * 2022-08-18 2022-11-18 国网福建省电力有限公司经济技术研究院 Joint optimization method, equipment and base station for capacity and coverage of dense macro-micro cooperative networking
RU2789990C1 (en) * 2022-06-01 2023-02-14 Общество с ограниченной ответственностью "КИТ Разработка" Method and system for automated documentation of security threats and vulnerabilities related to an information resource

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1995008886A1 (en) * 1993-09-20 1995-03-30 Cabletron Systems, Inc. Communications network management system and method, using fuzzy logic
RU2355024C2 (en) * 2007-02-12 2009-05-10 ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени С.М. Буденного Method of monitoring safety of automated systems
RU2450335C1 (en) * 2011-07-11 2012-05-10 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for distributed monitoring and adaptive control of multilevel system and apparatus for realising said method
RU2477929C2 (en) * 2011-04-19 2013-03-20 Закрытое акционерное общество "Лаборатория Касперского" System and method for prevention safety incidents based on user danger rating
RU128741U1 (en) * 2011-06-28 2013-05-27 Закрытое акционерное общество "Лаборатория Касперского" SYSTEM FOR FORMING SOLVING PROBLEMS OF FUNCTIONING COMPUTER SYSTEMS

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1995008886A1 (en) * 1993-09-20 1995-03-30 Cabletron Systems, Inc. Communications network management system and method, using fuzzy logic
RU2355024C2 (en) * 2007-02-12 2009-05-10 ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени С.М. Буденного Method of monitoring safety of automated systems
RU2477929C2 (en) * 2011-04-19 2013-03-20 Закрытое акционерное общество "Лаборатория Касперского" System and method for prevention safety incidents based on user danger rating
RU128741U1 (en) * 2011-06-28 2013-05-27 Закрытое акционерное общество "Лаборатория Касперского" SYSTEM FOR FORMING SOLVING PROBLEMS OF FUNCTIONING COMPUTER SYSTEMS
RU2450335C1 (en) * 2011-07-11 2012-05-10 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Method for distributed monitoring and adaptive control of multilevel system and apparatus for realising said method

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2664402C1 (en) * 2017-06-21 2018-08-17 Элдар Али Оглы Разроев Method of providing access to the databases
RU2672137C1 (en) * 2018-02-28 2018-11-12 Александр Александрович Бречко Method for monitoring status of logical structure of communication network
RU2684493C1 (en) * 2018-03-30 2019-04-09 Валерий Иванович Стародубцев System for structuring objects for operation in software environments and methods for its implementation
WO2019190355A1 (en) * 2018-03-30 2019-10-03 Валерий Иванович СТАРОДУБЦЕВ System and method for structuring objects to operate in software environments
CN114410984A (en) * 2022-01-25 2022-04-29 湖南株冶有色金属有限公司 Control method for abnormal working condition in zinc hydrometallurgy leaching process
CN114410984B (en) * 2022-01-25 2023-11-17 湖南株冶有色金属有限公司 Control method for abnormal working condition in zinc hydrometallurgy leaching process
RU2789990C1 (en) * 2022-06-01 2023-02-14 Общество с ограниченной ответственностью "КИТ Разработка" Method and system for automated documentation of security threats and vulnerabilities related to an information resource
CN115361690A (en) * 2022-08-18 2022-11-18 国网福建省电力有限公司经济技术研究院 Joint optimization method, equipment and base station for capacity and coverage of dense macro-micro cooperative networking

Similar Documents

Publication Publication Date Title
Li et al. Heterogeneous large-scale group decision making using fuzzy cluster analysis and its application to emergency response plan selection
RU2610287C1 (en) Method of monitoring state of data transmission network
Dong et al. A self-management mechanism for noncooperative behaviors in large-scale group consensus reaching processes
Abul-Haggag et al. Application of fuzzy logic for risk assessment using risk matrix
CN111324639A (en) Data monitoring method and device and computer readable storage medium
CN104246798A (en) Problem analysis and priority determination based on fuzzy expert systems
Kumar et al. Applying soft computing approaches to predict defect density in software product releases: an empirical study
Scherger et al. The OWA distance operator and its application in business failure
Li et al. A consensus model based on social network analysis in large-scale group decision making: mining and managing trust risk behaviors
Dai et al. What will it take to generate fairness-preserving explanations?
Dulhare et al. An efficient hybrid clustering to predict the risk of customer churn
IDRI et al. Software cost estimation by fuzzy analogy for ISBSG repository
Kumar et al. Expected value based ranking of intuitionistic fuzzy variables
Vilcu et al. Software application for the analysis of the reliability of a textile equipment
Borisov et al. Fuzzy methods for comparing project situations and selecting precedent decisions
Ataoui et al. Resiliency assessment model
Lin et al. Applying GA and fuzzy logic to breakdown diagnosis for spinning process
Parashchuk et al. Formulation of a system of indicators of information protection quality in automatic systems of numerical control machines for advanced material processing
Gastelum-Chavira et al. A multicriteria and multiobjective approach for the market segmentation problem
Alguliyev et al. Development of risk factor management method for federation of clouds
Alcalde et al. Trend analysis in L-fuzzy contexts with absent values
Plumed et al. A knowledge growth and consolidation framework for lifelong machine learning systems
Kotenko et al. Construction of Membership Functions for Fuzzy Management of Security Information and Events
Levykin et al. Algebraic Approach to the Description of Temporal Knowledge in Decision Support Tasks
Zhang et al. A Warning and Urgent Decision-making Mechanism for Uncertain Network Public Sentiment Emergency.

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20171211

NF4A Reinstatement of patent

Effective date: 20180920