1 АНАЛИЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Введение

1
АНАЛИЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Введение
1. АНАЛИЗ
ЗАДАЧ
И
СОВРЕМЕННОГО
СОСТОЯНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
2. ТЕОРИЯ ВОЗМУЩЕНИЙ — ОСНОВНОЙ ИНСТРУМЕНТ ДЛЯ
СОЗДАНИЯ
ЕДИНОГО
МАТЕМАТИЧЕСКОГО
ПОДХОДА
К
АНАЛИЗУ ИНФОРМАЦИОННЫХ СИСТЕМ
2.1. Основы теории возмущений
2.2. Использование теории возмущений для анализа решения
некоторых стандартных задач
3. МАТЕМАТИЧЕСКАЯ
ФОРМАЛИЗАЦИЯ
ИНФОРМАЦИОННОГО
ПРОЦЕССА
3.1. Непрерывный информационный процесс
3.2. Дискретный информационный процесс
3.3. Матричное представление преобразования информационной
системы. Полные наборы параметров.
4. АНАЛИЗ СОСТОЯНИЯ И ТЕХНОЛОГИИ ФУНКЦИОНИРОВАНИЯ
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
4.1. Разработка моделей систем защиты информации
4.1.1. Модель системы защиты информации, основанная на
знаковой чувствительности объекта.
4.1.1.1. Понятие
знаковой
чувствительности
информационной системы
4.1.1.2. Построение геометрической модели системы
защиты информации
4.1.2. Модель
защищенной
информационно-
технологической системы, основанная на принципах
функционирования нервной системы человека
2
4.1.2.1. Аналогии
архитектуры
функционирования
и
нервной
целей
системы
человека и системы защиты информации
4.1.2.2. Выделение основных принципов и целей
функционирования
нервной
системы
человека
4.1.2.3. Этапы
построения
модель
графово-матричная
защищенной
информационно-
технологической системы
4.1.2.4. Математические
параметры,
характеризующие
информационно-
технологическую систему
4.1.2.5. Связь
количества
информации
графа
системы и информации системы.
4.1.2.6. Локализация информации в модели системы
4.1.2.7. Необходимый
уровень
защищенности
системы
4.1.2.8. Количественные
оценки
составляющих
информационно-технологической системы
4.1.2.9. Моделирование
атаки
на
защищенную
информационную систему
4.1.2.10. Динамическая
модель
защищенной
информационно-технологической системы
4.1.2.11. Энергетическая ценность информационнотехнологической системы
4.2. Анализ
адекватности
системы
защиты
информации
предполагаемому противнику
4.2.1. Модель противника.
4.2.1.1. Анализ
традиционных
путей
моделировании группы противника
при
3
4.2.1.2. Повышение
информативности
противника
за
счет
модели
использования
взвешенного графа
4.2.1.3. Анализ структуры и деятельности группы
противника на основе теории графов.
4 .2 .2 .
Метод оценки адекватности системы защиты
информации предполагаемому противнику
5 . МАТРИЧНОЕ
ИССЛЕДОВАНИЕ
СТРУКТУРЫ
ИНФОРМАЦИОННОГО ПРОЦЕССА
5 .1 . Пар ам етр ы
инфор мационно го
проц ес са
и
свя зь
м ежд у ни ми
5 .2 . Вариационная матрица информационного процесса и ее
структура и свойства
5 .3 . Граф информационного процесса и его особенности
5 .4 . Параллельные формы информационного процесса
5 .5 . Введение
в
функционоальное
исследование
структуры
информационного процесса
6. СИММЕТРИЧНАЯ ПРОБЛЕМА СОБСТВЕННЫХ ЗНАЧЕНИЙ И
СИНГУЛЯРНОЕ РАЗЛОЖЕНИЕ МАТРИЦЫ
6.1. Прямые
методы
решения
симметричной
проблемы
собственных значений. Оценка вычислительной сложности.
6 .2 . Связь между сингулярным и спектральным разложениями
матрицы.
6.3. Итерационные методы решения проблемы собственных
значений. Оценка вычислительной сложности.
Заключение.
ДОПОЛНЕНИЕ 1. СХЕМЫ ХРАНЕНИЯ ГРАФОВ И ИХ АНАЛИЗ
ДОПОЛНЕНИЕ 2. АЛГОРИТМ
ПОСТРОЕНИЯ
ТОПОЛОГИЧЕСКОЙ
СОРТИРОВКИ ОРИЕНТИРОВАННОГО ГРАФА ПО
ТОПОЛОГИЧЕСКИМ
СОРТИРОВКАМ
ЕГО
4
ПОДГРАФОВ
ДОПОЛНЕНИЕ 3. ГОМОМОРФНАЯ
СВЕРТКА
И
СВОЙСТВА
ТОПОЛОГИЧЕСКИХ СОРТИРОВОК
ДОПОЛНЕНИЕ 4. УПОРЯДОЧЕНИЕ СИММЕТРИЧНОЙ РАЗРЕЖЕННОЙ
МАТРИЦЫ
Литература.
Введение
Процесс внедрения новых информационных технологий во все сферы
жизни современного общества, вступающего в постиндустриальный период
своего
развития,
который
по
всеобщему
мнению
можно
назвать
информационным [1], немыслим без решения вопросов информационной
безопасности в различных сферах: политической, военной, экологической,
естественно-научной,
экономической,
технической,
финансовой.
социальной,
нормативно-правовой,
Широкомасштабное
использование
вычислительной техники и телекоммуникационных систем, переход к
безбумажной технологии, увеличение объемов обрабатываемой информации и
расширение круга пользователей приводят к качественно новым возможностям
несанкционированного доступа к ресурсам и данным информационной
системы, к ее высокой уязвимости. В современных условиях защита
информации
в
целом
и
защита
информации
в
автоматизированных
информационных системах в частности становится все более сложной
проблемой [2-10].
Несмотря на то, что современный прогресс в области глобальных
компьютерных
сетей
и
средств
мультимедиа
привел
к
разработке
многочисленных методов, предназначенных для обеспечения безопасной
передачи данных по каналам телекоммуникаций и использования их в
необъявленных целях, методов синтеза информационных систем, эти методы
часто не имеют должного теоретического обоснования, описание их свойств,
5
преимуществ и недостатков опирается лишь на практический опыт их
использования, что не гарантирует их успешной работы при применении во
внештатных ситуациях (таковыми являются многие стеганографические
методы,
методы распознавания фальсификаций цифровых контентов и
др.).
Процесс математизации информационной безопасности отстает от ее
потребностей. Проявляением этого отставания является отсутствие до
настоящего
момента
информационной
универсальной
формализации
произвольной
системы, общего подхода, основанного на едином
математическом базисе, к вопросам анализа и обработки данных о состоянии
системы и процесса ее функционирования, независимо от ее конкретного вида
и особенностей. Разработке такого подхода посвящена настоящая работа.
Внимательно изучив используемые до настоящего момента в области
защиты информации математические инструменты, авторы пришли к выводу,
что на их основе чрезвычайно сложно (или вообще невозможно) достижение
поставленной в работе цели. Основой для построения единого математического
базиса
информационной
безопасности
обоснованно
выбрана
теория
возмущений с привлечением матричного анализа и теории графов, что никогда
не делалось ранее.
6
1. АНАЛИЗ
ЗАДАЧ
И
СОВРЕМЕННОГО
СОСТОЯНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Развитие подходов к решению проблемы защиты информации шло по пути
от обеспечения защиты чисто формальными механизмами, содержащими
главным образом технические и программные средства в рамках ОС и СУБД,
через выделение управляющего компонента, ядра безопасности, и развитие
неформальных средств защиты к формированию взгляда на защиту как на
непрерывный процесс, к развитию стандартов на защиту информации,
усилению тенденции аппаратной реализации функций защиты, формированию
вывода о взаимосвязи защиты информации, архитектуры систем обработки
данных и технологии их функционирования, к формированию системного
комплексного подхода, являющегося определяющим на современном этапе
развития [4,11,12]. При этом эффективное решение имеющихся проблем в
области информационной безопасности на сегодняшний день немыслимо без
наличия развитого и адекватного научного базиса.
Теоретические
основы
построения
систем
защиты
информации
исключительно сложны и, несмотря на интенсивность исследований в этой
предметной области, еще далеки от совершенства. До настоящего момента
общий математический подход к вопросам анализа и синтеза информационных
процессов и систем отсутствовал [3]. Одна из попыток формализации анализа
систем защиты информации в электронных системах обработки данных была
предпринята в [13], где для проведения исследований и получения
практических результатов в объект исследования под названием информация
вносилась структура языка (язык — это множество правильных слов в
некотором алфавите), имеющая искусственный характер, но позволяющая
говорить об информации как о дискретной системе. Основой для формализации
служило представление
информации и состояния любого устройства в
вычислительной системе в виде слова в некотором языке. Преобразование
информации и изменение состояния устройства в вычислительной системе
7
представляло из себя отображение слова в другое слово используемого языка,
что давало возможность обобщить понятие информационного преобразования.
Однако у предлагаемого подхода имеется ряд существенных недостатков, что
делает его несостоятельным для решения вопросов всестороннего анализа
состояния и технологии функционирования систем защиты информации:
 предложенный способ моделирования преобразования информации и
системы не дает возможности определить силу преобразующего
воздействия на рассматриваемые объекты, степень изменения объектов,
т.е. последствия воздействий;
 если описание преобразования данных также является словом в
рассматриваемом языке, как предполагается в [13], это не дает
возможности
динамического
преобразований,
т.к.
новое
изменения
множества
преобразование
может
возможных
не
оказаться
правильным словом в рассматриваемом алфавите;
 по имеющимся описаниям объектов в виде слов языка невозможно
однозначно определить, разным ли объектам соответствуют эти описания
или разным состояниям одного объекта;
 при описании состояния объекта в виде слова нельзя сделать априори
вывод о том, насколько состояние объекта устойчиво, чувствительным
или нечувствительным является объект к возмущающим воздействиям;
 затруднительно
введение
понятия
расстояния
(метрики)
между
различными объектами (различными состояниями), позволившего бы
адекватно оценивать степень близости между ними.
Хорошо известны трудности при создании оптимальной, т.е. такой, которая
в предполагаемых условиях наилучшим образом удовлетворяет условиям
рассматриваемой задачи, системы защиты информации [2,3]:
 наличие
целенаправленного
противодействия
со
стороны
противоборствующей системы, способы действий которой неизвестны
исследователю;
8
 недостаточная
изученность
некоторых
явлений,
сопровождающих
процесс функционирования системы защиты;
 нечеткое представление цели операции;
 сложная опосредованная взаимосвязь показателей качества системы
защиты информации с показателями качества информационной системы;
 необходимость учета большого числа показателей (требований) системы
защиты
информации
при
оценке
и
выборе
их рационального
варианта;
 преимущественно качественный характер показателей (требований),
учитываемых при анализе и синтезе системы защиты
информации,
существенная взаимосвязь и взаимозависимость этих показателей
(требований), имеющих противоречивый характер;
 трудность получения исходных данных, необходимых для решения задач
анализа и синтеза систем защиты информации, в особенности на ранних
этапах их проектирования.
Хотя
все
это
делает
практически
невозможным
(неэффективным)
применение традиционных в области защиты информации математических
методов, таких как методы математической статистики и теории вероятностей,
а также классических методов оптимизации для решения прикладных задач
анализа и синтеза систем защиты
информации, такие попытки все же
предпринимаются. В [12] предлагается обобщенная модель процессов защиты
информации. Оптимальность системы интерпретируется в соответствии с
общими постановками оптимизационных задач: при заданных ресурсах
обеспечить достижение максимального результата или обеспечить достижение
заданного результата при минимальном расходовании ресурсов. Таким
образом, в любом случае речь идет лишь о наиболее рациональном
использовании
ресурсов,
выделяемых
или
необходимых
для
защиты
информации. Приведенная модель никак не отражает априорную устойчивость
имеющейся системы защиты информации к возможным угрозам, степень ее
9
«разрушений» при применении тех или иных угроз. Кроме того, чтобы реально
воспользоваться
этой
обобщенной
моделью
должны
быть
известны
функциональные зависимости значений введенных в [12] показателей
защищенности от параметров системы и внешней среды и зависимость самих
параметров от размеров ресурсов, вкладываемых в отображаемые ими
процессы.
Однако
строгое
выполнение
этих
требований
практически
невозможно, экспертные же оценки не гарантируют требуемой точности, что
является серьезным недостатком предложенной в [12] обобщенной модели
процессов защиты информации.
Широко распространенным и часто используемым в современных научных
работах, посвященных решению задач анализа, синтеза и моделирования
информационных систем и систем защиты информации является подход,
основывающийся на теории нечетких множеств [2,3,12,14,15,16]. На первый
взгляд, это совершенно оправданно и логично. В отличие от математической
статистики и теории вероятностей, использующих экспериментальные данные,
обладающие строго определенной точностью и достоверностью, теория
нечетких множеств имеет дело с «человеческими знаниями», которые принято
называть экспертной информацией. Основные положения теории нечетких
множеств, имеющие принципиальное значение для решения задач защиты
информации в современной их постановке, достаточно подробно изложены в
[14,15], а также [17,18]. Действительно, аппарат нечетких множеств и нечеткой
логики применяется для решения задач, в которых исходные данные слабо
формализованы [19]. К таким задачам, как уже было отмечено выше, относятся
и задачи из области информационной безопасности. Сильными сторонами
такого подхода являются:
 описание условий и метода решения задачи на языке, близком к
естественному;
 универсальность: согласно знаменитой теореме, доказанной Б.Коско в
1993г., любая математическая система может быть аппроксимирована
системой, основанной на нечеткой логике;
10
 эффективность (связана с универсальностью), поясняемая рядом теорем,
аналогичных теоремам о полноте для искусственных нейронных сетей.
Однако, математическая модель, построенная на базе нечетких множеств,
не может быть лишена недостатков самой теории. Теории нечетких множеств
присущи такие особенности, которые приводят к ряду принципиальных
проблем в процессе использования ее как инструмента моделирования
неопределенных параметров сложных систем. На эти проблемы неединожды
обращали внимание как приверженцы, так и противники этой теории [20,21].
Аксиоматические основы теории нечетких множеств не позволяют найти такую
интерпретацию
степени
принадлежности
нечеткому
множеству,
чтобы
получить объективный источник (или расчетный алгоритм) для определения
соответствующих функций принадлежности, как это имеет место, например,
для функций распределения вероятностей в теории вероятностей. Поэтому
экспертные оценки [16,22] составляют единственный источник получения
функций принадлежности нечетких множеств, а сама функция принадлежности
представляет субъективную меру соответствия элемента множеству. Кроме
того, аксиоматика теории
реализована так, что эта теория не имеет
существенных формальных средств для ограничения влияния субъективных
решений эксперта на результат определения функции принадлежности и
формального контроля непротиворечивости этих решений, как это имеет место
в той же теории вероятностей. В случае теории нечетких множеств значения
функции принадлежности и соотношения между ними формально могут быть
произвольными. Поэтому полученные таким образом результаты могут в
большой степени зависеть как от самого эксперта, так и от метода проведения
экспертной процедуры.
Для частичного устранения указанных недостатков рядом авторов [19]
было предложено делать нечеткие управляющие системы адаптивными,
корректируя по мере работы правила, параметры функций принадлежности и
сами системы, что чрезвычайно усложняет процесс практической реализации
такой системы и может привести в силу этого к нецелесообразности
11
использования такой коррекции. Одним из вариантов предлагаемой адаптации
является метод гибридных нейронных сетей. Гибридная нейронная сеть
идентична по своей структуре многослойной нейронной сети с обучением,
например, по алгоритму обратного распространения ошибки, но скрытые слои
в ней соответствуют этапам функционирования нечеткой системы.
Идея адаптивности вместе с ее отрицательными сторонами перекликается с
идеей о том, что оценка параметров системы защиты информации в условиях
высокой степени неопределенности условий ее функционирования должны
вычисляться
с
использованием
не
одной
математической
модели,
а
согласованного семейства моделей, адаптивно конструирующихся одна из
другой и, таким образом, непрерывно совершенствующихся на основе
оптимального выбора исходных данных [3], обеспечение и реализация которого
вызывает значительные затруднения.
Для создания адекватной модели чрезвычайно важно учитывать, что
любая информационная система является системой в общем виде, т.е.
формально информационная система S — это объект, существующий во
времени,
подвергающийся
внутренним
и
внешним
воздействиям
(возмущениям), реагирующий на них изменениями своих состояний и
обладающий способностью проявить в том или ином виде эти реакции. В
силу
этого
любая
информационная
система
обладает
следующими
признаками [1]:
 имеет искусственную, антропогенную природу — создается людьми;
 обладает целостностью — все ее части работают для достижения
единой
цели
функционирования,
функционирования.
определение
Формулировка
количественных
цели
показателей
достижения этой цели (целевая функция) и измеримых характеристик
качества функционирования (критериев эффективности) не могут быть
заданы изнутри системы. Все эти показатели и характеристики
определяются внешней по отношению к системе средой;
12
 совокупность элементов, составляющих информационную систему,
обладают
разнообразием
выполняемых
функций,
различной
сложностью и стоимостью;
 система всегда является сложной в том смысле, что все ее элементы
влияют друг на друга, и изменение состояния одного из них вызывает
изменения
состояний
характеристики
других.
взаимного
При
влияния
этом
элементов
количественные
не
обязательно
обладают свойством линейности. Эти зависимости могут быть
нелинейными, немонотонными;
 Практически
все
информационные
системы
являются
автоматизированными: часть их функций выполняется человеком, а
часть — техническими устройствами;
 Информационные системы функционируют в конкурентной среде,
поэтому их работа сопровождается конфликтными ситуациями.
Несмотря на соответствие признаков информационной системы и системы
в общем виде, в связи с тем, что процессы защиты информации подвержены
влиянию случайных факторов, методы классической теории систем также
оказываются практически непригодными для использования в качестве основы
единого подхода к анализу состояния и технологии функционирования
информационных систем. Вопросы, связанные с актуальной необходимостью
расширения используемого здесь до настоящего момента математического
аппарата, уже не раз затрагивались в открытой печати. Однако предлагаемое
«расширение» не выходит за рамки эвристического программирования,
психоинтеллектуальной
лингвистических
генерации,
переменных
методов
(нестрогой
нечетких
математики),
множеств,
неформального
оценивания, неформального поиска оптимальных решений [3,12] и др.,
некоторые значительные недостатки которых обсуждались выше, и, по мнению
авторов настоящей работы, принципиально не может привести к созданию
адекватного математического базиса для комплексного решения поставленных
13
в работе задач. Необходимо искать другие математические источники и
инструменты.
С конца прошлого века в теории управления начал развиваться
«неклассический» подход при моделировании систем защиты информации,
основывающийся на аналогиях архитектуры и целей функционирования
сложных технических и биологических систем, являющихся естественными
системами управления [23-31]. Основная идея здесь заключается в следующем:
проблему
обеспечения
безопасности
сложных
автоматизированных
и
телекоммуникационных систем необходимо решать комплексно, ориентируясь
на организацию биологических систем, обладающих высокой защищенностью.
Иерархический принцип организации,
присущ как биологическим, так и
сложным техническим системам. Кроме того, обоим видам систем присуща
общность целей: поддержание жизнеспособности сложной системы в течение
продолжительного времени за счет обеспечения надежного кодирования,
хранения, преобразования и передачи информации. Придание техническим
системам положительных качеств биосистем, отвечающих за безопасность и
надежность информационных процессов позволит изменить сам подход к
созданию сложных компьютерных систем, систем защиты информации.
Такой подход до сих пор был ориентирован прежде всего на нейросетевую
элементную базу, поскольку искусственные нейронные сети наиболее подобны
биосистемам и обладают необходимой совокупностью свойств, среди которых
способность к обобщению, адаптации, самообучению и т.д. [29;31].
При
построении
предпринимаются
управляющих
систем
предпринимались
и
попытки использования имунного механизма защиты
биологических систем [29], а также принципов функционирования нервной
системы человека [25].
Задача моделирования человеческого мозга всегда вызывала повышенный
интерес. В сороковых годах с момента выхода в свет [32] проблема перешла из
области научной фантастики в область реальных теоретических исследований и
14
практического моделирования [33-34]. Однако чрезвычайная сложность
объекта моделирования и выполняемых им функций до настоящего времени не
дает возможности создания достаточно точной универсальной математической
модели нервной системы, хотя для этого и используются такие сложные
математические
инструменты,
как
дифференциальное
и
интегральное
исчисления, методы оптимизации и т.д., а также подход, основанный на
создании искусственных нейросетей. Результатом проведенных исследований
на сегодняшний день явились следующие выводы:
1. В полной мере принцип действия мозга остается непонятным и не
воспроизводится технически;
2. Имеющиеся методы решения задач, соответствующих некоторым
функциям мозга, отличаются от того, как эти задачи решаются самим
мозгом.
Основания для этих выводов заключаются в следующем:
 сегодня, как следует из публикаций, доступных из открытой печати,
практически невозможно построить устройство, состоящее из 1011
параллельно работающих искусственных нейронов, каждый из которых
осуществляет довольно сложную обработку информации (1011 —
количество нервных клеток, из которых состоит мозг человека);
 до настоящего момента не существует убедительной функциональной
модели нейрона, а также способов построения нейросетей, решающие
задачи, свойственные мозгу;
 логическая организация мозга до сих пор не понятна, отсутствует полное
представление о существе таких проявлений мозга, как сознание, эмоции;
 передаваемая посредством генного аппарата информация отражает опыт
предыдущих поколений и обеспечивает начальную приспособленность
аппаратной, программной и информационной компонент мозга и всего
организма к условиям его обитания, без которой невозможно решение
задач выживания, управления, адаптации, накопления знаний. Вызывает
15
сомнение, что длительный эволюционный отбор на протяжении
уникальной
истории
можно
заменить
единовременным
актом
оптимизации системы при ее синтезе.
 Развитая методика организации эволюционного отбора до настоящего
момента в открытой печати также отсутствует.
Любые модели только отражают некоторые свойства природы, являясь
инструментом, помогающим человеку найти и использовать закономерности
природы.
В
реальной
природе
не
существует
таких
объектов,
как
дифференциалы, интегралы и т.д. Несмотря на успехи математического
моделирования, возможности построения управляющих систем на основе
точной науки ограничены. Управляющая система, построенная на основе
классических
интегральное
математических
исчисление
и
наук
т.д.)
(дифференциальные
приходит
к
резкому
уравнения,
усложнению
математической модели в случае необходимости решения системой нештатной
задачи. В противовес таким моделям выступают нейросети. Однако и
использование нейронных сетей при моделировании естественных систем
управления, к сожалению, как следует из вышесказанного, не обеспечивает и
пока принципиально не могут обеспечить всех выдвигаемых к моделям
требований, обладающих в итоге рядом существенных недостатков [35-37].
Таким образом, предпринимаемые до сих пор попытки формализации
информационных процессов не дают возможности уйти от конкретики
рассматриваемых
задач,
не
обеспечивают
всесторонний
анализ
функционирования информационной системы, что не позволяет осуществлять
построение в полной мере эффективных систем защиты информации. Кроме
того, используемый до настоящего момента в области информационной
безопасности, объекты которой плохо формализуются, обладают свойствами,
плохо известными априори и изменяющимися в процессе функционирования,
математический аппарат не в состоянии решить все задачи, связанные с
16
анализом
и
синтезом
информационных
систем,
удовлетворить
всем
выдвигаемым требованиям.
При существующем на сегодняшний день интенсивном развитии науки и
техники вообще и защиты информации в частности математические модели
реального мира усложняются, и поэтому естественно для их анализа
попытаться использовать одну из центральных математических теорий —
теорию
возмущений,
неотделимую
в
своем
классическом
асимптотических методов [38-43], что никогда не делалось ранее.
виде
от
17
2. ТЕОРИЯ ВОЗМУЩЕНИЙ — ОСНОВНОЙ ИНСТРУМЕНТ ДЛЯ
СОЗДАНИЯ
ЕДИНОГО
МАТЕМАТИЧЕСКОГО
ПОДХОДА
К
АНАЛИЗУ ИНФОРМАЦИОННЫХ СИСТЕМ
2.1. Основы теории возмущений
Асимптотический
анализ
в
математике
или
других
разделах
естествознания — это аппроксимация каких-либо математических или иных
объектов более простыми (метод замены является основным методом
вычислительной
математики
[44-46]).
Асимптотический
анализ
весьма
многогранен, он всегда помогает человеку в его извечном стремлении
действовать наилучшим образом. Математические соображения здесь основаны
на общей идее: как и чем точнее пренебречь, не исказив существа дела.
Асимптотический анализ можно вести на любом уровне строгости: на
математическом, на физическом и «на пальцах». При описании реального
процесса можно пренебречь влиянием ряда параметров и при этом не будет
потеряно ценной информации об основных закономерностях изучаемого
процесса. Проблема заключается в том, чтобы грамотно выделить эти
параметры,
а
для
оставшихся
иметь
возможность
оценить
степень
зависимости решения от их возмущений [39]. Установление такой зависимости
дает возможность
 для
априорной
оценки
результата
возмущающего
воздействия,
независимо от характера этого воздействия;
 для
определения
степени
зависимости
состояния
объекта
от
возмущающего воздействия (а значит дает возможность определения
допустимых, не приводящих к разрушению объекта, возмущающих
воздействий);
 для определения свойств объекта по анализу возмущений определяющих
параметров;
18
 для определения меры чувствительности объекта;
 для
предвидения
реакции
объекта
на
конкретное
возмущающее
воздействие;
 для установления достаточных условий нечувствительности объекта к
возмущениям и обеспечения других его свойств.
Таким образом, использование теории возмущений, в отличие от всех
использованных
до
сих
пор
математических
инструментов,
дает
принципиальную возможность для создания общего математического подхода
к полноценному и всестороннему анализу и обоснованному синтезу
информационных систем, независимо от их конкретного представления.
Классическая теория возмущений, зародившаяся в недрах небесной
механики, математически была оформлена окончательно в трудах А.Пуанкаре.
Важная роль в ее развитии принадлежит А.М.Ляпунову. В том специфическом
виде, как она используется в задачах на собственные значения и собственные
функции,
теория
возмущений
впервые
была
разработана
Рэлеем
и
Шредингером. Математические основы теории подитожены и развиты до
современного
уровня
в
трудах
Т.Като,
М.Ш.Бирмана,
В.С.Буслаева,
В.П.Маслова и др. [47-50]
Математически возмущения описываются с помощью больших или малых
параметров. В небесной механике малым параметром может быть, например,
величина   m1 m , характеризующая отношение массы планеты m1 к массе
Солнца, а обратная величина может играть роль большого параметра. В общем
же случае понятия «малого» и «большого» параметра невозможно четко
определить безотносительно к конкретике той задачи, для решения которой они
используются.
Возмущение далеко не всегда сводится к незначительным изменениям
невозмущенного процесса. Это верно только для регулярных возмущений, когда
роль возмущений играют подчиненные члены оператора. Если же роль
возмущений играют главные члены оператора, то говорят о сингулярных
19
возмущениях [39]. Для простоты последующие выводы проиллюстрируем на
очень ярком и простом примере — алгебраическом квадратном уравнении
ax 2  bx  c  0, a  0 .
Рассмотрим
поведение
корней
этого
уравнения
(2.10)
при
возмущениях,
характеризуемых малым параметром  ( 0    1). Первое слагаемое в (2.10)
является главным членом уравнения: именно оно определяет, что уравнение
имеет точно 2 корня, второе и третье слагаемые — подчиненные члены.
Пусть исходное уравнение имеет конкретный вид:
ax 2  c  0, a  0 .
(2.20)
При c  0 корнями (2.20) являются:
c
c
x1   , x 2    .
a
a
(2.30)
Предположим, что уравнение (2.20) подверглось возмущению:
ax 2  bx  c  0, a  0 .
(2.40)
Поскольку возмущение регулярно, можно ожидать, что корни x1 , x2 уравнения
(2.40) будут отличаться от (2.30) незначительно. Действительно, если
полученные корни
 b   2 b 2  4ac
 b   2 b 2  4ac
x1 
 f1 ( ), x2 
 f 2 ( )
2a
2a
20
разложить в ряд по степеням  [51] (ряд по степеням малого параметра,
сходящийся в том или ином смысле к решению возмущенного уравнения,
называют рядом теории возмущений [39])

fk
xk  
n 0
(n)
(0) n
 , k  1,2 ,
n!
то
x1  
c
b
b2
b
b2

2
 ...  x 1  
2
 ...,
a
2a
2a
8a  ac
8a  ac
(2.50)
x2   
2
2
c
b
b
b
b

 2
 ...  x 2  
 2
 ...
a
2a
2a
8a  ac
8a  ac
Таким образом, корни регулярно возмущенного уравнения (2.40) отличаются от
корней невозмущенного уравнения (2.20) на малые добавки порядка  ,  2 и т.д.
Можно показать, что степенные ряды (2.50) сходятся [51,39], когда
 2b 2
4ac
 1.
Таким образом, если возмущению подвергается подчиненный член уравнения
(регулярное возмущение), качественная картина решения не меняется: это
никак не повлияет на количество корней, а сами значения корней возмутятся
незначительно.
Иначе
говоря,
задача
решения
уравнения
окажется
нечувствительной к регулярным возмущениям [44,52].
Рассмотрим сингулярное возмущение: возмущению подвергается главный
член уравнения, при этом уравнение (2.10) приобретает вид:
ax 2  bx  c  0, a  0 .
(2.60)
21
При   0 (2.60) превратится в линейное уравнение с единственным корнем:
c
bx  c  0, x   , b  0 .
b
(2.70)
Таким образом, сингулярное возмущение привело к качественному отличию
решения возмущенного уравнения (2.60) (два корня)
x1 
 b  b 2  4ac
 b  b 2  4ac
, x2 
2a
2a
(2.80)
от невозмущенного (2.70) (один корень). При разложении (2.80) в ряд по
степеням  получим:
2 3
c
ac 2
2a 2 c 3
ac 2
2 2a c
x1     2   2

...

x




 ...,
b
b
b4
b2
b4
(2.90)
x2  
2
b c
ac
   3  ...
a b
b
Из (2.90) очевидно, что один из корней сингулярно возмущенного уравнения
(2.60) ведет себя также, как при регулярном возмущении: отличается от корня
невозмущенного уравнения (2.70) малыми добавками. Но x 2 никак не связан с
корнем невозмущенного уравнения. Кроме того,
lim x2   .
 0
Таким образом, сделать вывод о чувствительности задачи [44,52] к
сингулярным возмущениям в общем случае нельзя.
Из вышесказанного вытекает, что если в регулярном случае можно
говорить, что возмущение привносит малые изменения в невозмущенную
22
задачу, то в случае сингулярного возмущения полной аналогии не наблюдается.
Таким образом, при
анализе произвольной
задачи важным является
установление, какие именно возмущения для рассматриваемой задачи
являются регулярными, а какие — сингулярными (или иначе: к каким
возмущениям
задача
является
чувствительной,
а
к
каким
—
нечувствительной[44,52]).
Классическая теория возмущений для простоты может быть изложена на
примере задачи на собственные функции и собственные значения в том виде, в
каком она чаще всего используется в квантовой механике [39].
Пусть требуется найти собственные значения и собственные функции
оператора A( )  A  B , где A — исходный оператор, A( ) — возмущенный
оператор, B — возмущение,  — малый параметр:
A( )  ( A  B)   ,
(2.100)
Т.е. найти те значения  , при которых задача (2.100) имеет ненулевые решения

— собственные функции. Предположим, что собственные значения и
собственные функции оператора A известны, при этом A — самосопряженный,
т.е. в терминах соответствующего скалярного произведения для  ,   D( A)
справедливо равенство:
 A ,    , A  ,
(2.110)
где D ( A) — область определения оператора A .
Пусть для простоты спектр, множество собственных значений, A простой и
конечен:  k   j , когда k  j, k  1, n , а собственные функции  1 ,..., n образуют
ортонормированную систему, т.е.
 ,   
i
j
ij
,
(2.120)
23
где  ij — символ Кронекера.
Пусть области определения операторов A и B совпадают. Решение задачи
(2.100) определяют в виде рядов теории возмущений по степеням малого
параметра  :
 k   k   k1   2 k2  ... ,
(2.130)
k  k  1k   2 2k  ...
(2.140)
Функции  k1 ,  k2 ,... — это поправки к функции  k , 1k , 2k ,... — поправки к  k . Для
нахождения этих поправок ряды (2.130), (2.140) подставляются в (2.100):
( A  B) k  ( A  B)( k   k1   2 k2  ...) 
(2.150)
 (k       ...)( k       ...)
1
k
2
2
k
1
k
2
2
k
Для определения значений поправок приравниваются коэффициенты при
одинаковых степенях  . Например, при  1 :
A k1  B k  1k k  k k1 .
(2.160)
В полученном уравнении (2.160) два неизвестных:  k1 , 1k . Для их определения
обе части равенства (2.160) умножаются скалярно на  k . Учитывая (2.110),
(2.120), получим:
24
A
1
k



, k  B k , k   1k  k , k    k  k1 , k 

1
k



, A k  B k , k   1k   k  k1 , k 
 k  k1 , k   B k , k   1k  k  k1 , k  
1k  B k , k 
Таким образом, найдена первая поправка к  k .
Для определения  k1 обе части равенства (2.160) умножаются скалярно на
i , i  k :
A
1
k



, i  B k , i   1k  k , i   k  k1 , i 

1
k



, A i  B k , i   k  k1 , i 
i  k1 , i   B k , i   k  k1 , i  

k



 B , 
 
 i  k1 , i  B k , i    k1 , i 
k
k
i
i
После разложения  k1 по ортогональным собственным функциям  i , i  1, n ,
 k1  1 1   2 2  ...   n n ,
из (2.170) получается:

1
k

, i   i

i 
B k , i 

k
 i

bki
, ik,
k  i
 

(2.170)
25
где bki  B k , i  .
Из условия нормировки [39]  k  0 .
Приравнивание в (2.150) коэффициентов при  2
даст возможность
определить аналогичным способом поправки  k2 , 2k и т.д.
Описанный формализм был разработан Рэлеем и Шредингером, но долгое
время не был теоретически обоснован, хотя и давал хорошие результаты на
практике. Реллихом было доказано, что ряды (2.130), (2.140) сходятся лишь при
определенных условиях на операторы A и B . Это означает, что функции  k ,
 k можно получить с любой степенью точности, заменяя их конечными
суммами рядов (2.130), (2.140), но лишь при достаточно малых значениях 
(   0 ).
В случае, когда оператор A представлен в матричном виде, задача (2.100)
конкретизируется как задача поиска собственных значений и собственных
векторов матрицы
A( )  A  B  A  E ,
где B
(2.180)
― фиксированная матрица, E  B ― результирующая матрица
возмущений для A , при известных собственных значениях и векторах исходной
матрицы A [38,40-43]. Для этого используются разложения (2.130), (2.140) с
тем отличием, что (2.130) отвечает собственным векторам матрицы A( ) .
В конечномерном случае имеют место предельные соотношения [38]:
lim  k ( )   k ,
 0
lim u k ( )  u k ,
 0
(2.190)
т.е. собственные значения и собственные векторы, отвечающие невозмущенной
матрице, служат нулевыми приближениями (т.е. приближениями с точностью
26
до членов, стремящихся к нулю при   0 ) соответствующих величин,
относящихся к возмущенной матрице A  B .
Для операторов, действующих в бесконечномерном пространстве, вопрос о
нулевом приближении (т.е. о сходимости при   0 ) некоторой функции
возмущенного оператора к той же функции невозмущенного оператора
представляет трудность, а иногда соответствующий предельный переход может
оказаться вообще невыполнимым [38].
Если рассматривать оператор вида (2.180), где A и B неограничены, то нет
оснований ожидать, что влияние возмущения B будет в каком-то смысле мало
даже при сколь угодно малых  . Для получения в этом случае содержательных
результатов обычно требуется, чтобы возмущающий оператор был в некотором
смысле «подчинен» невозмущенному оператору [38].
Пусть
A , A  B
(2.200)
— математические представления некоторой информационной системы до и
после
возмущающего
воздействия
соответственно
(принципиальная
возможность такого представления будет показана ниже). Хотя здесь очевидно
исключается случаи неограниченности
соответствующих
пространств,
A и A  B и бесконечномерности
предельные
соотношения
(2.190)
для
собственных значений и собственных векторов не решают проблемы анализа
состояния информационной системы, представленной в виде (2.200), поскольку
в области информационной безопасности при рассмотрении реальных
возмущающих воздействий их нельзя трактовать как бесконечно малые, т.е.
стремящиеся к нулю. В реальных условиях  может иметь хоть и малое, но
вполне определенное фиксированное значение, что приводит к определенному
возмущению E исходной матрицы, на которое СВ A реагируют, вообще
говоря, по-разному [46,53].
27
Таким образом, хотя возможности теории возмущений для определения
свойств и оценки состояния информационной системы являются чрезвычайно
привлекательными
и
перспективными
для
ее
всестороннего
анализа,
использование классического («предельного») варианта теории является
затруднительным. Необходимо развитие и адаптация этой теории
для ее
базисного использования при анализе и синтезе информационных систем. При
этом чрезвычайно полезны имеющиеся уже наработки в теории возмущений в
области вычислительной линейной алгебры, матричного анализа, теории
аппроксимаций и т.д. [46,52-61], которые используются ниже.
При решении реальной задачи в общем случае невозможно получить точное
значение
искомого
численного
результата
[45,46,52].
Существование
неустранимой погрешности в математической модели объекта или процесса,
фигурирующего
в
задаче
(математическое
описание
задачи
является
неточным), погрешности входных данных, многие из которых в реальных
условиях получены экспериментально или путем измерений, вычислительная
погрешность и погрешность метода, используемого для решения, погрешности,
возникающие при каких-либо дополнительных воздействиях на объект,
которые часто трактуются как возмущения входных данных, приводят к
необходимости их совокупного учета при оценке обязательно присутствующей
погрешности результата. После построения математической модели процесса,
которая необходимо удовлетворяет требованию адекватности (решение
математической задачи, полученное с ее помощью, незначительно отличается
от истинного решения реальной задачи), исходная задача и ее математическая
формализация в процессе решения и анализа полученного результата, как
правило, не разделяются. Однако, в силу особенностей машинной арифметики,
невозможно в общем случае получить точное решение даже смоделированной
математической
задачи
(пренебрегая
неустранимой
погрешностью
и
погрешностью метода) [46,52].
Полученное приближенное решение некоторой вычислительной задачи A
может рассматриваться как точное решение, но другой, возмущенной задачи A
28
( A отличается от A возмущением входных данных) [52]. Таким образом, для
определения
качества
полученного
приближения
необходимо
иметь
возможность оценить степень зависимости решения от возмущений исходных
данных.
Назовем задачу (процесс) чувствительной к возмущающим воздействиям
(погрешностям исходных данных), если даже малые возмущающие воздействия
(малые погрешности исходных данных) могут привести к значительной
погрешности результата, и нечувствительной в противном случае [52]. Иными
словами, для чувствительной задачи погрешность полученного решения будет
много больше погрешности исходных данных, причем это свойство не зависит
от используемого метода решения.
Мера чувствительности задачи может быть разной. Значительная
чувствительность к возмущениям лишает даже потенциальной возможности
получения результата ее решения с малой погрешностью [45]. В силу этого
чрезвычайно важным и актуальным является установление параметров,
определяющих чувствительность задачи, и их численная оценка, а также
достаточных условий нечувствительности [62].
Пусть
 ― входные
данные
для
некоторой
задачи,
результатом
решения которой является    ;  ― возмущенные входные данные, а   
― соответствующее решение.
Числом
обусловленности
рассматриваемой
задачи в самом общем виде называется величина [60-61]:
lim
 
.
расстояние между    и  
расстояние между  и 
(2.210)
Расстояния, фигурирующие в формуле (2.210), определяются введением
соответствующих метрик в пространствах входных данных и результатов
[63-64].
Очевидно,
чем
меньше
возмущение результата
число
обусловленности,
зависит от возмущения
тем
меньше
входных данных, тем
29
меньше чувствительность задачи, а при малом числе обусловленности задача
окажется нечувствительной к
образом,
число
обусловленности
чувствительности
смыслу
погрешностям исходных данных. Таким
к
задачи
возмущающим
соотношение
(2.210)
воздействиям.
представляет
(2.210)
из
является
ее
Заметим,
себя
мерой
что
некий
по
аналог
абсолютного значения скорости изменения вещественной функции результата в
точке  [51,65-66].
2.2. Использование теории возмущений для анализа решения
некоторых стандартных задач
В
результате
математической
формализации
большого
количества
реальных задач возникают системы линейных алгебраических уравнений
[45,52]. В частности, решение некоторых задач области информационной
безопасности авторов настоящей работы также приводили к проблемам
чувствительности к возмущающим воздействиям неоднородных систем
уравнений [67,68]
F xb,
(2.220)
где F — n  n  матрица, для которой det F  0 ,
x, b
— векторы неизвестных и правой части соответственно, b  0 .
Возмущенная СЛАУ имеет вид:
FB xпр  bB
,
(2.230)
где FB  F   F , bB  b   b ,
 F ,  b — возмущения
матрицы системы F и вектора правой части b
соответственно,
x np — вычисленное решение системы (2.220).
30
Пусть xпр  x   x , где  x  xпр  x — абсолютная погрешность xпр . Тогда
система (2.230) представляется в виде:
 F   F  x   x   b   b .
(2.240)
Выразим из (2.240)  x :
 x  F 1   b   F xпр  ,
(2.250)
откуда, при учете элементарных свойств нормы [44-46] и невырожденности
матрицы F , вытекает:


x  F 1  b   F x np   F 1  b   F x np 
(2.260)
 b
 F x np
 F 1 F 

 F
F

Разделив неравенство (2.260) на
x
xпр
 F 1




xпр , получим:

b
F
F 

 F
F
xпр


 .


(2.270)
Соотношение (2.270) представляет из себя оценку для относительной
погрешности результата решения системы линейных алгебраических уравнений
через относительные изменения входных данных и величину cond  F   F 1 F ,
являющуюся числом обусловленности невырожденной матрицы F в задаче о
решении системы, а значит мерой чувствительности этой задачи к погрешности
в исходных данных.
31
На практике оценка погрешности (2.270) часто оказывается завышенной.
Будем обозначать
матрицу, составленную из абсолютных значений
F
элементов F , а неравенства типа F  G следует далее понимать как системы
покомпонентных неравенств для элементов матриц: fij  gij для всех i, j  1,..., n .
Аналогичные обозначения будем использовать и для векторов. На практике
часто можно добиться того, чтобы  F и  b удовлетворяли оценкам:
 F   F , b   b
(2.280)
где  — некоторое очень малое число [46,60] — относительная погрешность
входных данных.
Наименьшее число   0 , для которого существуют возмущения  F и
 b,
удовлетворяющие оценкам (2.280) и уравнению (2.240), выражается через
невязку r  F xпр  b формулой [46]:
  max
1i  n
F x
ri
np
b
.
i
Из (2.250) получаем:


 x  F 1   b   F xпр   F 1  b   F xпр 
(2.290)

 
 F 1  b   F xпр  
F 1


b  F xпр .
Предположим, что используемая векторная норма обладает свойством:
z  z ,
32
(такими будут, например, max-норма, 2-норма [46]), тогда из (2.290) получаем:
 x   F 1
F
xпр  b

.
(2.300)
Если возмущению подверглась только матрица системы F , а вектор правой
части остался неизменным (  b  0 ), тогда из (2.290) вытекает оценка, подобная
(2.300), имеющая вид:
 x   F 1 F
xпр ,
что приводит к относительной погрешности полученного xпр :
x
xпр
Величина
k F  
  F 1 F .
(2.310)
называется относительным покомпонентным
F 1 F
числом обусловленности или числом обусловленности Скила матрицы F
cond F  ,
[60,61,69] и также, как и
позволяет оценить относительную
погрешность результата через относительную погрешность входных данных  ,
т.е. является мерой чувствительности задачи о решении системы уравнений.
Покажем, что k F  может использоваться для оценки погрешности результата
через возмущения данных и в случае, если  b  0 [67]. Действительно, из
(2.300) получаем:
 x 

F 1

F
F F 1
xпр  b
x
пр

F
  F 1
 xпр   x

xпр  F  xпр   x 
  3
F F 1
xпр


33
Откуда
x
xпр
 3
F F 1 .
На практике оценка (2.310) может быть значительно меньше аналогичной
оценки (2.270) [46,69,70] . Это приводит к тому, что система уравнений даже с
большим cond F  может решаться с высокой точностью.
рассмотрим,
например,
диагональную
Действительно,
матрицу F . В качестве нормы
используем max-норму. Тогда k  F   1 , а число обусловленности матрицы будет
зависеть от величины диагональных элементов. Например, если f11  c  1, а все
остальные диагональные элементы — единицы, то cond F  c , а, значит, может
оказаться сколь угодно большим. Однако, в силу (2.310) относительная
погрешность решения системы с такой матрицей будет мала, что находит
подтверждение на практике.
Таким образом, в качестве оценки меры чувствительности задачи о
решении
системы
линейных
алгебраических
уравнений
имеет
смысл
использовать число обусловленности матрицы системы, причем наиболее
рациональным является использование числа обусловленности Скила.
Рассмотрим линейную задачу наименьших квадратов [46,52], которая
тесно связана с построение сингулярного разложения матрицы, играющего
значительную роль в последующем изложении, а потому вызывающую интерес
у авторов настоящей работы, заключающуюся в нахождении вектора
x  x1 ,..., xn  , минимизирующего величину
T
b  b1 ,..., bm  , m  n , 
T
2
Ax  b 2 , где A — m n -матрица,
— векторная 2-норма. Можно показать [46], что имеет
место соотношение:
xx
x
2
2
 
 2k ( A)

  2
 tg k 22 ( A)   O  2 ,
 cos 

(2.320)
34
где x минимизирует возмущенное выражение  A  Ax  b  b ,
2
 A 2 b 2
,
 A
b2
2

  max 
k 2 ( A) 

 1 ,
 k 2 ( A)

 max ( A)
,
 min ( A)
 max ( A),  max ( A) — максимальное и минимальное сингулярные числа A [46],
 — угол между векторами b и Ax , sin  
r
b
2
(рис.2.1),
2
r  Ax  b — невязка.
Как вытекает из (2.320), числом обусловленности задачи наименьших
квадратов будет величина
k3 
2k 2 ( A)
 tg k 22 ( A) .
cos 
Если угол  мал или равен нулю, то мала и
невязка, в этом случае k3  2k 2 ( A) . Если  не
мал, но и не близок к

, то число
2
обусловленности
быть
может
много
больше, чем в первом случае, а именно
k3  k 2 ( A) . Если  близок к
2

, так что
2
точное решение практически вырождается,
то k 3   даже при малом k 2 ( A) .
Как
очевидно
следует
из
рассмотренных примеров для различных
задач их числа обусловленности выглядят по-разному, но
они всегда
показывают, как ошибка во входных данных воздействует на вычисленный
результат.
35
3. МАТЕМАТИЧЕСКАЯ ФОРМАЛИЗАЦИЯ ИНФОРМАЦИОННОГО
ПРОЦЕССА
3.1. Формализация непрерывного информационного процесса
Любой информационный процесс, определяется изменением параметров,
его задающих, или приведением одних параметров (выходных) в соответствие с
другими (входными) по некоторому закону. Таким образом, информационный
процесс можно рассматривать как решение некоторой задачи, заключающейся
в получении выходных параметров по значениям входных. Совершенно
аналогично: информационная система — это результат решения задачи о ее
формировании.
Определение
3.1.
Чувствительностью
информационной
системы
(информационного процесса) в общем случае назовем чувствительность задачи
ее формирования (задачи получения выходных параметров).
При формальном представлении процесса в виде его математической
модели выделяется лишь конечное множество параметров (входных и
выходных), несущих в себе всю ценную информации о его основных
закономерностях, из чего вытекает, что информационный процесс в самом
общем виде можно представить как непрерывную вектор-функцию [51,65]
конечного числа переменных, значением которой является вектор конечной
размерности [71]:
 1 ( x1 ,..., x n )   1 

 

  2 ( x1 ,..., x n )    2 
( x1 ,..., x n )  
   ,


 

  ( x ,..., x )    
n 
 m
 m 1
(3.10)
являющуюся законом соответствия выходных параметров (значений функции)
1 ,  2 ,...,  m   R m входным (аргументам)
( x1 ,..., x n )  D()  R n , где
D() —
36
область определения ( x1 ,..., xn ) (заметим, что выбор пространств R m и R n для
входных
и
выходных
параметров
никак
не
ограничивает
общность
рассуждений). Соотношение (3.10) — это общее представление любой
математической модели произвольного информационного процесса. Каждая
конкретная модель (необходимо адекватная реальному процессу) задается лишь
определенным видом функции (3.10).
Любая вектор-функция, действующая в пространство R m , порождает m
вещественных функций
 i ( x1 ,..., xn ),
(3.20)
 i : D()  R, D()  R n , i  1, m,
на своей области определения D() [51]. Таким образом, имеет место
следующее утверждение.
Утверждение 3.1. Произвольный непрерывный информационный процесс
(или информационная система, рассматриваемая как результат процесса ее
формирования) может быть формально представлен в виде конечного
множества вещественных функций конечного числа переменных (3.20), а
анализ этого процесса (системы) сведен к анализу полученных функций.
При этом вопрос об удобстве такого представления, непосредственных
методах реализации, вычислительных затратах и т.д. в работе не обсуждается,
важна лишь его принципиальная возможность.
Учитывая важность числа обусловленности задачи для характеристики
результата ее решения (чувствительности к возмущающим воздействиям),
найдем непосредственные выражения для числа обусловленности задачи о
вычислении
произвольной
вещественной
функции
конечного
числа
переменных, играющей, как следует из утверждения 3.1, определяющую роль
при формализации информационного процесса (системы).
37
Пусть f ( x1 ,..., xn ) — вещественная функция вещественных переменных
x1 ,..., xn ,
областью
определения
которой является компактное множество
E  R n , т.е. из любого покрытия E открытыми
множествами
можно
выделить конечное подпокрытие [51]:
f : E  R.
Необходимо
вычислить
f ( x1 ,..., xn ) ,
но для совокупности аргументов
( x1 ,..., x n ) имеются лишь приближенные значения ( x1  x1 ,...,xn  xn ) и границы
для x1 ,..., xn . Тогда [51]
f ( x1  x1 ,..., x n  x n )  f ( x1 ,..., x n ) 
f ( x1 ,..., x n )
x1 
x1
,
 ... 
(3.30)
f ( x1 ,..., x n )
x n  o x1 2  ...  x n 2 


x n
когда x1 2  ...  xn 2  0 ,
где o x1 2  ...  xn 2  , когда x1 2  ...  xn 2  0 , ― это такая функция, что


lim
 x12 ...  xn 2 0
2
2
o x1  ...  x n 

  0.
2
2
x1  ...  x n
f ( x1  x1 ,..., x n  x n )  f ( x1 ,..., x n ) 
f ( x1 ,..., x n )
f ( x1 ,..., x n )
x1  ... 
xn 
x1
x n
, (3.40)
 grad f ( x1 ,..., x n ), (x1 ,..., x n ) 
где grad f ( x1 ,..., xn ) ― вектор градиента функции f в точке ( x1 ,..., xn ) ;
38
, ― скалярное произведение векторов-аргументов.
Используя в правой части (3.40) неравенство Коши – Буняковского [51],
получим:
grad
f ( x1 ,..., xn ), (x1 ,..., xn )  grad f ( x1 ,..., xn ) (x1 ,..., xn ) ,
где  — векторная 2-норма [46], откуда
f ( x1  x1 ,..., xn  xn )  f ( x1 ,..., xn )  grad f ( x1 ,..., xn ) (x1 ,..., xn )
Из (3.50) вытекает, что
grad f ( x1 ,..., xn )
(3.50)
является абсолютным числом
обусловленности, а значит мерой чувствительности задачи вычисления
f ( x1 ,..., xn ) к возмущениям исходных данных.
Любое
преобразование
функции
можно рассматривать как ее
возмущение либо в некоторых точках области определения E , либо в
каждой
точке
этой
области.
Реакция
функции
на
возмущение
в
каждой конкретной точке ( x1 ,..., xn )  E будет определяться grad f ( x1 ,..., xn ) в
этой точке.
Из вышесказанного вытекает истинность следующей теоремы.
Теорема 3.1. Для того, чтобы непрерывный информационный процесс,
определяемый
как
совокупность
вещественных
функций
(3.20),
рассматриваемый как результат задачи определения значений выходных
параметров 1 ,  2 ,...,  m   R m при значениях входных параметров ( x1 ,..., xn ) , был
нечувствительным к возмущающим воздействиям в точке ( x1 ,..., xn ) (на
области определения D() ) достаточно, чтобы grad i ( x1 ,..., xn ) , i  1, m , имели
малые значения в ( x1 ,..., xn ) (на всей области D() ).
Поскольку
функции
i
gradi ( x1 ,..., xn )
в точке
определяет максимальную скорость роста
( x1 ,..., x n )
[51], то идеальным с точки зрения
39
нечувствительности
возмущающим
непрерывного
воздействиям
информационного
на
очевидно
D()
процесса
будет
(3.20)
к
тривиальный
случай, когда
 i ( x1 ,..., xn )  ci , ( x1 ,..., xn )  D(),
ci  const , i  1, m.
При этом
grad i ( x1 ,..., x n )  (0,0,...,0) T ,
( x1 ,..., x n )  D( ), i  1, m.
Предположим,
производные,
что
i  C 1 ( D()), i  1, m ,
непрерывные
на
D() ,
при
т.е.
имеют
этом
D()
все
частные
—
компакт
(такое ограничение на область определения функции  абсолютно логично:
как ограниченность, так и замкнутость, присущие
D()
в силу его
компактности, очевидно отвечает реальному информационному процессу
(информационной системе)). Поскольку любая непрерывная на компактном
множестве вещественная функция, как следует из теоремы Вейерштрасса [51],
будет ограниченной на этом множестве, то
i  1, m, j  1, n M ij  const , M ij  0 :
 i x1 ,..., x n 
 M ij ,
x j
x1 ,..., xn   D() .
Пусть
M  max
1i  m,1 j  n
M ij .
тогда
 i ( x1 ,..., x n )
 M , ( x1 ,..., x n )  D( ), i  1, m, j  1, n ,
x j
(3.60)
40
что необходимо приведет к ограниченности grad i ( x1 ,..., xn ) , i  1, m , на D() в
соответствии с соотношением:
grad i ( x1 ,..., xn )  M n , i  1, m .
Таким образом имеет место следующее утверждение.
Утверждение 3.2. Пусть для непрерывного информационного процесса
(3.20) i  C1 ( D()), i  1, m , D() ― компакт. Тогда достаточным условием
нечувствительности
информационного
процесса
к
возмущающим
воздействиям на всей области определения D() будет малость мажорирующей
модули частных производных первого порядка функций  i константы M ,
определяемой в соответствии с (3.60).
3.2. Формализация дискретного информационного процесса
Вернемся
к
формальному
информационного процесса в виде
представлению
произвольного
непрерывной вектор-функции многих
переменных (3.10). При построении такой функции для информационного
процесса (системы) получение реальных значений для входных параметров,
являющихся результатами измерений, экспериментов и т.д., предполагает
дискретность этих значений. Кроме того, процесс обработки функции
(3.10) с использованием вычислительных средств и численных методов
так или иначе приведет к ее дискретизации, в результате которой
получится
n -мерная
Поскольку
любая
порождает
m
матрица
с
вектор-функция,
вещественных
элементами
действующая
функций
(3.20)
из пространства
Rm .
в
Rm ,
пространство
на
своей
области
определения, то результат дискретизации может быть представлен как
множество,
состоящее
из
m
n -мерных
матриц
M 1 , M 2 ,..., M m
с
41
элементами из пространства R , каждая из которых соответствует своей
определенной функции (3.20). Таким образом, имеет место следующее
утверждение.
Утверждение
3.3.
Произвольный
информационный
процесс
(или
информационный система, рассматриваемая как результат процесса ее
синтеза)
может
быть
формально
представлен
множества матриц M 1 , M 2 ,..., M m конечной
элементами,
а
значит
анализ
любого
в
размерности
виде
конечного
с вещественными
информационного
процесса
принципиально можно свести к анализу соответствующих матриц.
При этом вопрос об удобстве матричного представления, непосредственных
методах реализации, вычислительных затратах и т.д. в работе не обсуждается,
важна лишь его принципиальная возможность.
Замечание 3.1. Выходные параметры
взаимозависимыми, тогда получаемые
m
1 ,  2 ,...,  m
могут оказаться
n -мерных матриц M 1 , M 2 ,..., M m
также окажутся зависимыми. Однако на процессе анализа состояния
информационной системы это никак не отразится, поскольку этот процесс
никак не меняет имеющихся зависимостей между входными и выходными
параметрами.
Мы вернемся к вопросу анализа зависимости выходных параметров в главе
5, посвященной матричному исследованию структуры информационного
процесса.
Как показывает практика, с учетом удобства обработки получаемой
модели, чаще всего при моделировании реальных процессов и систем
используются двумерные матрицы, которые в силу приведенного ниже
замечания и будут рассматриваться далее при описании информационных
систем.
Замечание 3.2. Если в полученной при моделировании информационного
процесса (информационной системы) совокупности M 1 , M 2 ,..., M m матриц n  2 ,
то любой M j , j  1, m , можно поставить в соответствие конечное множество
42
матриц размерности 2, каждая из которых получается из
M
j
путем
фиксирования в ней всех индексов, кроме двух.
Утверждение 3.4. Любой информационный процесс (информационная
система) может быть формально представлен в виде конечного множества
двумерных матриц
с
действительными
элементами,
а
значит
анализ
информационного процесса принципиально можно свести к анализу двумерных
матриц.
Для простоты изложения, не ограничивая при этом общности рассуждений,
в соответствии с утверждением 3.4, в качестве математической модели
информационной системы будем рассматривать двумерную (прямоугольную
или квадратную) матрицу F .
3.3. Матричное представление преобразования информационной
системы. Полные наборы параметров.
Результат любых действий, производимых над информационной системой
F в общем случае можно представить как возмущение F матрицы F , сами
действия — возмущающие воздействия на F , а задача любого преобразования
системы, т.е. генерации новой, для которой старая является исходными
данными, — это задача получения возмущенной матрицы F для исходной
матрицы
F,
причем результирующая матрица очевидно удовлетворяет
соотношению:
F  F  F ,
(3.70)
где F  f (F ) , т.е. F является некоторой функцией матрицы F [72,73].
Таким образом, из соотношения (3.70) вытекает истинность следующего
утверждения.
43
Утверждение 3.5. Любые преобразования произвольной информационной
системы эквивалентным образом представимы в виде элементарных матричных
операций [74-76].
Из утверждения 3.4 следует, что в качестве набора параметров,
однозначно
определяющих
и
всесторонне
характеризующих
любую
информационную систему, можно использовать любой из наборов, который
однозначно определяет произвольную двумерную матрицу [74,76,77]. Назовем
такие наборы параметров полными и определим их возможные представления.
Пусть
F
элементами
— произвольная двумерная матрица размерами m n с
f ij , i  1, m, j  1, n , ( m  n ). Для нее справедливо представление,
называемое сингулярным разложением (SVD) [Дем]:
F  UV T ,
(3.80)
где U , V ― матрицы размерности m n и n  n соответственно;
  diag ( 1 ,...,  n ) ,  1  ...   n  0 .
При этом U , V удовлетворяют соотношениям: U T U  I , V T V  I , где I ―
единичная
матрица
соответствующей
ортогональными. Столбцы
u1 , . . u. n,
размерности,
матрицы U
и
т.е.
являются
v1 ,..., vn матрицы
V
называют соответственно левыми и правыми сингулярными векторами
(СНВ) матрицы F ,
величины  1 ,...,  n ― сингулярными
 i , ui , vi  назовем сингулярной тройкой
числами (СНЧ), а
F . (При m  n рассматривается SVD
матрицы F T .)
Если F ― симметричная n  n -матрица с собственными значениями (СЗ)
i  R, i  1, n ,
и
ортонормированными
собственными
векторами
(СВ)
ui , i  1, n , то для нее справедливо представление, называемое спектральным
разложением [Парлетт]:
F  UU T
(3.110)
44
где   diag (1 ,..., n ) ― матрица СЗ;
U  [u1 ,..., u n ] ― матрица СВ.
Разложение (3.110) может быть представленно в эвивалентном виде ― в
форме внешних произведений:
n
F   i u i u iT .
(3.120)
i 1
В силу симметричности F
ее спектр, т.е. множество всех СЗ, всегда
действительный (в отличие от матрицы общего вида). Множество СЗ, являясь
корнями
характеристического
многочлена
det( F  E )  0 ,
определяется
однозначно, в отличие от СВ.
Замечание
3.3. Если
матрица F имеет общую структуру, ее СЗ 
отвечают левые и правые СВ. Так ненулевой вектор
u , удовлетворяющий
условию F u   u , называется правым СВ, а ненулевой вектор w , такой, что
wT F   wT , называется левым СВ. В случае
F  FT
левые и правые СВ
совпадают.
В общем случае сингулярное (спектральное) разложение матрицы
определяется неоднозначно. В соответствии с [Davidson; Golub], назовем вектор
u лексикографически положительным, если его первая ненулевая компонента
положительна, а SVD (3.80) (спектральное разложение (3.110)) нормальным,
если столбцы матрицы U лексикографически положительны.
Теорема 3.2. Невырожденная матрица F имеет единственное нормальное
сингулярное разложение, если ее СНЧ попарно различны:  1  ...   n  0 .
Доказательство. Рассмотрим матрицу
FF T .
Эта матрица является
симметричной, поскольку FF T   FF T , и положительно определенной, т.к. для
T
x  R n , x  0 , в силу невырожденности F выполняется соотношение:
45

 

x T FF T x  x T F x T F
а


x T FF T x  0

T
 0,
тогда и только тогда, когда
x  0.
Воспользовавшись
сингулярным разложением (3.80) F  UV T , получим


FF T  UV T UV T

T
 U 2U T ,
(3.90)
которое определяет спектральное разложение матрицы FF T . Из (3.90) СЗ FF T
равны  i 2 , i  1, n , и поскольку все  i различны, то СЗ матрицы FF T также
попарно различны, кроме
того, левые СНВ F являются СВ FF T . Таким
образом, для симметричной матрицы FF T существует собственный базис,
каждое ее собственное
подпространство
является
одномерным [Парл].
Поскольку СВ FF T нормированные, для каждого из них существует два
возможных варианта, отличающиеся только знаком, причем лексикографически
положительным
будет
только
один возможный вектор. Следовательно,
СВ матрицы FF T (столбцы U ), а следовательно, левые СНВ матрицы F ,
определяются однозначно.
определит
порядок
Порядок СНЧ в матрице  (  1  ...   n  0 )
столбцов
в
U . Таким образом, U
определяется
однозначно.
Поскольку все СНЧ F ненулевые, det   0 , тогда из (3.80) вытекает, что
V  F T U 1 , т.е. также определяется однозначно, что в итоге приводит к
единственности нормального SVD.
Далее будем считать, что все рассматриваемые матрицы удовлетворяют
условию теоремы 3.2. Таким образом, СНЧ и СНВ, получаемые нормальным
сингулярным разложением, однозначно определяют матрицу, а значит могут
рассматриваться как
полный
набор параметров
для соответствующей
информационной системы.
Любое преобразование информационной системы возмутит ее матрицу F ,
а значит определеным образом возмутит соответствующие СНЧ и СНВ.
46
Утверждение 3.6. Любое преобразование информационной системы
эквивалентным образом представимо в виде совокупности возмущений СНЧ и
(или) СНВ ее матрицы, что позволяет естественным образом свести задачу
анализа процесса преобразования и итогового состояния системы к анализу
возмущений СНЧ и СНВ, а задачу синтеза информационной системы с
заданными свойствами — к задаче обеспечения определенных характеристик
возмущений СНЧ и СНВ ее матрицы.
Таким образом, о результате преобразования системы, ее свойствах, в том
числе и об одном из наиболее важных свойств ― чувствительности, можно
судить по характерным особенностям совокупности возмущений однозначно
определяющих ее параметров ― СНЧ и СНВ.
Для СНЧ  j ( F ),  j ( F  F ), j  1, n , матриц F и F  F соответственно
имеет место соотношение [Дем]:
max  j ( F )   j ( F  F )  F 2 ,
(3.100)
1 j  N
где  2 ― спектральная матричная норма [Дем].
В силу соотношения (3.100) возмущения СНЧ сравнимы с возмущением
данных
―
F ,
т.е.
СНЧ
матрицы
являются
нечувствительными
возмущающим воздействиям, независимо от того, чувствительной
нечувствительной
окажется
рассматриваемая
задача
по
к
или
формированию
F  F .
Замечание 3.4.
Для оценки чувствительности задачи преобразования
информационной системы с матрицей F имеет смысл анализировать лишь
возмущения СНВ F , происшедшие в ходе преобразования, а результат
преобразования системы для установления меры ее чувствительности к
возмущающим
воздействиям,
в
соответствии
с
утверждением
рассматривать в виде совокупности возмущений СНВ ее матрицы.
Из вышесказанного вытекает истинность следующего утверждения.
3.6,
47
Утверждение 3.7. Чувствительность задачи, состоящей в получении
результата
произвольного
преобразования
информационной
системы,
математической моделью которой является двумерная матрица, будет
определяться чувствительностью возмущенных преобразованием системы СНВ
матрицы.
Рассмотрим второй из возможных полных наборов параметров.
Теорема 3.3. Пусть F — невырожденная симметричная n  n -матрица,
модули СЗ которой попарно различны 1  ...  n . Тогда для нее существует
единственное нормальное спектральное разложение.
Доказательство. Поскольку каждое СЗ F
имеет кратность, равную
единице, то размерность каждого собственного подпространства матрицы F
также будет единичной. Тогда для любого i , i  1, n , нормированный базис
такого подпространства может определяться двумя способами: это вектора
единичной длины противоположных направлений. Один из них является
лексикографически положительным. Таким образом, столбец матрицы U ,
отвечающий СЗ i , определится однозначно, кроме того, все столбцы U
попарно ортогональны [Парл]. Порядок столбцов однозначно соответствует
порядку элементов диагонали  .
Далее будем считать, что все рассматриваемые
ниже симметричные
матрицы удовлетворяют условию теоремы 3.3.
Для информационной системы, моделью которой является симметричная
матрица, имеет место утверждение, аналогичное утверждению 3.6.
Утверждение 3.8. Любое преобразование информационной системы в
случае симметричности соответствующей ей матрицы эквивалентным образом
представимо в виде возмущений спектра и (или) СВ матрицы, однозначно
определяемых нормальным спектральным разложением, что позволяет свести
задачу
анализа
процесса
преобразования
и
итогового
состояния
информационной системы в случае симметричности ее матрицы к анализу
48
возмущений СЗ и СВ, а задачу синтеза системы с заданными свойствами — к
обеспечению определенных характеристик возмущений ее СЗ и СВ.
Для анализа состояния информационной системы с симметричной
матрицей в силу утверждения 3.8 определяющую роль играет оценка
чувствительности СЗ и СВ матрицы к возмущающим воздействиям. Поведение
СЗ анализируется в следующих двух теоремах, основой которых служит
цитируемая ниже лемма [Дем].
Лемма 3.1. Пусть  — простое СЗ n  n -матрицы F общего вида, а u и w
— соответствующие левый и правый нормированные СВ,
  
—
соответствующее СЗ матрицы F  F . Тогда
 

wT F u
 O F
wT u
2
,
 
F
T

 O F
w u
2
.
(3.130.)
Теорема 3.4. Пусть  — простое СЗ симметричной матрицы F , а    —
соответствующее СЗ матрицы F  F . Тогда

  F  O F
2
.
(3.140.)
Доказательство. Принимая во внимание замечание 3.3, получаем, что
wT u  u T u  1 . Тогда
из (3.130.) вытекает (3.140.).
Результат (3.140.) можно улучшить [Парл, Дем]:
Теорема 3.5. Для СЗ симметричной матрицы F имеет место оценка:
max  j ( F )   j ( F  F )  F
1 j  n
2
.
(3.150.)
В силу соотношения (3.150.) возмущения СЗ (как и СНЧ) сравнимы с
возмущением
данных
―
F ,
СЗ
симметричной
матрицы
являются
нечувствительными к возмущающим воздействиям (хорошо обусловленными)
49
(чего нельзя утверждать в общем случае для несимметричных матриц [Дем]),
независимо от того, чувствительной
или нечувствительной окажется
рассматриваемая задача по формированию F  F .
Утверждение 3.9. Чувствительность задачи, состоящей в произвольном
преобразовании информационной системы, математической моделью которой
является симметричная матрица, будет определяться чувствительностью
возмущенных преобразованием системы СВ ее матрицы.
Замечание 3.5. Для оценки чувствительности задачи преобразования
информационной системы с симметричной матрицей
F
имеет смысл
анализировать лишь возмущения СВ F , происшедших в ходе преобразования.
Согласно утверждению 3.8, результат преобразования информационной
системы для установления меры ее чувствительности к возмущающим
воздействиям в случае симметричности ее матрицы будем рассматривать в виде
совокупности возмущений ее СВ.
С учетом замечаний 3.4, 3.5 для n  3 геометрическая иллюстрация
произвольного преобразования информационной системы представлена на
рис.3.1,
где
черным
цветом изображены
исходной системы, а серым — СНВ (СВ)
системы.
СНВ (СВ) u1 , u 2 , u3 матрицы
u 1 , u 2 , u 3 матрицы возмущенной
50
Рис.3.1. Геометрическое представление произвольного преобразования
информационной системы
51
4. АНАЛИЗ СОСТОЯНИЯ И ПРОЦЕССА ФУНКЦИОНИРОВАНИЯ
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
4.1. Разработка моделей системы защиты информации
Создание интенсивной системы комплексного обеспечения безопасности
информационных технологий, как уже было отмечено выше, немыслимо без
обобщения
накопленного
опыта
теоретических
исследований
и
практического решения задач информационной безопасности, без развитого
и адекватного научного базиса, при создании которого необходимо учитывать
исключительную сложность теоретических основ построения систем защиты
информации.
Создание
научного
базиса,
привлечение
математических
инструментов для обработки данных об информационных системах, в свою
очередь, невозможно без наличия их математических моделей. Поскольку
каждая информационно-технологическая система (ИТС) включает подсистему
защиты информации, то математическая модель необходима также для
автоматизации учета возможности возникновения как естественных, так и
искусственных каналов утечки информации, анализа результатов такой утечки
с
привлечением
современного
математического
аппарата,
а
также
формализации процесса восстановления системы после атаки.
Большинство из построенных еще в прошлом веке математических моделей
автоматизированных систем управления, обязанных своим существованием
теории управления, основывались на «классическом» подходе к управлению,
который строился на том, что положение объекта управления в пространстве
признаков
известно
абсолютно.
Однако,
объекты
информационной
безопасности таковыми не являются: они плохо формализуются, обладают
свойствами, плохо известными априори и изменяющимися в процессе
функционирования. Наработанный здесь математический аппарат, как было
отмечено
выше,
оказался
недостаточным
для
описания
поведения
информационных систем и систем защиты информации. Таким образом, вопрос
52
создания математической модели информационно-технологической системы
остается открытым, требует привлечения новых современных подходов к
своему решению, новых математических инструментов.
4.1.1. Модель системы защиты информации, основанная на
знаковой чувствительности.
Любая атака, действующая на информационно-технологическую систему,
на каждом из имеющихся в распоряжении системы защиты информации (СЗИ)
средств защиты отразится по-разному: некоторые из средств могут быть
разрушены полностью, некоторые выведены из строя частично, а для каких-то
средств атака окажется безопасной. Учет этих различий в результатах
воздействия атаки на средства защиты является важным при проектировании,
моделировании любой СЗИ, а также при установлении адекватности
СЗИ
предполагаемому
противнику.
Для
формализации
такого
учета
необходимо:
 определить
математический
информационную
представлении,
систему
при
качественное
параметр,
ее
характеризующий
используемом
изменение
которого
математическом
различно
в
зависимости от характера возмущающего воздействия;
 выбрать способ формального представления атак на СЗИ таким образом,
чтобы он, являясь простым в вычислительном смысле, позволял отразить
непосредственную направленность атаки;
 выбрать простой
в вычислительном смысле способ представления
результата атаки.
Решение
поставленных
задач
даст
возможность
для
создания
модели СЗИ, позволяющей максимально быстро определять последствия
предпринятой атаки, выделяя «пострадавшие» и «нетронутые» средства
защиты.
53
4.1.1.1. Понятие
знаковой
чувствительности
информационной системы
Любая информационная система, в соответствии с определением 3.1,
рассматривается как решение некоторой задачи о ее формировании.
Наряду с оценкой классической чувствительности для всестороннего
анализа результата некоторых задач из области информационной безопасности
значимой также будет оценка знаковой чувствительности [Коб Signчувствительность; Роль Sign-чувствительности].
Для определения знаковой чувствительности (sign-чувствительности)
информационной системы, в первую очередь, необходимо, руководствуясь
некоторым правилом, поставить ей в соответствие математический объект P ,
задаваемый совокупностью действительных чисел:
{ p1 ,..., pk }, pi  R, i  1, k .
(4.10)
Определение 4.1. Математический объект P будем называть signчувствительным, если даже малые возмущающие воздействия могут привести
к изменению знаков определяющих элементов объекта pi  R, i  1, k , и signнечувствительным в противном случае.
Определение
4.2.
Sign-чувствительность
информационной
системы
определяется как sign-чувствительность соответствующего ей математического
объекта P .
Очевидно, что sign-чувствительность (ЗЧ) (sign-нечувствительность
(ЗНЧ)) любого объекта P сведется к ЗЧ (ЗНЧ), соответствующей определению
4.1, его скалярных составляющих элементов (4.10). Естественно полагать, что
чем больше sign-чувствительных скалярных элементов в составе объекта, тем
более этот математический объект sign-чувствительный в целом, тем более
sign-чувствительной окажется соответствующая информационная система.
54
Рассмотрим пространство произвольной размерности R n , где R —
множество действительных чисел, и определим достаточные условия ЗЧ его
элементов — точек (векторов) вида x  ( x1 , x 2 ,..., x n ) T .
Пусть x  R n . Любое возмущение для точки x можно представить как ее
параллельный перенос, изменяющий в общем случае все ее координаты, что
приведет к изменению длины и повороту вектора x  ( x1 , x 2 ,..., x n ) T на некоторый
угол. В соответствии с определением 4.1 о sign-чувствительности x будет
говорить наличие малых по абсолютной величине значений ее координат. Если
у x  ( x1 , x 2 ,..., x n ) T имеется только одна компонента x j , для которой x j  1 , то
перевести x в другой координатный ортант, изменив знак x j , в состоянии
малые
возмущающие
воздействия,
выражением
которых
являются
параллельные переносы на малые расстояния, вектора которых параллельны
координатной оси, соответствующей x j , либо составляют с этой осью малый
угол или угол, близкий к развернутому. Если же малых по абсолютной
величине компонент у точки x больше одной, то больше будет и возможностей
для различных проявлений возмущающих воздействий (геометрически —
различных направлений параллельных переносов), результатом чего явится
переход x в отличный от первоначального координатный ортант. Вследствие
этого, чем больше малых по модулю координат в составе x  ( x1 , x 2 ,..., x n ) T , тем
более sign-чувствительной будем считать точку (вектор) x . Таким образом
имеет место следующее утверждение.
Утверждение
4.1.
Достаточным
условием
sign-чувствительности
произвольного вектора x  R n является малость x 1 , где  1 — векторная 1норма [Дем].
Очень часто при работе с векторами, когда они используются в качестве
математического инструмента для анализа свойств реальных объектов,
прибегают к их нормированию, что позволяет достичь бóльшей определенности
в описании вектора, его геометрическом расположении, уменьшить объем
исследуемой информации, удаляя из рассмотрения одну из векторных
55
характеристик — длину, а также дает возможность в некоторых случаях уйти
от неоднозначности объектов, определяемых векторами (так поступают,
например, при определении сингулярных, сообственных векторов матриц,
получаемые при соответствующих разложениях). В силу этого рассмотрим
более
подробно
понятие
ЗЧ,
или
(НЗЧ),
nsign-чувствительности
для
нормированных векторов.
Пусть вектор x  R n , x  1 . Для наглядности изложения в качестве
векторной нормы здесь рассматривается 2-норма, хотя может использоваться и
любая другая. Результатом произвольного возмущающего воздействия для
нормированного вектора является его поворот на некоторый угол, а ЗЧ
геометрически означает, что он составляет малый угол (углы) с координатной
плоскостью
(вектор
(плоскостями)
на
OB
( n  3 )),
рис.4.1
о
чем
свидетельствует
модулей
его
малость
некоторых
координат по сравнению с
другими координатами.
Утверждение
Достаточным
4.2.
условием
nsign-нечувствительности
(НЗНЧ)
вектора
x  Rn
является сравнимость между
собой
значений
модулей
всех его координат (малый
разброс этих значений в
сегменте
[0,1]),
что
геометрически соответствует сравнимости всех углов между вектором и
координатными
плоскостями. Чем меньше разброс значений
модулей
координат вектора в сегменте [0,1], тем он менее nsign-чувствительный.
56
Наименьшей nsign-чувствительности отвечает равенство всех координат
вектора (равенство всех углов между вектором и его проекциями на
координатные плоскости).
T
Определение
4.3.
Нормированный
 1 1
1 
x  
,
,...,
 ,
n
 n n
вектор
обладающий наименьшей НЗЧ, назовем n-оптимальным.
Заметим, что указать вектор, который бы обладал наименьшей ЗЧ,
очевидно невозможно.
Рассмотрим более подробно связь между ЗЧ и НЗЧ вектора.
Пусть x  ( ,  ,...,  ) T  R n , где   1, тогда
x 1  n
может быть сколь
угодно малой, т.е. такой вектор x будет sign-чувствительным к возмущающим
воздействиям, однако при его нормировании получим n-оптимальный вектор x .
Очевидно, что если координаты ненормированного вектора x  R n малые, но
сравнимые между собой по абсолютной величине, то такой вектор всегда будет
sign-чувствительным и nsign-нечувствительным одновременно.
Рассмотрим
другой
пример.
Пусть
x  ( E (1) , E ( 2) ,..., E ( n ) ) T  R n ,
где
E (i )  1, i  1, n , т.е. x — sign-нечувствительный, при этом координаты вектора
x не являются сравнимыми между собой по абсолютной величине, т.е.
существует хотя бы пара координат, для которых:
нормировании
x
E ( i )  E ( j )
. При
это приведет к значительному разбросу абсолютных
значений координат в сегменте [0,1] за счет того, что
E (i )
x

E ( j)
x
, т.е. к НЗЧ
вектора за счет i  ой координаты.
Замечание 4.1. ЗЧ (ЗНЧ) и НЗЧ (НЗНЧ) в общем случае могут не
соответствовать одна другой для одного и того же вектора x  R n .
Рассмотрим связь между знаковой и «классической» чувствительностью
вектора. Нормированный вектор x будет чувствительным к возмущающему
воздействию, если даже малое возмущающее воздействие может привести к
57
значительному возмущению вектора x , т.е. к значительному его повороту от
первоначального положения, и нечувствительным в противном случае.
Пусть вектор x  R n является НЗЧ. Из этого в общем случае не вытекает, что
он
является
чувствительным
(нечувствительным)
в
обычном
смысле.
Действительно, из того, что вектор x НЗЧ следует лишь то, что существуют
координатные плоскости (плоскость) в пространстве R n , с которыми вектор x
образует малые углы, но геометрическое положение вектора в общем случае не
связано
и
не
определяет
его
классическую
чувствительность
или
нечувствительность: геометрическое расположение вектора не помешает ему
отреагировать малым (большим) углом поворота на малое возмущающее
воздействие в случае его нечувствительности (чувствительности). Аналогично
никак не определяет классическую чувствительность (нечувствительность)
вектора его НЗНЧ.
Пусть теперь нормированный вектор x  R n является чувствительным
(нечувствительным) в обычном смысле. В общем случае это определяет лишь
характер его реакции на малое возмущающее воздействие — величину угла
отклонения от первоначального положения — и никак не влияет на величины
углов между вектором x и координатными плоскостями. Таким образом, в
общем случае чувствительность (нечувствительность) вектора не определяет
его НЗЧ (НЗНЧ).
В отличие от классической чувствительности, sign-чувствительный (nsignчувствительный) вектор может не проявить свою знаковую чувствительность,
даже претерпев большое возмущение ( OA — результат возмущения nsignчувствительного вектора
OB (рис.4.1)). Для реакции sign-чувствительного
вектора на возмущение важно геометрическое направление этого возмущения
при его математическом представлении, т.е. проявление или непроявление
последствий ЗЧ, НЗЧ в виде изменения знака координат будет зависеть от
конкретики возмущающего воздействия. Однако, если вектор x  R n является
нечувствительным
в
обычном
смысле,
т.е.
угол
его
отклонения
от
первоначального положения при малом возмущающем воздействии мал, то
58
вероятность проявления последствий НЗЧ при ее наличии у такого вектора, т.е.
вероятность того, что этот малый угол все же выведет вектор за пределы
исходного ортанта, будет очевидно меньше, чем у чувствительного в обычном
смысле x  R n . Таким образом, имеет место следующее утверждение.
Утверждение 4.3. Чувствительность (нечувствительность) вектора и НЗЧ
(НЗНЧ) в общем случае никак не определяют одна другую, однако, чем менее
(более) чувствительным будет вектор, тем менее (более) вероятным будет
проявление его НЗЧ (при наличии таковой) в виде изменения знаков (знака)
координат.
Таким образом, знаковая
является
тем
чувствительность информационной системы
математическим
параметром,
характеризующим
систему,
качественное изменение которого различно в зависимости от характера
(геометрически — от направления) возмущающего воздействия.
4.1.2. Построение геометрической модели системы защиты
информации
Для
того,
чтобы
иметь
возможность
использовать
знаковую
чувствительность информационной системы — математический параметр,
качественное изменение которого различно в зависимости от характера
возмущающего воздействия, — при построении математической модели СЗИ
[Коб+Хор], как было отмечено выше, в первую очередь, необходимо поставить
в соответствие СЗИ математический объект вида (4.10).
Пусть множество средств защиты, входящих в СЗИ, — X  {x1 , x2 ,..., xm } , а
множество возможных атак
— V '  {V1 ' ,V2 ' ,...,Vl '} . Выделим в V ' атаки, для
которых никакая из них не может быть представлена как комбинация других, и
назовем их независимыми. Пусть это множество — V  {V1 ,V2 ,...,Vn } . Выберем в
качестве
пространства
для
построения
геометрической
модели
СЗИ
59
пространство R n (его размерность совпадает с мощностью множества V ).
Поставим в соответствие Vi  V одноименный вектор
Vi  aei , i  1, n ,
(4.20)
где  1  a  0 — параметр, выбор которого обсуждается ниже,
e i — вектор стандартного базиса R n .
Любая атака Vi  V , предпринимаемая на СЗИ, практически направлена на
некоторые определенные средства защиты {xi , xi ,..., xi }  X . Обозначим это
1
2
k
множество {xi , xi ,..., xi }  X i . Если средство x j  X i , то для него атака Vi
1
2
k
безопасна (например, атака, направленная на выведение из строя шумовой
помехи, будет безопасной для криптографических средств защиты).
Первоначально
введем
в
модель
СЗИ
совокупность
m
векторов
пространства R n , каждый из которых отвечает конкретному средству защиты,
входящему в состав рассматриваемой системы. Для непосредственного
определения координат вектора используем подход, основанный на учете его
sign-чувствительности.
Для каждого средства защиты xi определим множество «опасных» для
него атак, т.е. всех таких атак V j  V , что xi  X j . Обозначим это множество
V i  {Vi1 ,Vi2 ,...,Vit } ,


xi  xi1 , xi2 ,..., xin ,
а
V i  V /V i .
Тогда координаты одноименного вектора
отвечающего средству
xi  X ,
определяться следующим
образом:
 , если V j  V i ,

xi  
,
1, если V j  V i
j
где 0    1.
j  1, n ,
(4.30)
60
Для каждого средства защиты xi значения координат соответствующего
вектора явно указывают на атаки, направленные против xi .
Первоначально каждый вектор xi находится в первом координатном
ортанте, однако в соответствии с определением 4.1, различные координаты
вектора имеют разную ЗЧ. Для большей наглядности и удобства дальнейшего
изложения построим в R n выпуклый многогранник (в вырожденном случае —
выпуклый многоугольник) S так, чтобы каждая из его вершин совпадала с
концом одного из векторов x1 , x2 ,..., xm , а концы векторов, не являющихся
вершинами, принадлежали внутренности [14] S . Многогранник S вместе с
векторами x1 , x2 ,..., xm будем рассматривать в качестве геометрической модели
СЗИ и обозначать GM1 .
Результат любой атаки Vi естественно формализовать при помощи
параллельного переноса S вместе с концами векторов x1 , x2 ,..., xm вдоль вектора
Vi  aei . Такой способ моделирования не только чрезвычайно прост, он по
смыслу соответствует тому, что на самом деле атака всегда направлена против
ИТС в целом, а ее непосредственное воздействие на конкретные средства
защиты — это лишь способ проявления. Кроме того, при учете ЗЧ координат
векторов
x1 , x2 ,..., xm
результат
действия
определенной
атаки
будет
принципиально отличаться для разных средств защиты: могут «пострадать»,
изменив знак своих координат и содержащий их координатный ортант, вектора,
отвечающие тем средствам, для которых соответствующая атака была
«опасной». В то же время, вектора, отвечающие средствам, для которых данная
атака была безопасной, хоть и возмутятся, но останутся в пределах
первоначального ортанта. Заметим, что в общем случае, углы отклонения
различных векторов x1 , x2 ,..., xm , входящих в состав модели GM1 , от своего
первоначального положения вследствии атаки будут различны.
Как уже было отмечено выше, предпринятая против конкретного средства
защиты xi атака V j , V j  V i , может либо полностью уничтожить его, либо
61
вывести
из
строя
частично,
лишь
ослабив
его
защитные
свойства.
Моделирование уничтожения xi , происходящее за счет перехода вектора,
отвечающую атакованному средству, в отличный от первоначального
координатный ортант, достигается путем параллельного переноса S на вектор
V j  ae j , длина которого a больше  . При частичном выведении из строя xi
длина вектора параллельного переноса, соответствующего этой атаке, должна
быть меньше  , что в итоге увеличит меру sign-чувствительности вектора xi ,
оставляя его в пределах исходного ортанта.
Возможно степень частичного разрушения имеет несколько градаций, что
повлечет за собой различие в длине вектора V j  ae j параллельного переноса
для S при моделировании различных проявлений этой атаки. Заметим, что в
результате предпринятой атаки V j изменится лишь одна j -ая координата
векторов x1 , x2 ,..., xm , входящих в GM1 , став равной
( j)
xi
 xi( j )  a ,
(4.32)
все остальные координаты останутся без изменения. Таким образом, в
соответствии с (4.32) имеет место следующее утверждение.
Утверждение 4.4. Вычислительные затраты для моделирования результата
предпринятой на СЗИ атаки при использовании
GM1
составляют
m
арифметических операций, т.е. определяются лишь количеством имеющихся
средств защиты, не зависят от вида атаки.
Предложенный
способ
построения
GM1
чрезвычайно
удобен
для
отражений в уже существующей модели изменений в СЗИ и множестве V .
Рассмотрим подробно такие модификации.
1.
Добавление в СЗИ новых средств защиты приведет лишь к
механическому
добавлению
новых
векторов
в
уже
существующую
геометрическую модель, которое никак не затронет построенные ранее
x1 , x2 ,..., xm .
62
2. Пусть на СЗИ предпринимается атака, отсутствующая во множестве
V  {V1 ,V2 ,...,Vn } ,
но являющаяся комбинацией некоторых элементов
Моделирование
такой
атаки
осуществляется
на
основе
V.
элементарных
векторных операций. Пусть, например, на СЗИ предпринимается атака,
являющаяся некоторой комбинацией V1 ,V3 . Она может быть геометрически
смоделирована в виде линейной комбинации соответствующих векторов V1 ,V3 :
W   e1   e3 , где  ,  несут информацию о конкретном проявлении каждой из
атак V1 ,V3 (играют роль параметра a в (4.20)). Вектор W
определит
параллельный перенос для S . По сути атака W в данном случае может
рассматриваться как последовательное применение V1 , V3 , и хотя в реальности
разделение по времени между V1 , V3 может отсутствовать, геометрически
результат
будет
абсолютно
аналогичен
в
силу
выбранного
способа
моделирования атаки.
3. Пусть на СЗИ направлена атака U , которая не принадлежит множеству
V и не может быть представлена как комбинация элементов этого множества.
«Пополнение» множества V атакой U отразиться на модели СЗИ. Во-первых,
такое пополнение должно перевести модель из пространства R n в пространство
R n 1 , во-вторых, изменить непосредственные координаты векторов x1 , x2 ,..., xm
модели GM1 . Рассмотрим подробно процесс модификации модели СЗИ в этом
случае.
Обозначим U  Vn1 . Пусть атака U направлена на средства защиты
xu1 , xu2 ,..., xuk , составляющие множество X n 1 , а для других средств она безопасна.
Для отражения возможности возникновения такой атаки первоначально модель
GM1 строится не в пространстве R n , а сразу в пространстве R n 1 , в плоскости
x n1 =1. Это обеспечит равенство 1 последней координаты всех векторов
x1 , x2 ,..., xm : первоначально, пока атака U не принадлежит множеству V ' как
потенциально возможная для рассматриваемой СЗИ, она безопасна для всех
средств защиты. Введение атаки U во множество V вызовет изменение
63
последней координаты только для точек, отвечающих средствам защиты из
множества X n1 , что потребует точно k  m арифметических операций. Эта
координата
станет
равной
,
что
завершит
процесс
модификации
первоначальной геометрической модели.
Учет
возможности
появления
нескольких
новых
атак
U 1 ,U 2 ,...,U t
проводится совершенно аналогично вышесказанному, только исходная модель
СЗИ первоначально строится не в пространстве R n , а сразу в пространстве R n t ,
при этом t последних координат всех векторов x1 , x2 ,..., xm  R nt первоначально
полагаются равными 1.
Для случая n  3 , m  3 наглядная иллюстрация геометрической модели
СЗИ без учета возможности возникновения новых атак приведена на рис.4.2.
Вследствие предпринятой атаки V2 вышло из строя средство x 2 , о чем
сигнализирует вектор, отвечающий этому средству, оказавшийся в другом
координатном ортанте (на рис.4.2 он выделен красным цветом). Эта же атака не
сказалась разрушительно на оставшихся средствах защиты x1 , x3 .
Если в основу построения геометрической модели СЗИ положить НЗЧ, т.е.
предварительно нормировать векторы x1 , x2 ,..., xm , соответствующие средствам
защиты, результатом чего будут векторы x1 ' , x2 ' ,..., xm ' , то модель, отвечающая
представленной на рис.4.2, будет иметь вид, изображенный на рис.4.3. Далее
геометрическую модель, основанную на НЗЧ векторов, будем обозначать GM 2 .
Заметим, что многогранник (многоугольник) S перейдет в некоторую связную
n -мерную поверхность, являющуюся частью n -мерной сферы, что является
более предпочтительным с точки зрения удобства обработки и анализа
геометрического объекта. Моделирование атаки Vi в силу нормированности
x1 ' , x2 ' ,..., xm ' удобнее проводить при помощи поворота совокупной модели GM 2
на угол, плоскость которого параллельна координатной оси, соответствующей
i -ой координате вектора. Таким образом, результатом атаки является поворот
всех векторов x1 ' , x2 ' ,..., xm ' , входящих в модель GM 2 , на один и тот же угол.
64
Переход вектора в другой координатный ортант в силу его НЗЧ будет
сигнализировать о разрушении соответствующего средства защиты.
Для GM 2 , отличной от GM1 лишь выполнением нормирования векторов, с
учетом утверждения 4.4 имеет место
Утверждение 4.5. Вычислительные затраты для моделирования результата
атаки на СЗИ при использовании GM 2 составляют O(mn) арифметических
операций.
Рис.4.2. Геометрическая модель исходной СЗИ и результата проведенной атаки
Поскольку GM1 и GM 2 являются представлениями одной СЗИ, получены
одна из другой, важным является сохранение статуса каждого средства защиты
в GM 2 относительно GM1 : множества V i «опасных» атак для каждого средства
защиты xi должны остаться без изменения. Иначе говоря, ЗЧ (ЗНЧ) векторов
x1 , x2 ,..., xm должна точно соответствовать НЗЧ (НЗНЧ) x1 ' , x2 ' ,..., xm ' . Как следует
из вышесказанного, нарушение такого соответствия может произойти в том
65
случае, если для некоторого вектора x k значения всех координат велики, и при
этом существует хотя бы пара,
значительно отличающихся друг
от друга, что невозможно по
построению векторов x1 , x2 ,..., xm
(соотношение (4.30)), либо в
случае, когда среди векторов
есть
x1 , x2 ,..., xm
чувствительный
координатам
силу
sign-
по
всем
xi  ( ,  ,...,  ) T .
этого
В
стественно
предположить, что среди всех
средств защиты, принадлежащих
моделируемой СЗИ, нет таких,
для
которых
все
атаки
из
множества V являются «опасными». Поскольку сделанное допущение отвечает
реальным СЗИ [Хор+Чек], оно не сужает область применимости предлагаемого
способа построения геометрической модели.
Для обоснования следующего замечания рассмотрим пример. Пусть
вектора x1 , x2  R 4 ― нормированные, находятся в первом координатном
ортанте:
x1  (0.450, 0.210, 0.520, 0.695) T , x2  (0.210, 0.695, 0.513, 0.513) T .
Разброс значений координат в сегменте [0,1] у них одинаковый и равен 0.485, а
значит утверждение 4.2 не даст ответа на вопрос о выборе из них менее nsignчувствительного вектора.
Замечание
нормированного
4.2.
В
качестве
вектора
меры
НЗЧ
x  ( x1 , x 2 ,..., x n ) T ,
( n  меры)
находящегося
произвольного
в
первом
66
координатном
ортанте,
естественно
ввести
степень
его
отличия
от
n  оптимального. Для численного отражения такой меры используется угол
между векторами x и n  оптимальным.
Возвращаясь к рассмотренному выше примеру, вычисляя углы между x1 , x2
T
1 1 1 1
и n  оптимальным вектором пространства R 4 ―  , , ,  ― получим, что
2 2 2 2
углы между ним и x1 , x2 соответственно равны 20.4  , 15 , что говорит в пользу
меньшей НЗЧ x 2 .
Поскольку
определить
наименее
sign-чувствительный
вектор
не
представляется возможным, то установление аналога n  меры для signчувствительности векторов невозможно.
Замечание 4.3. Поскольку введение
n  меры
позволяет сравнивать
различные нормированные векторы с точки зрения их nsign-чувствительности к
возмущающим воздействиям, а значит осуществлять выбор наименее и
наиболее
nsign-чувствительных
векторов
—
имеющих
наименьший
и
наибольший угол с n  оптимальным соответственно, это дает возможность в
геометрической модели СЗИ GM 2 для выбора наиболее «слабого» и наиболее
«сильного» к предполагаемым атакам, рассматриваемым во всей своей
совокупности, средства защиты.
Таким образом, предложены два способа построения геометрической
модели СЗИ, в основу которых положены sign-, nsign-чувствительность
вектора, выступающая в роли математического параметра, качественное
изменение которого различно в зависимости от возмущающего воздействия,
что никогда не делалось ранее. Обе предложенные модели являются
наглядными, иллюстративными, простыми в вычислительном смысле при своей
реализации.
При
предложенном
способе
моделирования
последствия
sign-
чувствительности (nsign-чувствительности) наглядно указывают на «слабые» и
«сильные» звенья в СЗИ за счет разной реакции на одно возмущающее
воздействие векторов, отвечающих различным средствам защиты (вектор либо
67
остается в первоначальном координатном ортанте, либо изменяет его).
Каждая из моделей GM1 , GM 2 обладает некоторым преимуществом по
сравнению с другой. Так первая модель более простая в вычислительном
смысле при реализации, т.к. не требует нормирования векторов, входящих в ее
состав, вычислительные затраты для осуществления которого составляют
O(mn) арифметических операций, вторая модель дает больше информации о
свойствах средств защиты, содержащихся в моделируемой СЗИ. Таким
образом, выбор конкретной реализации геометрической модели будет
определяться
непосредственно
задачей,
для
решения
которой
модель
используется.
Являясь
простыми,
наглядными,
GM1 ,
GM 2 ,
построенные
с
исключительной целью учета различий в результатах воздействия атаки для
разных
средств
защиты,
они
не
отражают
процессы,
происходящие
непосредственно с информацией, циркулирующей в рассматриваемой СЗИ, при
воздействии той или иной атаки, а значит не решает одну из основной задач
при моделировании системы — контроль за состоянием информации.
4.1.2. Модель
системы,
защищенной
основанная
информационно-технологической
на
принципах
функционирования
нервной системы человека
Развивающийся с конца прошлого века «неклассический» подход в теории
управления,
основывающийся
функционирования
сложных
на
аналогиях
технических
и
архитектуры
биологических
и
целей
систем
—
естественных систем управления, является наиболее перспективным на
сегодняшний день. В связи с этим в качестве базиса для создания
принципиально новой универсальной модели ИТС авторами настоящей работы
были выбраны основные принципы функционирования нервной системы
человека (НСЧ) [Коб+Хор; Коб+Хор-адекват; Бобок;].
68
4.1.2.1. Аналогии архитектуры и целей функционирования
нервной системы человека и системы защиты
информации
Логика использования НСЧ для моделирования ИТС вытекает из
очевидной аналогии между выбранной биологической системой и системой
информационной безопасности (рис.4.4). Следует учитывать, что процесс
моделирования здесь носит комплексный характер и использует НСЧ, начиная
с формы представления информации, программирования информационных
полей и заканчивая архитектурой информационно-технологических систем с
встроенными механизмами обеспечения информационной безопасности и
эволюционным протеканием процессов.
Рис.4.4. Аналогия между нервной системой человека и системой
информационной безопасности
69
Моделирование защищенных информационных процессов основано на
единстве представления информации в иерархии НСЧ, в которой сообщения
передаются универсальным контейнером, определяемым структурированным
информационным
распределеные
полем
ДНК.
информационные
Структурированный
поля
нейронных
характер
комплексов
имеют
нервной
системы, благодаря которым в НСЧ существуют адаптивные механизмы
памяти,
накапливающие
жизненный
опыт.
Возможность
реализации
адаптивных механизмов памяти в искусственных информационных полях —
основная предпосылка эволюции ИТС. Программирование в НСЧ носит
избыточный
распределенный
функциональную
характер,
что
обеспечивает
высокую
устойчивость информационных процессов.
Отдельные искажения информации, с одной стороны, компенсируются
избыточностью информационных полей, а с другой — позволяют реализовать
механизм мутаций и эволюционные процессы развития и отбора. В частности,
адаптивные процессы в информационных полях позволяют ИТС развиваться и
накапливать опыт в условиях расширения поля угроз, а наследование опыта в
последующих реализациях системы сводится к передаче соответствующих
информационных полей. Иерархия адаптивной системы информационной
безопасности отражает разделение функций защиты на управляющую
(проверка
форм
представления
информации
и
т.д.)
и
управляемую,
реализующую взаимодействие системы со средой (рис.4.5). Архитектурной
особенностью НСЧ является внутренний характер механизмов защиты,
реализуемый в иерархии ИТС.
При моделировании искусственных систем следует учитывать, что при
реализации адаптивных механизмов НСЧ и информационных полей ее функции
защиты информации должны быть внутренними функциями проектируемой
системы.
70
Рис.4.5. Иерархия адаптивной системы информационной безопасности
4.1.2.2. Выделение
основных
принципов
и
целей
функционирования нервной системы человека
Поскольку отображение в математическом описании всей совокупности
физиологических закономерностей и свойств при обязательном ограничении
детальности, специфики и объема включаемых в модель характеристик и
подстистем не представляется возможным, в первую очередь, необходимо
выделить основновопологающие принципы работы НСЧ, в соответствии с
которыми будет происходить построение математической модели.
Общесистемными (основными) характеристиками системы назовем такие
свойства и отношения, значение которых в формировании нервной системы
достаточно выражено. Их отбор должен преодолеть естественное противоречие
между
подробностью
(адекватностью)
модели
и
ее
эффективностью
(конструктивностью) как инструмента исследования.
Большое влияние на развитие математических моделей не только нервной
системы человека, но и, например, системы кровообращения и др. оказала
71
концепция разделения системы на управляющую и управляемую части, которая
применяется и ниже [Ждан; Лищук].
При этом в качестве управляющей
системы выступает СЗИ, моделируемая с использованием основных принципов
функционирования НСЧ, являющаяся составной частью совокупной ИТС —
объекта управления.
Основные принципы организации и функционирования НСЧ, на базе
которых формируется модель Системы:
1. Автономность
—
управляющая система является подмножеством
объекта управления и управляет им на основе знаний, полученных
самостоятельно при взаимодействии с окружающей средой при помощи
блока датчиков и исполняющего органа;
2. Дискретность — как известно, мозг содержит конечное число нейронов,
связей и т.д., нервные импульсы человека также дискретны; в силу этого
и модель должна соответствовать этим свойствам, т.е. управляющая
система должна сохранить дискретность как структуры, так и принципов
функционирования;
3. Максимальная начальная приспособленность — в реальных условиях
процесс становления нервной системы человека (управляющей системы)
с целью приспосабливаемости к жизни в определенной среде для
выживания происходит под воздействием естественного отбора. При
моделировании нервной системы естественный отбор должен быть
заменен максимальным использованием априорной информации. Это
использование
информации
должно
отражать
наличие
приспособленности объекта управления и управляющей системы к
условиям функционирования.
4. Минимум исходных данных — для человека при его рождении
свойственно наличие таких информационных пространств, заполнение
которых происходит в ходе жизни. Аналогично: управляющая система в
момент
начала
ее
функционирования
содержит
некоторые
неопределенные свойства, становление которых происходит по мере
72
накопления знаний при функционировании системы в реальных
условиях.
Основными целевыми функциями управляющей системы (нервной
системы) являются:
 выживание объекта управления;
 накопление знаний.
Как известно из биологии, эти две целевые функции взаимосвязаны между
собой в том смысле, что достижение одной способствует повышению
вероятности достижения другой. В силу этого сосредоточим внимание на
первой целевой функции (целесообразность выбора именно этой функции
объясняется также спецификой объекта, являющегося конечной целью
моделирования: основным для СЗИ является сохранение информации —
выживание объекта управления).
4.1.2.3. Этапы
построения
защищенной
графово-матричной
модели
информационно-технологической
системы
Будем использовать в качестве модели объекта управления взвешенную
графовую модель [Харари; Иванов; Новиков] со структурным отношением
«состоять из». Использование такого принципа построения графа образа
объекта, которым является ИТС, имеет ряд очень важных свойств:
1. Такое структурное отношение дает возможность отразить иерархию
объекта
управления,
автоматически
осуществляет
иерархическую
декомпозицию, необходимую для анализа системы защиты информации.
Иерархия — наиболее общий метод классификации, используемый
человеком. Такая классификация воспроизводит первичную форму
координации или организации: 1) корковых процессов, 2) их психических
соотносительных понятий и 3) их выражения в символах и языках
[Whyte]. Основная задача в иерархии, заключающаяся в оценке высших
73
уровней, исходя из взаимодействия различных уровней иерархии, а не из
непосредственной зависимости от элементов на этих уровнях, совпадает с
основной
задачей
композиции,
по
при
анализе
существу,
системы.
уклоняются
Путем
от
иерархической
непосредственного
сопоставления большого и малого [Simon]. Кроме того, иерархические
модели обладают рядом значимых преимуществ перед моделями других
видов [Саати]:
 дают возможность исследования «степени влияния» приоритетов на
верхних уровнях на приоритеты элементов нижних уровней;
 предоставляют подробную информацию о структуре системы;
 являются, как правило, устойчивыми (малые возмущения вызывают
малый эффект);
 гибкими (добавления к хорошо структурированной иерархии не
разрушают ее характеристик).
2. При таком моделировании управляющей системы легко удовлетворяются
основные принципы НСЧ 1, 2:
 автономность выполняется автоматически при построении графа;
блок датчиков представляет из себя самый последний уровень
детализации
(совокупность
происходит
связь
с
листьев
внешней
графа),
средой
и
через
все
который
возможные
возмущающие воздействия на систему;
 дискретность
математического
обеспечивается
объекта
свойствами
[Харари;
графа
Евстигнеев;
как
Уилсон;
Кристофидес; Емеличев+Мельников+...; Иванов; Новиков]: граф —
это совокупность двух дискретных конечных множеств вершин и
пар вершин (ребер), любое преобразование графа — дискретно;
3. Для такой модели легко достижим любой уровень детализации, а также
модификация существующих уровней детализации, что является важным
требованием при создании модели любой физиологической системы, т.к.
74
априори, до получения модели, чаще всего невозможно определиться с
тем, насколько «подробной» должна быть модель:
 бóльшая детализация будет достигаться введением нового уровня
листьев в уже имеющемся графе;
 при
излишней
имеющейся
детализации
ее
уменьшение
эквивалентно построению гомоморфной свертки [78,79] подграфа,
содержащего листья, отвечающие «неинтересным» в настоящий
момент деталям, и вершины предыдущего уровня корневой
структуры графа, смежной с упомянутыми листьями;
4. Любая модификация управляющей системы сведется к изменению
структуры смежности соответствующего подграфа. В настоящий момент
разработаны различные схемы хранения графа, применение которых
позволяет проводить обработку графов, в частности, модификацию
структуры смежности, используя для этого достаточно малое число
арифметических
операций,
например,
в
схеме,
основанной
на
использовании списков смежности, требующей для хранения массивы с
общей длиной X  2 E  1, где X , E — множества вершин и ребер графа
соответственно, или в схеме, основанной на введении поля связей [80],
где общая длина массивов для хранения равна X  4 E . Заметим, что в
силу способа построения графа, как будет видно ниже, мощность
множества ребер сравнима с мощностью множества вершин.
Рассмотрим предварительно определения некоторых графовых понятий,
необходимых для дальнейшего изложения. Пусть x  X — вершина графа.
Корневой структурой уровней (x ) [80] графа с корнем в узле x называется
такое разбиение множества X
( x)  {L0 ( x), L1 ( x),..., Ll ( x ) ( x)} ,
что
(4.35)
75
L0 ( x)  {x}, L1 ( x)  Adj( L0 ( x)), Li ( x)  Adj( Li 1 ( x))  Li 2 ( x), i  2,3,..., l ( x) ,
где l (x) — эксцентриситет узла x ;
Adj ( Li1 ( x)) — множество узлов графа, не принадлежащих Li1 ( x) , но смежных
хотя бы с одним узлом из Li1 ( x) .
Эксцентриситет l (x) узла x [80] по отношению к структуре уровней называется
длиной (x ) , а ширина w(x ) структуры (x ) определяется как
w( x)  max{ Li ( x) 0  i  l ( x)}.
(4.36)
Перейдем непосредственно к построению взвешенного графа-модели ИТС,
представляющего дерево [81-83].
Этап 1. Система в целом (корень графа-дерева) рассматривается как
изолированная вершина (рис.4.6), подграф, отвечающий СЗИ, также существует
изолированно, еще не имея связи с циркулирующей в системе информацией.
СЗИ представляется в виде совокупности средств, входящих в нее в качестве
составных частей, каждой из которых соответствует вершина графа, лежащая
во втором уровне его корневой структуры [80] (рис.4.7 — все вершины
помечены натуральными числами от 1 до n). Каждый последующий уровень
корневой структуры представляет из себя следующий уровень детализации.
Рациональная степень детальности определяется допустимыми классами
возмущений и управляющих воздействий.
76
Значения весовых коэффициентов графа, вычисление которых подробно
рассматривается ниже, должны отражать реальную ценность того или иного
средства защиты для функционирования всей СЗИ. Конкретные значения
коэффициентов основываются на практическом опыте при максимальном
использовании априорной информации для обеспечения условия максимальной
начальной
приспособленности,
обеспечивают
положительную
полуопределенность (положительную определенность) матрицы смежности
графа.
Этап 2. Строится матрица смежности G взвешенного графа-модели,
которая в силу его неориентированности является симметричной. При помощи
нормального спектрального разложения однозначно определяются спектр и
СВ G .
77
Рис.4.7. Корневая структура уровней графа информационно-технологической
системы
Этап 3. Вводится связь <1,2> (рис. 4.7) ― информация, подлежащая
защите, становится доступной СЗИ. Это возмутит G , приведя к виду G , а
значит возмутит и однозначно определяющие ее СЗ и СВ. Полученные
возмущения являются математическим представлением циркулирующей
в
ИТС информации, подлежащей защите.
Общение моделируемой СЗИ с окружающей средой осуществляется через
блок датчиков-листьев (аналог периферической нервной системы). Все атаки
на систему выражаются в воздействии на листья, весовые коэффициенты
которых малы по сравнению с коэффициентами, отвечающими вершинам,
находящимся на предшествующих уровнях корневой структуры. Вес вершины
на каждом уровне определяется как положительное число, большее или равное
сумме весов смежных с ней вершин, находящихся на следующем по порядку
уровне корневой структуры (подробно вопрос определения значений весовых
коэффициентов рассматривается ниже). Пример взвешенного графа-модели
системы,
иллюстрирующий
возможное
соотношение
между
весовыми
78
коэффициентами вершин разных уровней, представлен на рис.4.8 (синим
цветом обозначены номера вершин, внутри узла — его вес).
Математическим
выражением
атаки
будет
уменьшение
весовых
коэффициентов, отвечающих атакованным средствам защиты.
Рис.4.8. Пример взвешенного графа системы
Говоря о произвольной ИТС, необходимо отметить, что размерность
соответствующего ей графа может быть в общем случае достаточно большой,
что приводит
к
определенным
трудностям
при
его
обработке и
анализе. В связи с этим значимыми становятся используемые схемы
хранения графов, их требования к памяти. Очевидно, что при анализе ИТС с
использованием
соответствующего
графа
основной
операцией
будет
выявление отношений смежности между узлами, ведь именно эти отношения
явно указывают на иерархию системы. В силу этого необходим такой способ
представления графа ИТС, который бы позволял легко (в вычислительном
смысле) устанавливать свойства смежности и при этом был экономичным
в смысле памяти. Наиболее распространенные схемы хранения и их анализ
приведены в дополнении 1.
79
4.1.2.4. Математические
параметры,
характеризующие
информационно-технологическую систему
Введение информации в систему возмущает все или некоторые однозначно
определяемые нормальным спектральным разложением СЗ и СВ матрицы
смежности графа-модели
G.
Совокупность этих возмущений является
математическим представлением для циркулирующей в СЗИ информации и не
только для нее: установление связи между совокупной ИТС и СЗИ открывает
доступ в последнюю не только для информации, но и для всех составляющих
ИТС, отсутствующих непосредственно в СЗИ. В общем случае информация
представляется некоторым подмножеством множества возмущений СЗ и СВ
матрицы G . В силу того, что выделение этого подмножества затруднительно,
для
контроля
за
состоянием
информации
будем
анализировать
всю
совокупность возмущений СЗ и СВ G .
Утверждение
4.6.
Изменения
в
хранимой
системой
информации
представляются в виде возмущений тех СЗ и СВ матрицы G , которые
возмутились при первоначальном введении информации в СЗИ. Анализ
состояния информации сводится к анализу возмущений упомянутых СЗ и СВ.
Поскольку матрица G симметрична, ее спектр содержит лишь хорошо
обусловленные СЗ в соответствии с соотношением (3.150.). Хорошая
обусловленность СЗ приводит к нечувствительности спектра матрицы G к
возмущающим воздействиям или, иначе говоря, к тому, что возмущения СЗ G
по абсолютной величине сравнимы с самим возмущающим воздействием, чего
нельзя в общем случае сказать о СВ. Таким образом для анализа степени
разрушения (сохранения) информации системы отдадим предпочтение анализу
возмущений спектра соответствующей ей матрицы G . Рассмотрим
эти
вопросы более подробно.
Теорема 4.1. Пусть возмущениям  k ,...,  k
1
p
подверглись СЗ k ,..., k
1
p
матрицы G , что привело к ее возмущению G . Тогда величина нормы G не
80
зависит от того, какие именно СЗ были
возмущены, а зависит лишь от
абсолютной величины этих возмущений.
Доказательство. Согласно (3.110):
G  G  U diag (1 ,...,  k1 1 ,  k1   k1 ,  k1 1 ,...,  k p 1 ,  k p   k p ,  k p 1 ,...,  n )U T
Тогда, учитывая (3.120)
p
G    k j u k j u kTj ,
j 1
G  max  k j .
2
1 j  p
Cвязь между G и возмущениями СЗ  k ,...,  k зависит от выбора конкретной
1
p
матричной нормы. Например, если рассмотреть норму Фробениуса, то для G ,
с учетом связи между рассматриваемой матричной и векторной 2-нормой [46],
будет иметь место соотношение:
G
F

p
  k u k u kT
j 1`
j
j
p
   k j uk j
j
j 1
F
p
2
u kTj
2
   k j  p max  k j ,
1 j  p
j 1
заключение теоремы остается истинным.
Таким образом, по величине возмущающего воздействия на матрицу
невозможно судить о том, какие именно СЗ подверглись возмущению. При
построении графово-матричной модели информационной системы вопрос о
локализации возмущений СЗ матрицы смежности, вызванных введением
информации
в
СЗИ,
является
определяющим
и
требует
дальнейших
исследований, результаты которых приводятся в следующем разделе.
Теорема
Пусть
4.2.
возмущающее
воздействие
G
привело
к
возмущениям  k ,...,  k СВ u k ,..., u k матрицы G . Величина этого возмущающего
1
p
1
p
81
воздействия определяется не только значениями  k ,...,  k , но и значениями
1
соответствующих u k ,..., u k
1
СЗ k ,..., k
p
1
p
матрицы G , даже если эти СЗ не
p
возмутились.
Доказательство. Для матрицы G  G , учитывая (3.120), имеет место
соотношение:
n
p
i 1
i  k1 ,..., k p
j 1
G  G 
 i ui uiT   k (u k   k )(u k   k )T 
n
p
i 1
j 1
j
j
j
j
j
  i u i u iT    k j (u k j  k j   k j u kTj   k j  k j ) 
T
T
(4.40)
p
 G   k j (u k j  k j   k j u kTj   k j  k j ).
T
T
j 1
Из (4.40), учитывая согласованность спектральной матричной нормы и
векторной 2-нормы получаем:
G
2

p

j 1
k (u k  k
j
j
T
j
  k j u kTj   k j  k j )

T
2
p
  k j ( u k j
j 1
2
kj
2
 kj
p
  k j (2  k j
j 1
2
2
uk j
2
2
 kj
2
 kj
2
2
)
),
откуда следует заключение теоремы.
Чувствительность СВ u i , отвечающего СЗ i , в пределах матрицы G
определяется в соответствии с соотношениями
sin  i 
2 G
2
gap abs (i, G )
,
(4.50)
82
sin  i 
2 G
2
gap abs (i, G)
,
(4.60)
где G — возмущение матрицы G ,
G  G  G ,
u i — нормированный возмущенный СВ,
 i — острый угол между u i и u i ,
gapabs (i, G)  min  j  i — абсолютная отделенность СЗ i матрицы G
i j
Поскольку (4.60) является следствием (4.50), докажем (4.50).
Пусть G  UU T — спектральное разложение матрицы G , тогда
G  G  G  U U
T
(4.70)
определяет спектральное разложение возмущенной матрицы G .
Пусть вектор d ортогонален вектору u i и такой, что u i  d сонаправлен с
вектором ui , т.е. u i  d — ненормированный СВ матрицы G  G , отвечающий
i -му СЗ. Из (4.70) непосредственно вытекает, что
G  G U
U .
(4.80)
Если рассмотреть i -ые столбцы (4.80), то получим:
G  G u i   i u i ,
(4.90)
где  i — i -ое СЗ G  G . Умножим обе части равенства (4.90) на ui  d 2 :
G  G(ui  d )   i (ui  d ) .
(4.100)
83
Вычитая из равенства (4.100) равенство Gui  i ui , обозначая    i  i , и
перегруппировывая члены, получим:
G  i I d   I  G (ui  d ) ,
(4.110)
где I — единичная матрица. Поскольку u iT G  i I   0 , то вектора, стоящие в
обеих частях равенства (4.110), ортогональны вектору u i , кроме того, вектор d
ортогонален
ui
по
z   I  G (ui  d ) и d
построению.
Это
значит,
что
если
вектора
разложить по собственному ортонормированному
базису u1 ,..., ui ,..., u n , то эти разложения будут иметь вид:
n
n
j 1
j i
j 1
j i
z   z ju j , d   d ju j ,
(4.120)
где z j , d j — коэффициенты соответствующих разложений.
Поскольку G  i I u j   j  i u j , то
n
n
j 1
j i
j 1
j i
n
G  i I d  G  i I  d j u j   ( j  i )d j u j
Равенство разложений по собственному базису
 z   z ju j .
j 1
j i
n
 (
j 1
j i
n
j
 i )d j u j   z j u j означает
j 1
j i
равенство соответствующих коэффициентов этих разложений:
( j  i )d j  z j , j  1, n, j  i .
Выражая d j из (4.130) и подставляя в равенство (4.120) для d , получим:
(4.130)
84
zj
n
d 
j 1
j i

j
 i 
uj .
Тогда, учитывая ортонормированность векторов u j и элементарные свойства
модуля,
tg i  d
 zj
 

j 1   j  i
j i
n
2
2

 


2
 zj

1

 



gap abs (i, G )
j 1  j  i

j i 
n
n
z
j 1
j i
2
j

z
2
gap abs (i, G )
. (4.140)
Поскольку z   I  G (ui  d )   (ui  d )  G(ui  d ) , то, используя свойства
нормы [44] и согласованность спектральной матричной нормы и векторной 2нормы, получаем:
z
2

   G
2
u
i
d
2
.
(4.150)
Из (3.150.)   G 2 , что приводит неравенство (4.150) к виду:
z
2
 2 G
2
ui  d
2
 2 G 2 cos  i .
(4.160)
Тогда из (4.140) с учетом (4.160) получаем (4.50).
Из
соотношений
(4.50),
(4.60)
вытекает
истинность
следующего
утверждения.
Утверждение 4.7. Абсолютная отделенность СЗ матрицы является мерой
чувствительности соответствующего СВ к возмущающим воздействиям.
Теорема 4.3. Малость возмущений СВ матрицы G не гарантирует малость
нормы возмущающего воздействия G на ИТС.
Доказательство. Поскольку неравенство (4.50) имеет место для каждого
СЗ матрицы G , то из него получаем:
85
1

max  sin  i gap abs (i, G )   G ,
2
1i  n 2


(4.170)
откуда непосредственно вытекает заключение теоремы. Заметим, что из
формулы (4.170) следует, что если при возмущении G ее СЗ не меняются или
меняются незначительно, то даже сравнительно большие возмущения СВ,
отвечающих плохо абсолютно отделенным СЗ ( gapabs (i, G) мала), приведут к
малому значению G .
2
Чувствительные СВ могут отклониться на большой угол при малом
возмущающем воздействии (даже по причине округлений, происходящих при
вычислениях), и тем самым их возмущение не дает истинной информации о
величине возмущающего воздействия (о серьезности атаки). О величине
возмущающего воздействия (или серьезности атаки) можно судить лишь по
возмущениям
СВ,
отвечающим
СЗ
с
наибольшими
абсолютными
отделенностями.
4.1.2.5. Связь количества информации графа системы и
информации системы.
При построении графово-матричной модели ИТС информация «вводится»
в СЗИ путем установления связи между ней и непосредственно защищаемой
информацией за счет появления нового ребра, соединяющего граф СЗИ с
вершиной, отвечающей ИТС в целом. В соответствии с теорией информации
покажем, что такой способ моделирования введения информации оправдан, т.к.
приводит к увеличению количества информации графа-модели. Для этого
определим
вероятностную
схему
графа
(probability
scheme).
Этот
вопрос не является тривиальным, поскольку до настоящего момента
не существует единой вероятностной схемы для определения энтропии
86
и
количества
информации
произвольного
графа.
Долгое
время
традиционным в этом вопросе был взгляд, высказанный в [84], и развитый
в [85], для простоты изложения которого
воспользуемся
некоторыми
понятиями теории графов [81,86].
Два графа
множествами
X1
и
вершин
сохраняющее
называются изоморфными, если между их
X2
существует
смежность
взаимно
однозначное
(изоморфизм
является
соответствие,
отношением
эквивалентности).
Автоморфизмом помеченного графа X называется изоморфизм графа на
себя. Каждый автоморфизм  графа X есть подстановка его множества вершин
V,
для
которого
V  n,
сохраняющая
смежность.
Множество
всех
автоморфизмов графа образуют группу [81,85]. Будем обозначать группу
автоморфизмов X как G X  (группа подстановок на множестве V ). Для всякой
вершины v  V орбитой этой вершины называется подмножество множества V ,
состоящее из всех таких элементов
w V , что
vw
для некоторой
подстановки   G X  . Пусть Ai , i  1, h — различные орбиты G X  . Тогда
Ai  A j  , если i  j , а
h

Ai  {1, .n} , т.е. орбиты формируют разбиение
i 1
множества {1,.n} [85].
В [85] строится вероятностная схема Px :
 A1 , A2 , , Ah 

Px  
 p1 , p 2 ,  , p h 
где pi 
Ai
n
, i  1, h . Тогда энтропия графа I g ( X ) определяется как энтропия Px :
h
I g ( X )   pi log 2 pi .
i 1
(4.180)
87
Выражение (4.180) служит также для определения меры сложности графа.
Однако приведенная вероятностная схема для определения энтропии и
сложности графа, основанная на использовании орбит, при подробном ее
рассмотрении обладает серьезным недостатком, не отражая для некоторых
графов реальную картину их сложности, а потому, очевидно, ее использование
нежелательно для построенной графовой модели ИТС. Для наглядности
изложения поясним это на примерах.
Для простоты рассмотрим графы, для которых V  4 (рис.4.9).
В
соответствии
с
(4.180)
меры
сложности
(энтропии)
графов,
представленных на рис.4.9, соответственно равны:
3
4
а ― I g ( X )  2  log 2 3 ;
3
2
б ― Ig (X )  ;
в ― Ig (X )  0 ;
г ― Ig (X )  0 .
Как видно, сложность полного и нуль-графа равны нулю (положение не
изменится при изменении мощности множества вершин), хотя из логических
соображений
очевидно,
что
сложность
полного
графа
должна
быть
больше.
В литературе были предложены другие подходы при построении
вероятностной
схемы
для
которых
описан
в
был
определения
энтропии
[87], использовался
графа,
авторами
один
из
при изучении
молекулярных процессов, был развит в дальнейшем в [88] и состоит в
следующем.
Пусть граф представляется некоторыми
N
элементами (например,
вершинами, ребрами, расстояниями, кликами и т.д.), каждому элементу
присвоен вес wi , i  1, N . Вероятность того, что случайно выбранный элемент i
имеет вес wi определяется как
88
pi 
wi
N
w
i 1
при этом
N
p
i 1
i
,
i
 1 . Вероятностная схема графа имеет вид:
Элемент
Вес
1, 2,  N
w1 , w2 ,  wN
(4.190)
Вероятност ь p1 , p 2 ,  p N
и дает возможность определить целый ряд информационных индексов,
учитывая (4.180).
Рассмотрим в качестве элементов графа его вершины. Пусть вес каждой
вершины соответствует, например, ее степени. Здесь нулевая сложность нульграфа будет отличаться от достаточно высокой сложности полного графа,
каждая из которых будет получена из уравнения (4.180), но в соответствии с
вероятностной схемой (4.190).
Шеннон [89] определяет информацию как уменьшение энтропии системы
относительно максимальной энтропии, которая может существовать в системы
с таким же числом элементов:
I  H max  H .
(4.200)
89
N
Используя (4.180), вычислим энтропию графа с общим весом W   wi и весами
i 1
вершин wi для вероятностной схемы (4.190):
N
N
N
N
wi
w
w
w
log 2 i   i log 2 wi   i log 2 W 
W
i 1 W
i 1 W
i 1 W
H   pi log 2 pi  
i 1
(4.210)
 log 2 W 
1
W
N
 w log
i 1
i
2
wi
Как следует из (4.210), максимальное значение энтропии определяется как
H max  log 2 W
(4.220)
Подставляя (4.220) и (4.210) в (4.200), получим выражение для количества
информации взвешенного графа:
90
I
N
1
W
 w log
i 1
i
2
wi .
(4.230)
Если в качестве веса вершины используется ее степень, то можно
показать [90], что количество информации графа (сложность графа) может быть
оценено в соответствии с формулой:
N
I   ai log 2 ai ,
(4.240)
i 1
полученной из (4.230) с использованием вероятностной схемы (4.190). Здесь a i
— степени вершин графа.
Поскольку «ввод» информации в СЗИ происходит при введении в граф
ИТС дополнительного ребра, т.е. непосредственно связано с изменением
степеней
вершин,
информации
воспользуемся
графа
системы
для
при
оценки
его
изменения
окончательном
количества
формировании
соотношением (4.240). Система в целом сконцентрирована в графе с
единственной
вершиной
1
(рис.4.6)
первоначально
нулевой
степени.
Количество информация такого графа в соответствии с (4.240) равно 0: пока о
системе неизвестно ничего, ее энтропия максимальна. Добавление ребра  1,2 
вместе с подграфом, отвечающим СЗИ, вводя информацию в СЗИ, приведет к
«появлению информации» и о самом графе: количество информации графа
ИТС станет ненулевым в соответствии с (4.240).
Таким образом, при предложенном способе построения графовоматричной модели ИТС, количество информации графа системы будет
определяться информацией, хранимой в ней.
Замечание
4.4.
Каждый последующий шаг детализации графовой
модели ИТС увеличивает количество информации графа, что очевидно говорит
в пользу адекватности модели.
91
Замечание 4.5. Можно показать, что введение информации за счет ребра
 1,2  приведет также к росту линейной сложности графа, выражаемой через
линейную сложность его матрицы смежности, которая, в свою очередь,
определяется количеством арифметических операций, необходимых для
вычисления произведения
G x,
где G — матрица смежности графа системы;
x — произвольный вектор соответствующей размерности [91].
Замечание 4.6. Введение информации в СЗИ увеличит значение
связности (connectedness) графа ИТС, определяемой как
Conn 
2E
V
2
где E — множество ребер, что повлечет за собой возрастаное реберной
сложности графа системы [90].
На основании проделанной работы можно утверждать, что выбранный
способ
построения
технологической
графово-матричной
системы
модели
информационно-
обеспечивает ее согласованность с теорией
информации.
4.1.2.6. Локализация информации в модели системы
При предложенном способе построения графа-модели ИТС существует
возможность
точной
локализации
местонахождения
хранимой
в
формализованной системе информации, т.е. определения тех СЗ и СВ матрицы
92
смежности G , возмущения которых являются формальным представлением
информации системы.
Лемма 4.1. Формальным представлением информации ИТС при
описанном способе построения графа-модели будут возмущения максимальных
СЗ его матрицы смежности.
Доказательство. Обозначим через g ij , i, j  1, n , элементы матрицы G .
Пусть
Ri 
n

j 1, j  i
g ij , i  1, n .
(5.8)
Тогда, в соответствии с леммой Гершгорина [53], все СЗ матрицы G
будут находиться в объединении замкнутых кругов с центрами в точках g ii и
радиусами (5.8) (кругов Гершгорина), т.е. для каждого СЗ  матрицы G
найдется хотя бы один круг B( g ii , Ri ) [51] такой, что:
g ii    Ri .
Тогда, учитывая структуру матрицы G , ее максимальное СЗ
max  g11 ,
т.к. радиус соответствующего круга Гершгорина равен 0.
При введении ребра  1,2  пострадают лишь круги B ( g11 ,0) и B( g 22 , R2 ) : их
радиусы увеличатся на величину весового коэффициента ребра  1,2  , что, в
принципе, не исключает даже их возможного пересечения, все остальные круги
Гершгорина останутся невозмущенными. Это приведет к возмущению
максимальных СЗ (в общем случае их количество больше либо равно 2),
оставляя минимальные без изменения.
93
Лемма 4.2. Введение информации в СЗИ не уменьшит наибольшее
СЗ G .
Доказательство. Матрица G — невырожденная и симметричная с
элементами g ij , i, j  1, n . Заметим, что только g 12  g12  0 . Для всех остальных
элементов матриц G и G g ij  g ij . Представим G в виде:
 H BT 
,
G  

B
U


где H  H T  m  m -матрица, собственные значения которой 1  ...   m (в нашем
случае H  g 11 , имеющая единственное СЗ 1 = g 11 , B  g 21 ,0,...,0 ), а собственные
T
значения G —  1  ...   n . Тогда по теореме Коши о разделении имеет
место соотношение:
 j   j   j  n m , j  1, m .
(5.10)
Рассмотривая правую часть (5.10) при m  1, j  1 , приходим к заключению
теоремы:  1   n .
Замечание 4.7. Представим G в виде:
где
  g 11 ,   g 21 .
Предположим,
что
Исходя
из
леммы
имеется
дополнительная
Гершгорина,
информация:
 n  [   ,    ] .
n
является
единственным СЗ G в бóльшем сегменте [   ,    ],    . Тогда можно
утверждать [53], что
94
 n  [   2  ,    2  ] ,

(5.20)

где      2  4 2 2 . Оценка (5.20) значительно улучшает оценку для  n ,
вытекающую из леммы Гершгорина. Для описанного способа построения графа
ИТС
g 11  g 22 , а радиусы кругов Гершгорина B( g 11 , g 12 ) и B( g 22 , R2 ) невелики.
Поэтому, с большой долей вероятности, g 11  g 12  g 22  R2 , а   g 11  g 22  R2
(рис.4.10).
Рис.4.10. Определение  для уточнения области локализации  n
Такая локализация введенной информации, подлежащей защите, в самой
вершине спектра матрицы, как будет показано ниже, очень удобна.
Лемма 4.3. При описанном способе построения графа вводимая в СЗИ
информация обязательно возмутит СВ, отвечающие максимальным СЗ.
Доказательство.
Матрица
G
по
построению
является
блочно
диагональной, т.е. разложимой:
Как известно, СЗ разложимой матрицы определяются объединением СЗ ее
блоков. Таким образом, среди СЗ G присутствует g 11 , а соответствующий
ортонормированный
лексикографически
положительный
СВ
будет
95
определяться как (1,0,...,0) T . При введении информации в СЗИ с появлением
ребра  1,2  блочно диагональная структура матрицы G будет разрушена. Как
было показано выше, максимальные СЗ возмутятся, а структура СВ,
отвечающего наибольшему СЗ, очевидно изменится относительно
(1,0,...,0) T .
Таким образом, введение информации в систему обязательно возмутит СВ,
отвечающие максимальным СЗ, несмотря на то, что эти вектора наименее
чувствительные к любым возмущающим воздействиям.
4.1.2.7. Необходимый уровень защищенности системы
Поскольку
общение
моделируемой
СЗИ
с
окружающей
средой
осуществляется через блок датчиков-листьев, то любая атака на cистему
выражается в воздействии на листья, соответствующие атакованным средствам
защиты, и моделируется при помощи уменьшения значений диагональных
элементов матрицы смежности графа-модели, отвечающих «пострадавшим»
узлам-листьям.
В общем случае предпринятая атака может либо полностью уничтожить
атакованное средство, либо вывести его из строя частично, либо никак не
отразится на его работе. В первом случае диагональный элемент матрицы
смежности, отвечающий уничтоженному средству защиты, обнуляется. Это
обнуление равнозначно исключению его из СЗИ.
Такое обнуление на матричном уровне эквивалентно вычитанию из
матрицы
смежности
G
положительно
полуопределенной диагональной
матрицы той же размерности, единственный ненулевой элемент которой
отвечает
узлу,
соответствующему
«пострадавшему»
средству
защиты.
Величина этого ненулевого элемента равна весовому коэффициенту данного
средства защиты.
Матрица G по построению является неотрицательной (все ее элементы
неотрицательные). Кроме того, симметричная матрица G неразложима, т.е.
96
симметричными перестановками ее строк и одноименных столбцов она не
может быть приведена к виду:
B

0
0
,
C 
(5.30)
где B, C — квадратные матрицы.
Действительно, если бы такое было возможно, то соответствующий граф
состоял бы, по крайней мере, из двух компонент связности, каждая из которых
соответствовала бы диагональному блоку матрицы (5.30), что не отвечает
истине. Как следует из теоремы Фробениуса [74], матрица с такими свойствами
всегда имеет положительное СЗ max , которое является корнем кратности один
характеристического уравнения, а модули всех других СЗ не превосходят
max . Если сопоставить это с доказанной выше леммой 4.2, то отсюда
непосредственно будет вытекать, что даже при возможном пересечении кругов
Гершгорина B ( g11 ,0) и B( g 22 , R2 ) после увеличения их радиусов за счет введения
связи  1,2  , мы не получим кратности максимального СЗ. Собственному
значению max соответствует СВ, все координаты которого отличны от нуля и
одного
знака.
Кроме
того,
из
первоначального
результата
Вейля
о
монотонности, уже упоминавшегося выше, следует, что если G  G  Y , где Y и
G — симметричные матрицы, причем Y — положительно полуопределена, то
СЗ матрицы G не превосходят соответствующих СЗ G .
Из вышесказанного вытекает, что результатом любой атаки, выводящей из
строя некоторое средство защиты (или частично разрушающей средство
защиты, что эквивалентно уменьшению его весового коэффициента), будет
вполне определенное возмущение СЗ матрицы G : они не увеличатся.
В реальных условиях возможны атаки, не влекущие за собой никаких
отрицательных
математическая
последствий
модель
для
должна
защищаемой
учитывать
информации. Адекватная
такую
возможность:
если
97
уменьшение СЗ
матрицы G в результате атаки не коснулось тех СЗ, в
возмущениях которых хранится информация cистемы, то такой атакой можно
пренебречь. Покажем, что построенная графово-матричная модель допускает
возможность полного сохранения информации при некоторых атаках,
т.е.
допускает
возможность
неизменности
СЗ,
хранящих
в
своих
первоначальных возмущениях информацию cистемы, при возмущающем
воздействии.
Поскольку весовые коэффициенты листьев малы по сравнению с
весовыми
коэффициентами
узлов
предшествующих
уровней
корневой
структуры графа-модели ИТС, то круги Гершгорина, отвечающие листьям,
будут на числовой оси расположены левее всех остальных, в достаточно малой
окрестности нуля. Кроме того, лист смежен лишь с одним узлом (этот узел
находится на предшествующем уровне корневой структуры), поэтому в строке
матрицы смежности, отвечающей листу, будет лишь один ненулевой
внедиагональный элемент, значение которого также невелико (чаще всего —
это 1), т.е. радиус соответствующего круга Гершгорина мал. Обнуление
диагонального элемента, соответствующего рассматриваемому листу, приведет
к смещению его круга Гершгорина влево (центр перейдет в 0) с сохранением
радиуса, что гарантированно возмутит лишь наименьшие СЗ. Таким образом,
благодаря предложенному способу построения графа и локализации введенной
информации в максимальных СЗ, предложенная модель не исключает
возможность «безопасной» для СЗИ атаки.
Поскольку математическим результатом атаки на систему является
неувеличение СЗ матрицы G , то ответом на атаку, при его необходимости,
очевидно, должно стать неуменьшение СЗ возмущенной матрицы G . Этого
можно добиться, например, в соответствии с теоремой Вейля, за счет
прибавления к «пострадавшей» матрице
неотрицательными
диагональными
G
диагональной матрицы с
элементами
(положительно
полуопределенной), что соответствует увеличению весовых коэффициентов для
некоторых узлов, т.е. увеличению
реальной
ценности
для
работы
98
совокупной
ИТС некоторых из оставшихся нетронутыми средств защиты.
Определим,
каким
должен
быть
необходимый
(хотя,
возможно,
и
недостаточный) ответ СЗИ на атаку.
Поскольку
исходная
матрица
G
симметричная
невырожденная
положительно полуопределенная (положительно определенная), все ее СЗ
положительные.
Покажем,
что
обнуление
диагонального
элемента,
происходящее при моделировании атаки, приводящей к уничтожению
соответствующего средства защиты, приведет к тому, что наименьшее СЗ
возмущенной матрицы G станет отрицательным.
Теорема 4.4. Если хотя бы один диагональный элемент невырожденной
симметричной матрицы A равен нулю, то 1  0 .
Доказательство. Предположим, что a11  0 . Представим A в виде:
 H BT 
,
A  

B
U


где H  H T  m  m -матрица, СЗ которой 1  ...   m , а СЗ A — 1  ...  n . Тогда по
теореме Коши о разделении [53] имеет место соотношение (5.10), левая часть
которого при
m  1, j  1
имеет вид:
1  1 .
Поскольку
1 = a11  0 ,
то в
предположении, что матрица A невырожденная, получаем: 1  0 .
Пусть теперь a kk  0, k  1 . Если P1,k — стандартная матрица перестановок
[44] ( P1,k получена из единичной n  n -матрицы путем перестановки первой и k ой строк), то для нее справедливы соотношения: P1,k = P1,k T ; P1,k P1,k T = P1,k 2  I ( I —
единичная n  n -матрица), т.е. P1,k — ортогональная матрица. Пусть B  P1,k A P1,k ,
т.е. матрица В получена из A путем подобного преобразования, не меняющего
спектр матрицы [53]:
det( B   I )  det P1, k AP1,k   I   det P1, k ( A   I ) P1,k   det( A   I ) .
99
Однако перестановки первой и k -ой строк и одноименных столбцов A ,
явившиеся результатом умножения слева и справа на P1,k , вывели нулевой
элемент akk  0 на место (1,1) в матрице В. По показанному выше, минимальное
СЗ В, а, значит, и A , отрицательное.
Лемма 4.4. Пусть матрица G  G  G с элементами g ij получена из
симметричной и положительно определенной матрицы G с элементами g ij
путем обнуления элемента, стоящего на месте (n, n) , т.е. g nn  0 . Тогда инерция
[53] матрицы G определяется как (n  1, 1, 0) , т.е. G будет иметь точно одно
отрицательное СЗ.
Доказательство.
Поскольку
матрица
является
G
положительно
определенной, то она автоматически удовлетворяет условиям теоремы об LU(k )
(k )
разложении [44]. Если G , G , k  1, n , — главные подматрицы матриц G и G
соответственно, то диагональные элементы
u kk
для
k  1, n  1
верхней
треугольной матрицы U для G удовлетворяют соотношению
(k )
u kk 
det G
( k 1)
det G

det G
det G
(k )
( k 1)
 0, k  1, n  1.
(5.50)
Количество отрицательных диагональных элементов в матрице U, получаемой
при треугольном LU-разложении матрицы G   I , где I — единичная матрица,
соответствует количеству СЗ матрицы G , меньших  , т.е. количество
отрицательных диагональных элементов в матрице U, получаемой при
треугольном LU-разложении матрицы G определяет количество отрицательных
СЗ
в
матрице
G.
Из
соотношения
(5.50)
следует,
что
количество
положительных СЗ в G   n  1, а из теоремы 4.4 вытекает, что минимальное
100
СЗ G отрицательное. В силу предположения о невырожденности матрицы G ,
отрицательное СЗ единственно.
Теорема 4.5. Пусть матрица G получена из симметричной и положительно
определенной матрицы G путем обнуления произвольного единственного
диагонального элемента. Тогда инерция матрицы G
определяется как
(n  1, 1, 0) .
Доказательство. Аналогично доказательству теоремы 4.4.
Следствие. Если при атаке на ИТС разрушению подверглось единственное
средство защиты, то это приведет к появлению единственного отрицательного
СЗ (минимального СЗ) в матрице смежности графа-модели.
Таким образом, необходимый ответ системы на любую атаку должен
привести к возвращению наименьшего СЗ матрицы смежности графа-модели к
неотрицательному виду.
Однако, сделать минимальное СЗ положительным, оставляя ноль,
говорящий о разрушении атакованного средства защиты, на главной диагонали,
невозможно по доказанному выше. Поэтому предпринимаемые действия
должны быть направлены на то, чтобы сделать минимальное СЗ как можно
меньше по модулю, т.е. чтобы его знаком можно было пренебречь, и считать
1  0 .
4.1.2.8. Количественные
оценки
составляющих
информационно-технологической системы
При принятом подходе к решению задачи о моделировании ИТС важную
роль играют весовые коэффициенты вершин (узлов) графа-модели, отвечающие
элементам системы. Значения весовых коэффициентов должны быть такими,
чтобы численно отражать реальную значимость любого средства защиты (или
группы средств) для функционирования ИТС в целом, несмотря на их различие
(технические, законодательные, программные и т.д. средства). Для обеспечения
101
одного из основных принципов функционирования нервной системы человека,
максимальной начальной приспособленности, весовые коэффициенты должны
быть
получены,
исходя
из
практического
опыта
при
максимальном
использовании априорной информации.
До настоящего момента вопросы количественной оценки защищенности
объектов,
эффективности
средств
защиты
информации,
возможностей
противника, а также методики для таких оценок проработаны недостаточно.
Для определения весовых коэффициентов узлов, отвечающих техническим
средствам защиты, возможно использование метода, предложенного в [92-93].
Задача определения конкретных числовых значений остальных весовых
коэффициентов до настоящего момента оставалась нерешенной.
Предложенная математическая модель ИТС, как уже было отмечено выше,
представляет из себя иерархическую структуру.
Пусть " " — бинарное отношение нестрогого порядка на некотором
множестве S [86]. Для любого отношения x  y, x, y  S , можно определить
отношение x  y , что означает x  y, x  y . Говорят, что y покрывает x , если
x  y и не существует такого t  S , что x  t  y .
Определение 4.4. Пусть
X
— конечное частично упорядоченное
множество [86] с наибольшим элементом x . Множество X есть иерархия, если
существует такое разбиение X на подмножества Lk , k  1, h , где L1  x, что
выполняются следующие условия:
1) x  Lk   x   Lk 1 , k  1, h  1, где x   { y x покрывает y} ;
2) x  Lk   x   Lk 1 , k  2, h , где x   { y y покрывает x} .
Для каждого x  X существует весовая функция, сущность которой зависит от
явления, для которого строится иерархия:
wx : x   [0,1],
 w ( y)  1 .
yx 
x
102
Множества Lk называются уровнями иерархии, wx — функция приоритета
относительно элемента x .
Другими словами, иерархия есть определенный тип системы, основанный
на предположении, что элементы системы могут группироваться в несвязанные
множества. Элементы каждой группы находятся под влиянием элементов
некоторой вполне определенной группы и, в свою очередь, оказывают влияние
на
элементы
другой
группы.
В
математической
теории
иерархий
разрабатываются методы оценки воздействия уровня на соседний верхний
уровень посредством композиции соответствующих вкладов (приоритетов)
элементов нижнего уровня по отношению к элементу верхнего уровня. Эта
композиция может распространяться вверх по иерархии.
Будем считать, что элементы в каждой группе (уровне) иерархии
независимы.
Предложенная модель ИТС представляет из себя иерархию, для которой
L1  {s}, где s отвечает совокупной системе, а каждый уровень иерархии Lk
является одновременно и
уровнем
структуры
корневой
графа-модели
(рис.4.11 сравн. с рис.4.7).
Для
достижения
поставленной
определим
цели
приоритеты
элементов каждого уровня
иерархии
отношению
численно
по
Lk
к
s,
выразим
значимость
средства
т.е.
любого
защиты
(или
совокупности средств) для функционирования системы в целом, используя для
103
этого метод анализа иерархий (МАИ) [94] с учетом особенностей построенной
иерархической модели.
МАИ возник в результате разработки методологии для моделирования
неструктурированных, плохо формализуемых задач в экономике, теории
управления, параметры которых не поддаются эффективным количественным
оценкам. Он широко используется и хорошо зарекомендовал себя при решении
различных задач не только экономики, но и теории исследования операций, при
анализе риска, при построении экспертных систем и во многих других
областях [95-97]. Математическая правомочность МАИ базируется на методе
собственного значения и принципе иерархической композиции, имеющих
четкое математическое обоснование, и в общем виде может быть описан
следующим образом. Предполагается, что заданы элементы некоторого m -го
уровня иерархии и один элемент e следующего более высокого уровня.
Необходимо определить «степень влияния», или приоритеты, элементов m -го
уровня относительно их важности для элемента e . Для этого элементы m -го
уровня сравниваются попарно по силе их влияния на e , числа, отражающие
достигнутое при сравнении согласие во мнениях, помещаются в матрицу, для
которой находится СВ, отвечающий наибольшему СЗ. СВ обеспечивает
упорядочение приоритетов, а СЗ является мерой согласованности суждений.
Однако исходная информация в рассматриваемом методе поступает как
информация от экспертов. И хотя в МАИ имеется возможность проверки
экспертной
информации
на
непротиворечивость
посредством
индекса
согласованности, это не решает всех проблем, связанных с использованием
экспертных оценок. Действительно, при «неудовлетворительном» значении
индекса согласованности требуется корректировка исходных данных, с
последующим пересчетом результатов полученных приоритетов, что влечет за
собой немалые дополнительные вычислительные затраты. Кроме того,
возможности
экспертов
давать
непротиворечивую
увеличении количества параметров задачи ограничены.
информацию
при
104
Исходя из вышесказанного, при использовании МАИ для целей
построения модели ИТС, а именно, для определения значения весовых
коэффициентов узлов графа системы, постараемся уменьшить влияние
субъективизма на исходную информацию путем использования не экспертных
оценок, а статистических данных.
Первый шаг предлагаемого метода будет заключаться в накоплении
статистических данных о работе ИТС.
Пусть анализ системы проводится в течение времени T . Предполагается,
что набор элементов, входящих в систему, за время T не меняется. Пусть x j
отвечает конкретному средству защиты, которому в графовой модели
соответствует вершина-лист (самый высокий уровень детализации). Среди
имеющихся в распоряжении СЗИ средств защиты есть как постоянно
действующие, так и включаемые при обнаружении попытки нападения [4].
Назовем положительным исходом работы x j ситуацию, когда активация
данного средства (в случае, когда x j принадлежит ко второй группе) или его
непрерывная работа (когда x j принадлежит к первой группе) приводит к
предотвращению
несанкционированного
доступа.
Количество
всех
положительных исходов работы x j за время T обозначим k ( x j ) . Назовем
коэффициентом эффективной работы f ( x j ) средства x j отношение
f (x j ) 
k(x j )
K
,
где K — общее количество предпринимаемых попыток несанкционированного
доступа к системе за время T .
Изменение набора элементов, входящих в СЗИ, приведет к изменению
коэффициентов эффективной работы и необходимости их пересчета.
Статистические данные накапливаются не только для отдельных средств
защиты, но и для их совокупностей, в которые эти средства логически
105
объединены при построении графа (вершины графа, не являющиеся листьями).
Например, для простоты изложения допустим, что несанкционированный
доступ
был
предотвращен
благодаря
шумовой
помехе.
При
сборе
статистических данных такой случай приведет к увеличению на единицу
количества
положительных
исходов
работы
непосредственно
средства
«шумовая помеха», совокупностей «постановка помех», «технические средства
защиты» и т.д. (см.рис.4.11). Коэффициенты эффективной работы для
совокупностей средств защиты будут определяться аналогично тому, как это
было предложено выше для x j . Заметим, что если y j  Lk отражает некоторую
совокупность средств, представленных на следующем уровне иерархии
(корневой структуры) Lk 1 , обозначаемых как x1 , x2 ,..., xn , то в общем случае
k  y j    k ( xi ) ,
n
i 1
f  y j    f ( xi ) ,
n
(5.60)
i 1
где k  y j  и f y j  — соответственно количество положительных исходов
срабатываний и коэффициент эффективной работы для совокупности y j . Знаки
неравенств в соотношениях (5.60) объясняются тем, что при построении
математической
модели
информационной
системы
невозможно
учесть
абсолютно все факторы, влияющие на функционирование совокупной ИТС.
Возможно, что в реальной системе в состав y j входит кроме средств x1 , x2 ,..., xn
еще x 0 , значимость которого настолько незначительна, что при построении
модели оно не было учтено отдельно.
Замечание 4.8. Сбор статистических данных необязательно проводить по
анализу реальных атак на ИТС. При моделировании любой СЗИ необходимо,
чтобы она оказалась адекватной предполагаемому противнику [4]. В силу этого,
будем считать, что нам известен набор {V1 ,V2 ,...,Vl } возможных атак. Моделируя
физически эти атаки, частично или полностью искусственно «выводя из строя»
106
то средство защиты, на которое направлена атака, проведем сбор необходимых
данных, описанных выше.
Такой способ сбора статистик дает возможность расширить набор
имеющихся характеристик работы системы. Пусть атака V j направлена
непосредственно на средство xi . Приведем искусственно систему в состояние,
соответствующее результату атаки V j . Эту модифицированную систему вместо
исходной используем для накопления количества положительных исходов
работы ее элементов, как было предложено выше. Проделаем это для каждой
возможной атаки V j . Пусть x1 , x 2 ,..., x p — все множество средств защиты
рассматриваемой
СЗИ
(множество листьев в графе-модели). Составим
матрицу S :
где
kV j ( xm ) — количество положительных исходов работы средства x m в
системе, которая претерпела предварительно «безответную» атаку V j . Если
атака V j полностью разрушила средство xi , на которое была направлена, то
kV j ( xi )  0 . По матрице S
очевидно определяется матрица коэффициентов
эффективной работы для описанных случаев модифицикации системы.
Замечание 4.9. В силу предположений о потенциальной известности
противника и конечности набора возможных атак отпадает необходимость
обучения системы в том смысле, как это делается для искусственных
нейронных сетей. Задача распознавания системой неизвестной атаки и
«правильного» ответа системы на эту атаку не ставится.
107
Замечание 4.10. Использование коэффициентов эффективной работы в
качестве весовых для соответствующих вершин графа-модели, которое, на
первый взгляд, кажется возможным, нежелательно. Специфика графовоматричной модели ИТС, основывающейся на принципах работы нервной
системы человека, такова, что числовые значения весовых коэффициентов
должны как можно точнее соответствовать реальной значимости каждого
средства или совокупности средств для функционирования системы, а
статистические оценки достаточно точны лишь на очень больших выборках.
Если промежуток времени T окажется недостаточно продолжительным, то
значения f ( x j ) могут сильно отличаться от своих реальных значений. Однако
общая тенденция сравнительной значимости разных средств защиты по
отношению друг к другу для предотвращения несанкционированного доступа,
т.е. для функционирования совокупной системы, являющаяся основной для
получения весовых коэффициентов при выбранном способе построения
модели, проявится даже тогда, когда значение T невелико. В связи с этим
предпринимается
следующий
шаг
в
процессе
построения
весовых
коэффициентов.
Второй шаг. Для оценки воздействия различных компонент на всю ИТС
и нахождения приоритетов этих компонент воспользуемся МАИ. Заметим, что
иерархия графовой модели системы не является полной (иерархия называется
полной, если для x  Lk множество x   Lk 1 при любом k ). Более того, любая
x  Lk смежна лишь с одной вершиной, лежащей в предыдущем Lk 1 уровне. Как
будет показано ниже, эта особенность значительно снизит общий объем
арифметических операций,
необходимых
для
получения
искомых
значений приоритетов, по сравнению с количеством операций для общего
случая полной иерархии.
Замечание 4.11. Независимо от того, будет ли иерархия полной, или для
некоторого
уровня
Lk
будет
выполняться
x   Lk 1 ,
функцию
wx ,
фигурирующую в определении иерархии, можно единообразно определить для
108
всех Lk , приравнивая ее к нулю для тех элементов в Lk 1 , которые не
принадлежат x  .
Очевидно, количество уровней иерархии графа-модели больше двух.
Пусть x1 , x2 ,..., xn — элементы одного уровня иерархии (вершины одного уровня
корневой структуры графа ИТС). Первоначально веса вершин w1 , w2 ,..., wn
определяются весом влияния (приоритетом)
элемент
yj
x1 , x2 ,..., x n на смежный с ними
предыдущего уровня. Для этого формируется матрица
A
размерности n  n парных сравнений силы влияния x1 , x2 ,..., xn на y j , для чего
используются полученные на первом шаге коэффициенты эффективной работы.
Элементы a ij матрицы A будем определять по следующему правилу с
использованием шкалы с целыми значениями {1,2,...,9} , приоритетность которой
по сравнению с другими шкалами обоснована в [94]:

1, если f i и f j имеют одинаковые значения

3, если f i незначительно больше f j
1
 , если f j незначительно больше f i
3
5, если f i значительно больше f j

1
aij   , если f j значительно больше f i
, i, j  1, n.
5
7, если f i явно больше f j

 1 , если f явно больше f
j
i
7
9, если f абсолютно превосходит f
i
j

1
 , если f j абсолютно превосходит f i
9
(5.70)
Конечно совсем не обязательно определять верхний предел шкалы как 9.
Однако необходимо отметить, что использование более высокого верхнего
предела шкалы парных сравнений, в частности, использование диапазона от 0
до  может оказаться нецелесообразным или даже бесполезным, т.к.
109
предполагает, что человеческое суждение каким-то образом способно оценить
относительное превосходство любых двух объектов, что вообще говоря, не
соответствует действительности. Как хорошо известно из опыта, способность
человека различать находится в весьма ограниченном диапазоне, и когда
имеется значительная несоразмерность между сравниваемыми объектами или
действиями, заключения тяготеют к тому, чтобы быть произвольными, и
обычно оказываются далекими от действительности. Таким образом, шкала
должна иметь конечный диапазон. Пределы должны быть довольно близкими в
диапазоне, который отражает действительную возможность производить
относительные сравнения.
Способность человека определять качественные разграничения хорошо
представлена пятью категориями: равный, слабый, сильный, очень сильный и
абсолютный. Можно принять компромиссные категории между соседними,
определенными выше, когда нужна бóльшая точность, что приводит к девяти
значениям, которые могут быть хорошо согласованы. Удобства такой шкалы
подтверждаются практикой [94]. Кроме того, часто используемый для оценки
отдельных предметов практический метод заключается в классификации
стимулов в трихотомию зон: неприятия, безразличия, принятия. Для более
тонкой классификации в каждую из этих зон заложен принцип трихотомии:
деление на низкую, умеренную и высокую степени. Таким образом, снова
имеется девять оттенков значимых особенностей.
Как вытекает из (5.70), aii  1, i  1, n , а для внедиагональных элементов:
aij 
1
, i, j  1, n .
a ji
Такая
матрица
A
называется
обратно-симметричной
(reciprocal matrix [94]). Числа 2,4,6,8 и их обратные значения используются при
составлении матрицы попарных сравнений для облегчения компромиссов
между немного отличающимися от основных суждениями. Полученная
матрица должна быть как можно более согласованной. В общем случае под
согласованностью суждений подразумевается то, что при наличии основного
массива необработанных данных все другие данные логически могут быть
110
получены из них, используя отношение транзитивности [94]. Матрицу A
назовем согласованной, если aik  aij a jk , i, j, k  1, n . Мерой согласованности
выступает максимальное СЗ матрицы
A,
а соответствующий СВ [74]
обеспечивает упорядочение приоритетов. Действительно, очевидным для
согласованности матрицы является случай, когда сравнения основаны на
точных измерениях, т.е. искомые веса w1 , w2 ,..., wn известны. Тогда
aij 
wi
, i, j  1, n ,
wj
aij a jk 
Из (5.80) вытекает, что
n

j 1
aij
wj
wi
(5.80)
wi w j
w
 i  aik , i, j , k  1, n .
w j wk wk
 1, i, j  1, n .
Тогда
n

j 1
aij
wj
wi
 n, i  1, n ,
или
aij w j  nwi , i  1, n , а в матричном виде :
Aw  nw ,
(5.90)
т.е. w — СВ A , соответствующий СЗ n .
Рассмотрим соотношение (5.90) подробнее:
 w1

 w1
w
 2
 w1


 wn
w
 1
w1
w2
w2
w2

wn
w2
w1 

wn 
 w1 
 w1 
 
w2   
  w2 

w 
wn     n  2  .


 
    
w 
  wn 
 n
wn 

wn 

(5.100)
Из (5.100) очевидно, что все вектор-столбцы (вектор-строки) матрицы A
коллинеарны (их соответствующие координаты пропорциональны), ранг A
111
равен единице, а ее спектр содержит единственное ненулевое СЗ. Известно [74],
что сумма СЗ матрицы и ее след tr ( A) , где
n
tr ( A)   aii ,
(5.110)
i 1
связаны соотношением:
n

i 1
i  tr ( A) .
(5.120)
В силу свойств A из (5.120) с учетом (5.110) получаем, что
n

i 1
i  n ,
(5.130)
тогда единственное ненулевое СЗ A , исходя из (5.130), определяется как
max  n .
В соответствии с теоремой Перрона [74], собственному значению  max
соответствует СВ wmax матрицы A с положительными координатами. Для
обеспечения единственности
wmax будем рассматривать нормированные СВ.
При этом норму вектора w определим как [46]:
n
w   wi .
i 1
Тогда для wmax в соответствии с (5.135) получим:
(5.135)
112
n
wmax   wmax i  1 ,
i 1
где wmax i , i  1, n , — компоненты вектора wmax .
Таким образом, при согласованности матрицы A (идеальный случай)
ее
наибольшее
СЗ
равно
n,
более
того,
можно
показать,
что
положительная обратносимметричная матрица согласована тогда и только
тогда, когда max  n .
Однако выполнение требования (5.80) на практике нереально: a ij будут
отклоняться от «идеальных» отношений
будет
иметь
места.
В
силу
чувствительность СЗ, в частности
для
установления
которой
wi
, а потому соотношение (5.90) не
wj
этого
чрезвычайно
 ma x ,
важное
важным
к возмущающим
значение
имеют
является
воздействиям,
следующие
2
теоремы.
Теорема 4.6. СЗ матрицы T являются непрерывными функциями ее
элементов.
Доказательство.
Поскольку
СЗ
матрицы
T
—
это
корни
ее
характеристического многочлена
det(T   I )  0 ,
(5.137)
коэффициенты которого представляют из себя полиномиальные, а значит,
непрерывные функции от элементов матрицы, то достаточно показать, что
корни многочлена — непрерывные функции его коэффициентов.
Число корней многочлена P ( det(T   I )  0 ), находящихся внутри контура
 , равно [98]:
1 P' ( z )
dz
2 i  P( z )
(5.140)
113
При малом возмущении P значение
P' ( z )
также возмутится мало (поскольку
P( z )
P — многочлен, то P ' — также многочлен), что приведет к малому же
изменению значения выражения (5.140), а ввиду того, что величина (5.140)
является целочисленной, то в действительности она не изменит своего значения
вообще. Таким образом, количество корней внутри  останется тем же. Но
тогда корни в результате возмущающего воздействия не смогут оказаться вне
контура  , как бы мал этот контур не был, если возмущение P достаточно
мало. В силу этого корни являются непрерывными функциями коэффициентов
многочлена, а значит и элементов матрицы.
Теорема 4.7. Пусть T — неотрицательная неприводимая матрица общего
вида, т.е. все элементы t ij матрицы T
неотрицательны, и посредством
T
0
 , где T1 , T2 —
перестановок она не может быть представлена в виде  1
T
T
2
3


квадратные матрицы, 0 — нулевая матрица. Тогда
n
min
i
t
j 1
n
ij
max  max  t ij ,
i
n
min
j
(5.150)
j 1
n
 t ij max  max  t ij .
i 1
j
(5.160)
i 1
Доказательство. По теореме Фробениуса СВ матрицы T , отвечающий  max ,
имеет положительные компоненты и, с точностью до постоянного множителя,
единственен. Обозначим l  1,1,...,1T . Компоненты вектора T l представляют
собой
суммы
n
строк
M  max  t ij  max T l i , тогда
i
j 1
i
матрицы
T.
Пусть
m  min
i
n
t
j 1
ij
 min T l i ,
i
114
ml  T l  M l .
(5..17)
Неравенство (5..17) понимается в покомпонентном смысле. Равенство в (5..17)
будет наблюдаться только в случае, когда m  M .
Пусть w — левый СВ матрицы T , отвечающий  max :
wT T   max wT .
(5..18)
Умножая обе части неравенства (5..17) на w T слева, а (5..18) на l справа,
соответственно получим
wT ml  wT T l  wT M l ,
(5..19)
wT T l   max wT l .
(5..20)
Подставляя правую часть (5..20) в (5..19), имеем:
wT ml  max wT l  wT M l .
(5..21)
Деление (5..21) на положительное число wT l приведет к неравенству (5.150).
Аналогично доказывается и (5.160).
Исходя из теорем 4.6, 4.7 и принимая во внимание исследования,
проведенные в [94] для положительных обратно-симметричных матриц, можно
заключить, что малые возмущения элементов a ij положительной обратносимметричной матрицы приведут к малым же возмущениям ее СЗ, а это
означает, что  max , являющееся максимальным СЗ при решении задачи
Aw  max w
(5.180)
115
с реально сформированной матрицей парных сравнений (элементы a ij
отклоняются от отношений
Отклонение  max от
wi
), останется близким к n , а остальные СЗ к нулю.
wj
n является мерой согласованности матрицы A . В силу
этого, отношение
(max  n) /( n  1)
(5.190)
называется индексом согласованности. Удовлетворительным считается случай,
когда значение (5.190) меньше или равно 0.1. Если получен индекс
согласованности, превышающий 0.1, то допускается «пересмотр суждений»,
т.е. корректировка матрицы A . Одним из наиболее часто используемых для
этого способов является итерационный метод последовательной корректировки
на каждой итерации тех элементов A , для которых абсолютная разность между
a ij и
wi
w
является наибольшей, при помощи замены a ij на i и пересчета
wj
wj
вектора приоритетов [94].
Установим
иерархической
теперь
модели
приоритет
каждого
элемента
построенной
информационно-технологической
системы
относительно главной цели — Системы в целом. Иными словами, определим
приоритеты (весовые коэффициенты) для вершин любого уровня корневой
структуры
графа-модели
относительно
вершины
s = L1 ,
являющейся
максимальным элементом иерархии (корнем дерева).
Третий
шаг.
Пусть


Y  y1 ,..., y mk  Lk ,
а


X  x1 ,..., x mk 1  Lk 1 .
В
соответствии с замечанием 4.11, можно предположить, что Y  Lk , X  Lk 1 .
Пусть элемент z  Lk 1 , такой, что любой элемент множества Y принадлежит
множеству z  . Для каждого элемента xi , i  1, mk 1 определен приоритет этого
элемента wy ( xi ) по отношению к каждому элементу y j , j  1, mk предыдущего
j
116
уровня. Для каждого элемента y j из уровня иерархии Lk определен его
приоритет w z ( y j ) относительно z  Lk 1 (рис.4.12). Если через w обозначить
функцию приоритета элементов из X относительно z , то
mk
w( xi )   w y j ( xi ) wz ( y j ), i  1, mk 1 .
(5.200)
j 1
Соотношение (5.200), по сути, представляет из себя процесс взвешивания
приоритетов xi относительно элементов y j при помощи приоритетов y j
относительно z . Соотношение (5.200) может быть записано в матричном виде:
W  BW ,
(5.210)
где элементы матрицы B
определяются
как
i  1, mk 1 ,
bij  wy j ( xi ),
j  1, mk , элементы векторов
W , W — это w( xi ) , i  1, mk 1 ,
и
j  1, mk ,
wz ( y j ) ,
соответственно.
Таким
образом, каждый процесс
пересчета
элементов
приоритетов
x ,..., x 
1
m k 1
соответствии с (5.210) потребует
O(mk 1 mk )
арифметических операций.
(5.220)
в
117
Очевидно,
x ,..., x   L
1
m k 1
уровней
k 1
процесс
последовательного
вычисления
приоритетов
можно продолжить по индукции относительно элементов
Lk 2 ,..., L1 , тем самым определяя
приоритеты любого элемента
иерархии относительно главной цели L1 .
Для неполной иерархии рассматриваемой графовой модели ИТС
пересчет приоритетов по формуле (5.200) потребует гораздо меньше
вычислительных затрат, чем определено в соотношении (5.220). Каждый
элемент x1 ,..., x m
k 1
 L
k 1
будет иметь ненулевое значение приоритета только
относительно одного элемента y j предыдущего уровня Lk (рис.4.13). Тогда
формула (5.200) для пересчета приоритетов примет вид:
w( xi )  w y j ( xi ) wz ( y j ), i  1, mk 1 ,
где y j — это единственный элемент предыдущего уровня иерархии, для
которого
wy j ( xi )  0 .
Таким
образом, для одного пересчета
приоритетов
x ,..., x 
элементов
1
m k 1
потребуется mk 1 аифметических
операций.
Для
того,
вычислить
некоторого
построенной
графовой
чтобы
приоритет
элемента
xi
иерархической
модели
ИТС
относительно его влияния на
систему в целом, необходимо перемножить приоритеты узлов простой цепи,
соединяющей xi с s , что потребует количества арифметических операций, на
единицу меньшего номера уровня иерархии, содержащего xi .
118
4.1.2.9. Моделирование
атаки
на
защищенную
информационую систему.
Пусть атака на ИТС направлена непосредственно на конкретное средство
защиты
(в
xi
математическим
графе-модели
ему
отвечает
выражением
такой
атаки
лист).
будет
В
общем
уменьшение
случае
весовой
коэффициент w( xi ) атакованного средства.
Уменьшение w( xi ) приведет к возмущению матрицы смежности G графа
ИТС, что, в свою очередь, вызовет возмущение ее СЗ. Первоначально матрица
G является положительно полуопределенной (положительно определенной).
После возмущения данное свойство может быть нарушено. В частности, если
w( xi ) станет равным нулю (средство xi выведено из строя), это, в соответствии
с теоремой 4.4, обязательно приведет к появлению отрицательного СЗ в
возмущенной
матрице
смежности
графа.
Как
было
показано
выше,
необходимый ответ системы на атаку должен привести минимальное СЗ
матрицы смежности к виду: min  0 , чтобы его знаком можно было пренебречь.
Такой результат может быть достигнут за счет увеличения весов неатакованных
средств защиты. Модификация весов должна быть проведена в соответствии с
установленными выше относительными приоритетами элементов ИТС. При
помощи предложенного метода количественной оценки составных элементов
системы пересчитаем весовые коэффициенты всех узлов графа-модели,
предварительно изменив количество положительных исходов работы элементов
в соответствии с матрицей S , построенной в п.4.1.2.8. Очевидно, что с выходом
из
строя
некоторого
средства
защиты,
веса
оставшихся
средств,
соответствующие узлы которых не лежат в графе-модели на простой цепи,
соединяющей
xi
с s
(рис.4.13), не уменьшатся. Среди имеющихся в
распоряжении СЗИ средств защиты есть как постоянно действующие, так и
активируемые
при
обнаружении
попытки
нападения.
Возрастание
119
весового коэффициента для средств второго типа будет означать
их
активацию.
Таким образом, ответ системы на атаку моделируется путем пересчета
весовых коэффициентов элементов СЗИ, что приводит к активации некоторых
средств защиты. Если такой ответ не приведет матрицу смежности графамодели ИТС к виду, для которого min  0 , то ответ СЗИ недостаточный,
необходимо подключение дополнительных средств, не входящих в нее до
атаки.
Замечание
4.12.
Обнуление
или
уменьшение
w( xi )
приведет
к
возмущению СЗ матрицы смежности G графа-модели, что в математическом
смысле и вызовет необходимость ответа системы на предпринятую атаку. Если
происшедшие возмущения не каснулись максимальных СЗ, в первоначальных
возмущениях которых хранится информация, циркулирующая в системе, или
лишь незначительно возмутили их (возмущающее воздействие сравнимо с
воздействием шума округлений), то считаем, что информация при атаке не
пострадала. В противном
случае
несанкционированный
доступ
к
информации произошел.
Замечание
4.13.
Ответ
ИТС
заключается
в
пересчете
весовых
коэффициентов. Если граф системы имеет достаточно большую размерность,
возникает проблема численной обработки такого графа (большое количество
арифметических
операций
для
пересчета
весов).
Полезным
способом
исследования большого числа элементов, попадающих на один уровень
иерархии, является группирование их в кластеры в соответствии с их
относительной важностью (таким образом, можно получить кластер самых
важных элементов, кластер элементов умеренной важности, а также малой
важности). Попарно сравнивается относительное воздействие кластеров
на соответствующий критерий (элемент) из расположенного выше уровня.
После анализа кластеров элементы в каждом из них попарно сравниваются по
их относительной важности в этом кластере. Если их слишком много, то
120
они вновь могут быть сгруппированы в кластеры. В [94] показано, что
группировкой
в
кластеры
можно
получить те же
самые
результаты,
что и при общем подходе.
4.1.2.10. Динамическая модель защищенной информационнотехнологической системы
Необходимость пересчета весов вершин графа при моделировании атаки на
систему
неявно
приводят
к
динамической
технологической
системы.
Основное
модели
расчетное
информационно-
соотношение
(5.180)
принимает вид:
A(t ) w(t )  max (t ) w(t ) ,
(5.230)
определяя все составляющие его части как функции времени t . Хотелось бы
иметь решение задачи (5.230), выраженное в явном виде через коэффициенты
aij (t ) матрицы A(t ) . При работе с динамическими дискретными функциями aij (t )
их обычно аппроксимируют линейными, степенными, показательными,
логарифмическими функциями. Исходя из специфики построения графовой
модели, коэффициенты A(t ) являются кусочно постоянными функциями на
всем
промежутке
функционирования
информационно-технологической
системы, претерпевая разрывы первого рода [51] в точках t  t i , отвечающих
времени атаки на систему или времени ответа системы на произведенную
атаку.
Для получения точного значения max (t ) необходимо найти корни
характеристического многочлена (5.137) для A(t ) , степень которого равна
размерности матрицы A(t ) . Получить корни многочлена прямыми методами в
произвольном случае возможно, когда степень многочлена не превосходит
121
четырех [45]. Пусть, например, размерность A(t ) равна 2. Матричное уравнение
(5.230) будет иметь вид:
 1 a(t ) 

  w1 (t ) 
 w (t ) 
  max (t ) 1  .
 1 1  
 w2 (t ) 
 a(t )
  w2 (t ) 


(5.240)
При этом характеристическое уравнение для матрицы A(t ) определяется
следующим образом: (1   ) 2  1  0 , а значит max (t )  2 независимо от значения
t , откуда сразу вытекает, что любая кососимметричная положительная матрица
является согласованно. Поскольку
rank  A(t )  1 ,
то из системы (5.240)
достаточно рассмотреть одно уравнение, например, первое, из которого
получаем, что
w1 (t )  a(t )w2 (t ) .
Зафиксировав
произвольным
w(t )  w1 (t ), w2 (t )  ,
T
образом
например,
одну
w2 (t )  1 ,
из
получим
компонент
вектора
w(t )  a(t ),1 ,
T
а
T
 a(t )
1 
 . В случае
,
нормализованный вид для вектора приоритетов ― 
 a(t )  1 a(t )  1 
кусочно-постоянной функции a(t ) значения приоритетов будут меняться только
в точках t  t i , где a(t ) претерпевает скачок. Аналогичные результаты,
выражающие компоненты вектора приоритетов через функции, являющиеся
компонентами матрицы сравнений, могут быть получены в случае, когда
размерность матрицы A(t ) будет равна 3 или 4. Так в [99] показано, что  max в
случае, когда A(t ) — 3 3 -матрица при aij 
 a

1
3
1
представляется в виде:
a ji
a a 
1
3
max   13    12 23   1,
 a12 a 23   a13 
122
а элементы соответствующего СВ будут равны:
w1 (t ) 
a12 a 23  a13 max  1
,
a13
2
a12 a 23  a13 max  1a 23 
 1  max  1
a12
max
w2 (t ) 
a12 a 23  a13 max
 1a 23 
a13
a12
a
2
 1a 23  13  1  max  1
a12
,
(5.250)
 1  max  1
.
w3 (t ) 
a13
2
a12 a 23  a13 max  1a 23 
 1  max  1
a12
2
Если рассмотреть обратносимметричную матрицу A(t ) размером
4 4 с
элементами, которые являются функциями времени, то можно показать, что
вектор приоритетов определяется в зависимости от элементов матрицы
следующим образом:
w1 
w0
w10
w0
w0
, w2  2 , w3  3 , w4  4 ,
Q
Q
Q
Q
где

 1
a 
1 
3
2
a14  24  
Q  max  1  a14  a 24  a34 max  1  a12 a 24  3  a13  a 23 a34  

a 23 
 a12 a13 

,

a a
a a  a a  a12 a 24 a14  a13 
 max  1  a12 a 23 a34  a12  a 24  a34    13 24  13 34   14 23

a 23 a12 
a13
a12 a 23 
 a 23

123


a a
2
w10  a14 max  1  a12 a24  a13 a34 max  1   a12 a23 a34  13 24  a14  ,
a23


a a


a a
a 
2
w20  a24 max  1   a 23 a34  14 max  1   13 34  14 23  a 24  ,
a12 
a13

 a12

(5.260)
a
 a

a 
a a
2
w30  a34 max  1   24  14 max  1   14  12 24  a34  ,
a13
 a 23 a13 
 a12 a23

a a

a
2
w40  max  1  3max  1   12 23  13  a34  .
a12 a 23
 a13

Замечание 4.14. При анализе выражений для компонент вектора
приоритетов (5.250), (5.260) становится
очевидным, что
если любой
коэффициент в данной строке матрицы парных сравнений увеличивается
(уменьшается),
то
величина
компоненты
СВ,
соответствующей
этой
строке, увеличивается (уменьшается) относительно остальных компонент.
Это
свойство
присуще
и
общему
случаю
обратносимметричной
матрицы.
Замечание 4.15. Уменьшение коэффициента в строке матрицы парных
сравнений для модели ИТС означает, что средство защиты, отвечающее этой
строке, подверглось атаке, которая привела к частичному или полному
выведению его из строя. В соответствии с замечанием 4.14, его приоритет
(компонента СВ) уменьшится относительно остальных компонент, что
находится
системы.
в
полном
соответствии
с
реальным
функционированием
124
Пусть размерность
A(t )
больше четырех. Используем
подход разложения иерархии
на кластеры. Для этого для
каждого
узла
y j  Lk 1
множество всех смежных с
ним узлов из уровня
Lk
разбиваем не более, чем на 4
кластера
(рис.4.14).
приведет к тому, что
для
матрицы
A(t )
попарных
сравнений
воздействия
Это
max (t )
кластеров
на
соответствующий критерий ( y j  Lk 1 ) можно будет точно выразить через
коэффициенты A(t ) . Дальнейшие действия аналогичны описанным в замечании
4.13. Очевидно, что для возможности последовательного выражения весов
вершин через коэффициенты матриц попарных сравнений количество
кластеров, влияние которых исследуется на конкретный элемент иерархии, при
разбиении необходимо не должно превосходить четырех.
4.1.2.11. Энергетическая
ценность
информационно-
технологической системы
Весовые
коэффициенты
вершин
построенного
графа-модели
ИТС
отражают реальную значимость объектов, которым они соответствуют, для
функционирования всей системы, а значит матрица G
несет в себе
информацию о совокупной «ценности» системы и относительной ценности ее
составных частей. Посмотрим на матрицу G как на цифровое представление
некоторого двумерного сигнала. Этот сигнал однозначно определяет ИТС.
Одной из основных характеристик сигнала с матрицей G размерности
n  n является его энергия E [52]:
125
n
n
m 1 n 1
E   g ij   P(u, v) ,
2
i 1 j 1
(5.265)
u 0 v 0
где P(u, v), u, v  0, n  1 , — энергетический спектр сигнала F [100].
Таким образом, одной из числовых характеристик ИТС является энергия
сигнала G .
Существует
определенное
соответствие
между
элементами
энергетического спектра и сингулярными тройками матрицы исходного
сигнала.
Определение 4.5. Назовем
k
Fk    i u i viT
i 1
аппроксимацией ранга k изображения F ,
Fkd 
n
 u v
i  k 1
i
T
i i
дополнением к аппроксимации Fk ,
S k   k u k v kT
k -й составляющей изображения F .
Для наглядной иллюстрации связи между энергетическим спектром и
составляющими сигнала, определяемыми совокупностями его сингулярных
троек, рассмотрим аппроксимации различного ранга, а также дополнения к
аппроксимациям
на
примере
изображения
CAMERAMAN
(рис.4.15).
Результаты визуально аналогичны результатам низкочастотной (рис.4.15(б,в)) и
126
высокочастотной фильтрации (рис.4.15(д,е)) [100]. Варианты а и г (рис.4.15)
зрительно не отличаются друг от друга. Легко предположить, что сингулярные
127
Рис.4.15. Изображение CAMERAMAN и его аппроксимации. Исходное
изображение (а); F5 (б); F20 (в); F150 (г); F5 (д); F40 (е)
d
d
тройки, соответствующие наименьшим СНЧ матрицы исходного сигнала,
неприсутствующие
исходного
сигнала
в
F150 ,
отвечают
(основной
вклад
высокочастотным
в
энергию
составляющим
сигнала
вносят
его
низкочастотные составляющие [52,100,101]). Исходя из рассмотренных
результатов,
выдвигается
наибольшим
СНЧ
гипотеза:
соответствуют
сингулярные
низкочастотным,
тройки,
а
отвечающие
наименьшим
—
высокочастотным составляющим исходного сигнала.
В вычислительном эксперименте, целью которого являлась проверка
выдвинутой гипотезы, использовалось более 300 различных по размерности,
яркости, фактуре и т.д. изображений в градациях серого. Для наглядной
иллюстрации основных результатов ниже в качестве исходного сигнала
рассмотрена главная подматрица WW матрицы изображения POUT размерности
11 11 ,
дающая типичную качественную картину. Будем обозначать матрицу
центрированного энергетического спектра [100] произвольной матрицы A как
SPECTR (A) .
Рассмотрим для WW центрированные энергетические спектры
некоторых ее составляющих, аппроксимаций и дополнений к аппроксимациям
128
(рис.4.16 — жирным шрифтом выделены наибольшие (и наименьшие значения
спектральных коэффициентов)). Как видно из приведенных результатов,
сингулярные тройки, отвечающие максимальным СНЧ,
соответствуют
низкочастотным составляющим сигнала-изображения. По мере уменьшения
СНЧ, происходит подключение средних и высоких частот, а вклад низких
становится все меньше. Наименьшие СНЧ отвечают
составляющим двумерного цифрового сигнала.
высокочастотным
129
Рис.4.16. Матрицы центрированных энергетических спектров
Для установления взаимосвязи между энергетическим спектром и СНЧ
матрицы исходного сигнала определяющей является локализация ответных
возмущений
коэффициентов
дискретного
преобразования
Фурье
при
возмущениях различных СНЧ. При проведении вычислительного эксперимента
было установлено:
 возмущения наибольших СНЧ приводят к возмущениям в центральной
части соответствующей матрицы центрированного энергетического
спектра,
оставляя
практически
неизменными
высокочастотные
составляющие спектра;
 возмущения малых СНЧ влекут за собой значительные возмущения
высокочастотных составляющих энергетического спектра и практически
не затрагивают другие частотные составляющие.
130
Например, если значение  10  0.5704 положить равным 0.0008, матрица
относительных
возмущений
(погрешностей)
каждого
элемента
центрированного энергетического спектра, вычисленных в процентах, будет
иметь вид (жирным шрифтом выделены максимальные относительные
погрешности):
Таким
образом,
результаты
эксперимента
дают
основания
для
практического подтверждения выдвинутой гипотезы.
Установленная связь между частотным спектром сигнала и множеством
СНЧ соответствующей матрицы дают логические предпосылки для следующей
теоремы.
Теорема 4.8. Энергия двумерного цифрового сигнала F равна сумме
квадратов СНЧ его матрицы.
Доказательство. SVD (3.80) матрицы
F
эквивалентным образом
представимо в виде суммы внешних произведений, подобно (3.120):
n
F  UV T    i u i viT .
i 1
131
Такое представление разбивает F на n сигналов  i u i viT , суммарная энергия
которых дает E (5.265) [101]. Энергия сигнала  i ui viT   i u1i ,, u m i T v1i ,, vn i  в
пространственной области будет равна:


 i 2 u1i 2 v12i  ...  u12i vn2i  u 22i v12i  ...  u 22i vn2i  ...  u m2 i v12i  ...  u m2 i vn2i =
  i2 (u12i ( v12i  ...  vn2i )  ...  u m2 i ( v12i  ...  vn2i )) 



  i2 u12i  ...  u m2 i v12i  ...  vn2i   i2 .
Таким образом, полная энергия сигнала F определяется как
E   1  ...   n .
2
2
Следствие. Энергия двумерного цифрового сигнала, матрица которого
является симметричной, равна сумме квадратов СЗ матрицы
E  1  ...  n .
2
2
(5.270)
Определение 4.5. Назовем энергетической ценностью ИТС энергию
матрицы смежности G ее графа-модели, рассматриваемой как двумерный
сигнал.
В
соответствии
энергетическая
с
ценность
определением
ИТС
4.5
полностью
и
соотношением
определяется
(5.270)
спектром
матрицы G .
В случае, если сигналы мало отличаются друг от друга, мало отличие и
между значениями их энергий. Обратное, вообще говоря, не верно. Но если
числовые значения энергий двух сигналов сильно разняться между собой, то
132
необходимо будет и значительное различие между сигналами. Такие
рассуждения намечают еще один путь анализа состояния информации,
хранимой в системе, основанный на анализе возмущения энергетической
ценности ИТС, произошедшего в результате воздействия на систему
атаки.
Если все СЗ G неотрицательные, то в соответствии с (5.270) увеличение
или уменьшение СЗ приводит к аналогичному изменению энергии двумерного
сигнала. В противном случае, если имеются СЗ разных знаков, а именно это
происходит при моделировании полного выведения из строя некоторого
средства защиты системы, этого утверждать нельзя. Если ответ СЗИ на атаку
приведет наименьшее СЗ к значению, знаком которого можно пренебречь, то
значительное отличие энергетических ценностей системы до воздействия и
после ответа на атаку при их сравнении будет необходимо требовать
дополнительных действий по корректировке СЗИ с привлечением новых
средств защиты.
4.2. Анализ
адекватности
системы
защиты
информации
предполагаемому противнику
4.2.1. Модель противника.
Разработка математической модели информационно-технологической
системы немыслима без разработки модели предполагаемого для системы
противника [102-103]. После трагических событий 11 сентября 2001 года
вопрос разработки адекватных математических моделей противника, и не
только информационного (различных террористических организаций и других
типов криминальных групп) с целью привлечения строгого математического
аппарата и вычислительной техники для автоматизации разработки возможных
путей борьбы с террористическими группировками, а также для формализации
133
анализа результатов контртеррористических действий встал очень остро сам по
себе.
Будем
рассматривать
противника
информационно-технологической
системы как частный случай террористической группы.
4.2.1.1. Анализ традиционных путей при моделировании
группы противника
Традиционным путем для представления группы людей с указанием
взаимных отношений между ними является использование теории графов
[81,104-106]. Это обусловлено рядом факторов, среди которых наглядность
получаемой модели, возможность адекватного отражения при помощи
стандартных операций на графах реальных действий над группами и событий в
группах, существованием разработанного математического аппарата для
работы с графами, включая большое количество хорошо зарекомендовавших
себя на практике эвристических методов обработки.
В настоящий момент в научном мире чрезвычайно активизировалась
работа по математическому моделированию террористических организаций и
других типов криминальных групп [106-109]. Однако существующие модели,
информация о которых доступна из открытой печати, далеки от совершенства.
Так графовые представления террористической группировки, предложенные в
[107,108], носят ограниченный и недостаточно информативный характер,
поскольку не учитывают иерархию организации. Попытка такого учета была
предпринята в [106] за счет введения в рассмотрение упорядоченного
множества вершин графа, хотя автор не определяет строго на рассматриваемом
множестве необходимое бинарное отношение,
обладающее свойствами
рефлексивности, транзитивности и антисимметричности, без введения которого
рассмотрение
упорядоченности
множества
невозможно.
Аналогичный
результат очевидно был бы легко получен автором [106] при помощи перехода
от неориентированного графа к ориентированному. Такой переход для
134
повышения информативности графа за счет учета иерархии моделируемой
группы предлагается в [110]. Однако ориентация ребра между двумя
вершинами-индивидуумами, основанная на учете лишь количества связей
каждого из них (учет степеней соответствующих вершин графа) ставит под
сомнение адекватность получаемой модели, т.к. возможна такая организация
террористической группы, когда лидеры будут иметь минимальное количество
непосредственных связей с подчиненными, оказываясь таким образом совсем
не на верхних ступенях иерархической лестницы.
Таким образом, до настоящего момента не существует адекватной
математической
модели
террористической
группировки,
полностью
отражающей ее реальную иерархию и взаимосвязь между членами, модели,
позволяющей удовлетворительно формализовать решение традиционных в этой
предметной области задач: об уничтожении криминальной организации,
ограничении ее деятельности и т.д.
В настоящей работе предлагается общая графовая модель произвольной
группы противника со строго обоснованным учетом иерархии этой группы при
помощи использования взвешенного неориентированного графа, что, исходя из
материалов, доступных из открытой печати, не делалось ранее. Введение
значений
веса
для
вершин
и
ребер
происходит
при
максимальном
использовании априорной информации о моделируемой криминальной группе
(противнике).
Предлагаемая
математическая
модель
дает
возможность
для
использования новых, не применяемых ранее, методов обработки графов для
решения задачи о разрушении моделируемой группировки, а также численной
оценки ущерба, наносимого противнику посредством контртеррористических
действий.
4.2.1.2. Повышение информативности модели противника за
счет использования взвешенного графа.
135
Рассмотрим задачи, связанные с организацией контртеррористических
действий, решение которых осуществляется с использованием графовых
математических
моделей
противника.
Отдельные
индивидуумы
представляются в такой модели в виде узлов (вершин), пары которых
соединяются ребром при существовании определенной взаимосвязи между
соответствующими членами рассматриваемой группы.
Пусть организация противника в своей иерархии имеет 3 основных
уровня: лидера (руководителя) или нескольких лидеров, представителей
связующего звена и непосредственных исполнителей. Самый простой вариант
графовой модели (неориентированный невзвешенный граф), где ребра
соединяют вершины в том случае, если между соответствующими им членами
существует
непосредственная
связь,
представлен
на
рис.4.17
(узлы,
соответствующие лидерам
организации,
среднему
звену и исполнителям, для
наглядности
имеют
соответственно
черный,
темный и светлый серый
цвет).
является
Граф
очевидно
связным.
Как
правило, непосредственной
связи между лидерами и
исполнителями
существует,
хотя
не
такая
возможность и не исключается. Традиционно графовые модели противника
служат для решения следующих задач:
1. Определение членов противника, блокирование (удаление) которых
реально возможно осуществить, при этом блокирование приведет к
распаду организации противника на несколько несвязанных между собой
подгрупп. Результатом такого распада может оказаться как полное
136
уничтожение
группы (прекращение ее функционирования),
так
и
снижение эффективности ее деятельности.
На языке графов данная задача будет формулироваться следующим
образом:
необходимо
определить
множество
узлов
(множество,
содержащее минимальное количество узлов), удаление которых приведет
к распаду связного графа на несколько компонент связности [81-83]. Если
такое множество содержит один узел, то он называется точкой
сочленения. В примере, приведенном на рис.4.17, точкой сочленения
является
S1.
Блокирование
этого
единственного члена
группы
противника
приводит
распаду
к
на
подгруппы,
ее
четыре
причем
три из них становятся
обезглавленными», а
потому
недееспособными
(рис.4.18).
Заметим,
что такое возможно
не всегда.
2. Выделение в организации противника таких связей между его членами,
удаление которых приводит к распаду группы на отдельные части,
несвязанные
между
собой,
что
очевидно
значительно
ограничит
возможности деятельности рассматриваемой криминальной структуры.
На языке графов задача формулируется следующим образом: определить
множество ребер (минимальное множество ребер) в графе, удаление
которых приведет к его распаду на несколько компонент связности.
137
Для
получения
удовлетворительного
поставленных
задач
графовая
максимально
возможной
модель
результата
противника
информативностью,
при
решении
должна
обладать
учитывать
иерархию
рассматриваемой криминальной группировки.
Для
этого
будем
использовать
в
качестве
модели
противника
неориентированный взвешенный граф (для дополнительного учета иерархии
может служить нумерация вершин: сначала нумеруются лидеры, затем среднее
звено, последними — непосредственные исполнители).
Введение значений веса для вершин и ребер происходит при
максимальном
использовании априорной информации о моделируемом
противнике и имеет определяющее значение в предлагаемой модели.
Среди основных факторов, учет которых влияет на формирование веса
вершины в графовой модели противника информационно-технологической
системы, в первую очередь выделим:
1.
Осведомленность (ОС) конкретного члена группы о возможностях
средств защиты информации, используемых в системе и
представляющих интерес для данного индивидуума;
2.
Материальные и временные возможности (МВВ) противника
(ограниченность промежутка времени и материальных ресурсов,
выделяемых для проведения конкретной атаки);
3.
Роль (Р) рассматриваемого члена в группе противника (тем самым
учет иерархии обеспечивается автоматически).
Кроме того, при формировании весового коэффициента вершины
необходимо также учесть классификацию потенциальных нарушителей по
уровню их знаний и навыков (УЗН) обращения с системой следующим
образом:
1. Знает
функциональные
особенности
системы,
основные
закономерности ее функционирования;
2. Обладает высоким уровнем знаний и опытом работы с техническими
средствами системы;
138
3. Обладает высоким уровнем знаний в области программирования и
вычислительной
техники,
проектирования
и
эксплуатации
автоматизированных информационных систем;
4. Знает структуру, функции и механизм действия средств зашиты, их
сильные и слабые стороны.
В зависимости от того, к какой категории относится конкретный член
организации противника, определяется значение составной части весового
коэффициента узла графа, отвечающего непосредственно этому члену (чем
больше порядковый номер категории в предложенном выше перечне, тем
очевидно больше должно быть значение весового коэффициента).
Замечание 4.16. Определение весовых коэффициентов вершин графамодели предполагаемого противника ИТС (приоритетов членов группы) может
быть проведено, например, с использованием классической схемы МАИ, где в
качестве критериев, по которым определяются приоритеты, используются ОС,
МВВ, Р, УЗН.
Вес ребра, соответствующий приоритетности отвечающей ему линии
связи, также может определяеться МАИ со следующими критериями:
1) реальная ценность информации, передаваемой при помощи данной
линии связи (например, в большинстве случаев можно предположить,
что информация, поступающая от руководителей группы, является
более важной, чем информация, которой обмениваются между собой
непосредственные исполнители);
2) надежность рассматриваемой линии связи (например, связь при
непосредственном контакте является, очевидно, более надежной, чем
при использовании телефонной линии).
Пример взвешенного графа-модели приведен на рис.4.19 (порядок
нумерации соответствует иерархии членов организации, в середине узла — его
номер, рядом с узлом — его вес, рядом с ребром в скобках — вес ребра).
139
Замечание
4.17.
Использование
графа
при
взвешенного
моделировании
организации противника дает
возможность
иерархию,
учесть
не
ее
переходя
ориентированному
к
графу.
Такой переход, как правило,
осложняет процесс обработки
графа. Кроме того, матрица
смежности
неориентированного
графа
обладает симметричностью, что дает возможность в некоторых алгоритмах
обработки
графов
значительно
сократить
количество
необходимых
арифметических операций [Дж.+Лю].
4.2.1.3. Анализ
структуры
и
деятельности
группы
противника на основе теории графов
Задачи 1,2 были сформулированы в общем виде. Результат блокирования
(удаления) некоторых членов или каких-то связей группы, приводящего к ее
распаду на отдельные подгруппы, в реальности может оказаться совсем
незначительным с точки зрения снижения дееспособности противника.
Например, если удалить связь между членами
S4 и D5 (мост в графовой
модели противника (рис.4.17)), это вряд ли нанесет ощутимый удар по всей
группе, т.к. оставшаяся без D5 часть сохранит как абсолютное большинство
своих членов, так и наличие всех иерархических звеньев.
Одним из основных вопросов при моделировании криминальных сетей и
активных действий над ними является вопрос о том, когда рассматриваемую
структуру
можно
считать
разрушенной,
или
уничтоженной.
Вариант
140
уничтожения всех членов группы рассматриваться не будет, т.к. несмотря на то,
что такой вариант часто является приемлемым и даже желаемым, он с большой
долей вероятности может оказаться принципиально невыполнимым (либо
невыполнимым за определенный ограниченный промежуток времени при
наличии определенного ограниченного материального ресурса).
Рассмотрим возможное решение для задачи 1, приводящее к уничтожению
противника в соответствии с [106]. В [106] для решения этой задачи по
графовой модели группы определяется множество всех простых, или
«командных», цепей [81-83], начало и конец которых отвечает лидеру и
непосредственному исполнителю соответственно. По полученному множеству
определяется совокупность узлов графа, каждый из которых присутствует хотя
бы в одной цепи, причем каждая цепь вносит в эту совокупность единственный
узел. Удаление из графа такой совокупности (cutset), разрушит все
существующие «командные» цепи. В этом случае в [106] делается вывод об
уничтожении террористической группировки. Однако непосредственного
алгоритма предлагаемой «разрушительной» операции не приводится. Более
того, при учете иерархии моделируемой организации, проводимом в [106], само
выделение «командных» цепей становится проблематичным.
Построим алгоритм для осуществления уничтожения группы противника
в смысле [106], используя в качестве модели предложенный выше взвешенный
неориентированный граф.
Для этого воспользуемся корневой структурой
уровней графа-модели с корнем в узле, имеющем наибольший вес, т.е.
отвечающем
лидеру
(вариант,
когда
значение
максимального
веса
соответствует нескольким вершинам, рассматривается ниже). Для графа,
представленного на рис.4.19, такая корневая структура уровней (КСУ) будет
иметь вид, представленный на рис.4.20. Все «командные» цепи — это очевидно
простые цепи графа, исходящие из нулевого уровня корневой структуры и
заканчивающиеся либо вершиной, степень которой равна 1, либо вершиной,
лежащей в последнем уровне КСУ; если v k , v m — две последовательные
141
вершины такой цепи, то номер уровня в КСУ, содержащего vk , не больше
номера уровня, в который попала вершина v m . Узлы, попавшие в один уровень
структуры, определят ту совокупность, удаление которой приведет к распаду
графа на смежные компоненты за счет разрыва всех цепей связи, т.е. к
уничтожению террористической группы в смысле [106]. Заметим, что при этом
не потребовалось явное определение множества «командных» цепей.
Пусть
имеется
несколько вершин с
максимальным весом.
Тогда при построении
КСУ
роль
«корня»
будет играть не один
узел:
все
вершины
графа
с
максимальными
весовыми значениями,
отвечающие
лидерам
противника,
помещаются на нулевой уровень структуры. Остальные шаги для выделения
разделяющего множества графа остаются без изменения.
Рассмотрим вариант нанесения удара по криминальной структуре, когда
во главу угла ставится уничтожение (блокирование) минимального (или просто
малого) количества ее членов. Переходя к графовой интерпретации, задача
заключается в поиске минимального разделяющего множества графа (или
разделяющего множества, содержащего малое количество вершин). Для этого,
очевидно, потребуется длинная и узкая корневая структура, в которой
целесообразно исключать узлы из того уровня, где их количество будет
наименьшим.
Самая
длинная
КСУ
отвечает
корню,
являющемуся
периферийным узлом графа [81-83]. Однако поиск периферийных узлов
142
является дорогостоящим предприятием, требуя для своего осуществления, как
правило, более, чем O( X E ) арифметических операций, где
количество вершин, а
X — это
E — количество ребер графа, и для графа большой
размерности может оказаться достаточно громоздким в вычислительном
смысле
[80].
Учитывая
псевдопериферийном
узле,
это,
будем
алгоритм
использовать
поиска
КСУ
которого
с
корнем
представлен
в
на
рис.4.21 [80].
Рис.4.21. Алгоритм поиска псевдопериферийного узла
Используем корневую структуру, приведенную
начальную
для
поиска
псевдопериферийного
на рис.4.20, как
узла
графа-модели,
представленного на рис. 4.19. В последнем уровне выберем узел с минимальной
степенью: x  12 . Проведя действия, предусмотренные алгоритмом, получим в
качестве псевдопериферийного узла x  8 , корневая структура с корнем в этом
узле изображена на рис.4.22. Уровни, содержащие минимальное количество
узлов — это первый и второй. Какой из них выбрать, чтобы нанести бóльший
вред совокупной группировке противника?
143
Преимуществом
наших
целей
второй
уровень:
для
обладает
степень
узла 5 больше, чем узла 4,
поэтому можно ожидать,
что при исключении пятого
узла количество связных
компонент,
распадется
на
которые
граф,
может
оказаться больше, чем при
исключении
(заметим,
узла
4
что
целесообразность исключения узла 5 (S1) (рис.4.17, 4.18) с целью разбиения
группы на подгруппы была установлена ранее, исходя лишь из визуального
представления графа, что при его большой размерности может оказаться
невыполнимым).
Однако
надо
заметить,
что
при
планировании
контртеррористических действий имеет значение не только количество
полученных в результате разрозненных частей группы (компонент связности
графа). Важен совокупный ущерб, наносимый группировке при удалении тех
или иных ее членов, связей. Возможна ситуация, когда разрушение
многочисленных связей некоторого индивидуума (соответствующий узел графа
имеет большую степень) может оказаться малозначительным для группы в
целом, а лишь одна разорванная связь приведет к фактическому уничтожению
противника.
Для численной оценки ущерба, наносимого криминальной группировке
исключением из ее состава некоторых членов, воспользуемся матрицей
смежности графа-модели, которую в дальнейшем будем обозначать PROT . Для
графа, представленного на рис.4.19, эта матрица имеет вид:
144
(на главной диагонали — весовые коэффициенты вершин, внедиагональные
элементы — весовые коэффициенты ребер). В силу неориентированности графа
матрица является симметричной. Она полностью определяет взвешенный граф,
а значит характеризует всю совокупную группу противника. Каждая из
характеристик
такой
матрицы
является
характеристикой
и
реальной
человеческой группы.
Назовем весовой энергией террористической группы ( E tr ) энергию
сигнала, цифровым представлением которого является матрица смежности
PROT графовой модели противника:
E tr  PROT ,
2
где  — матричная норма Фробениуса [46]. Исключение определенного члена
группы (определенной вершины графа вместе с инцидентными ребрами) для
матрицы смежности будет выражаться в удалении из нее строки и столбца,
номера которых отвечают номеру исключенной вершины. Энергию группы
после исключения из нее членов xk , xk ,..., xk будем обозначать E tr ( xk , xk ,..., xk ).
1
2
p
1
2
p
Этот числовой показатель будет использоваться для сравнения результатов
предполагаемого уничтожения тех или иных членов группировки противника.
В зависимости от итогов сравнения делается вывод о целесообразности
уничтожения конкретной совокупности членов группы. Предлагаемый для
145
определения разделяющего множества графа противника алгоритм представлен
на рис.4.23.
Замечание 4.18. В предложенном алгоритме используется сравнение
весовых энергий террористических групп после удаления их некоторых членов.
Воспользовавшись симметричностью матрицы смежности неориентированного
графа, для оценки
Etr ( Li ( x)) можно
вычислять норму не всей матрицы
смежности, а лишь ее верхней (или нижней) треугольной части, что позволит
сократить вычислительную работу по сравнению с первоначальным вариантом
практически в два раза.
Замечание 4.19. Количество арифметических операций для реализации
предложенного алгоритма определения разделяющего множества с целью
его исключения для графа с множеством вершин Х определяется как
O( X 2 ) .
Конечно, такой алгоритм не гарантирует отделение лидеров от
непосредственных исполнителей, но разбиение на связные компоненты в
любом случае приведет к ослаблению группы противника и потребует
определенного времени на ее восстановление.
146
Рис.4.23. Алгоритм для определения разделяющего множества графа
противника
Таким образом, очевидно, что использование при построении моделей
различных криминальных групп взвешенных графов является перспективным
направлением, дающим возможность учесть иерархию противника без перехода
к ориентированному графу и введения в графовую модель различных
дополнительных
математических
объектов.
Симметричность
матрицы
смежности получаемой графовой модели дает потенциальную возможность
выигрыша в количестве арифметических операций при обработке получаемого
графа
по
сравнению
с
тем
вариантом,
когда
граф
оказывается
ориентированным. Введение понятия весовой энергии террористической
группы дает основу для разработки нового подхода к проблеме численной
оценки ущерба, наносимого криминальной группе, на основании которого
строится
алгоритм
для
определения
разделяющего
множества
графа
противника.
Конечно, многие задачи, решаемые на графах, для получения точного
решения требуют полного перебора, однако наличие большого числа
эвристических алгоритмов, хорошо зарекомендовавших себя на практике при
обработке графов, дают возможность расчитывать на успешное использование
некоторых из этих алгоритмов и на графовых моделях противника.
Рассмотрим задачу, связанную с анализом структуры группы противника
и
заключающуюся
непосредственно
в
определении
такого
ее
члена,
«положение» которого в группе минимизирует затраты, конкретизируемые
ниже, на установление связей с остальными членами. Такой человек является
«максимально удобным» связующим звеном в группе: распространение любой
информации в организации наиболее эффективно, с точки зрения оптимизации
затрат, проводить с его помощью, а блокирование такого члена группы
замедлит и значительно ослабит деятельность организации в целом. Кроме
того, внедрение агента вместо уничтоженного данного члена криминальной
147
группы, позволит этому агенту установить контакт со всеми членами группы,
используя при этом минимальные совокупные затраты, что повысит
вероятность выполнения поставленной перед ним задачи в выделенный
ограниченный промежуток времени.
На
основе
предложенной
графово-матричной
модели
противника
проведем разработку эффективных методов решения поставленной задачи,
рассматриваемой как обобщение задачи о размещении пункта обслуживания на
сетях (графах), где сумма кратчайших расстояний от искомого пункта до
заданных вершин графа должна быть минимальной (оптимальное в указанном
смысле место размещения пункта обслуживания называется медианой графа).
Пусть G ( X , E ) — взвешенный граф, являющийся моделью группы
противника, где X
— множество вершин с весовыми коэффициентами
q( x)  0, x  X , каждая из которых соответствует конкретному члену группы
( X  n ), а E — множество неупорядоченных пар вершин (ребер)  x, y  ,
x, y  X , c весовыми коэффициентами l ( x, y ) , определяющими временные (или
материальные,
установление
или
суммарные
непосредственной
материально-временные)
связи
между
затраты
на
индивидуумами,
соответствующими вершинам x, y ( E  m ). Заметим, что совокупные затраты
на установление связи между определенными членами организации будут
зависеть не только от времени, но и от того, на какой ступени иерархической
лестницы оказываются рассматриваемые индивидуумы (на языке графов — от
весовых коэффициентов вершин). Ниже l ( x, y ) будем называть длиной ребра
 x, y  .
Пусть C ( x, z ) , x, z  X , — простая цепь графа G ( X , E ) , соединяющая
вершины x, z . Длиной C ( x, z ) назовем сумму длин ребер, составляющих данную
цепь. Расстоянием между вершинами
x, z  X
будем называть длину
кратчайшей из простых цепей, соединяющих x, z , и обозначать d ( x, z ) [111].
Таким образом, задача о медиане в графе-модели G ( X , E ) заключается в
нахождении такой вершины х*  Х, для которой
148
F ( x*)  min
xX
 q ( y ) d ( x, y ) .
(5.280)
yX
Вычислительная сложность решения такой задачи, очевидно, будет
зависеть
от
количества
арифметических
операций,
затрачиваемых
на
нахождение расстояний d ( x, y ) . Одним из наиболее популярных алгоритмов
нахождения d ( x, y ) является алгоритм Дейкстры [86,111], требующий для
нахождения длин кратчайших путей от заданной вершины x до всех вершин
графа O(n 2 ) операций. Тогда вычислительная сложность решения задачи (5.280)
будет определиться как O(n 3 ) , являясь значительной для графа большой
размерности .
Предлагается ряд алгоритмов решения задачи (5.280), позволяющих
существенно уменьшить количество арифметических операций для получения
окончательного результата.
Использование КСУ для решения
задачи о медиане графа-модели.
Поскольку граф-модель является связным, то количество ребер-связей m в нем
удовлетворяет соотношению [111]:
n 1  m 
(n  1)n
.
2
(5.290)
Левая часть неравенства (5.290) отвечает количеству ребер в дереве, правая — в
полном графе. Предположим, что количество существующих в
группе
противника непосредственных связей для каждого из ее членов, а значит и
совокупное количество связей, невелико и представляется, как m  O(n) (это
предположение соответствует, например, требованию обеспечения скрытности
группы). Кроме того, предположим, что большинство ребер имеют равные
весовые коэффициенты (большинство связей между непосредственными
исполнителями, а также между представителями среднего звена иерархической
149
лестницы реально оценивать с одинаковыми затратами), которые, не
ограничивая общности, мы положим для удобства равными единице. Другие
весовые коэффициенты l ( x, y )  N . Пример такой графовой модели представлен
на рис.4.24(а) (здесь рядом с каждым ребром (вершиной) отмечено значение
весового коэффициента, внутри вершины — ее номер).
Преобразуем исходную графовую модель G ( X , E )
в граф G ( X , E )
следующим образом:
1) Обозначим множество ребер графа G ( X , E ) , для которых l ( x, y )  1 , E d . На
каждом ребре  x, y  Ed введем l ( x, y )  1 дополнительную вершину, что
приведет
к
исчезновению
ребра
 x, y 
и
появлению
новых
дополнительных l ( x, y ) ребер. Все введенные новые вершины xd ,..., xd
1
p
определят множество X d , а новые ребра — E d . Тогда:
Xd  X  X ;
2) для x d  X d ,
i
E \ Ed  Ed  E ;
i  1, p , положим q ( x d i )  0 . Такой весовой коэффициент
приведет к тому, что каждая введенная вершина никак не повлияет на
решение задачи (5.280);
3) для  x, y   E d положим l ( x, y )  1 .
Таким образом, все весовые коэффициенты ребер в преобразованном
графе G ( X , E ) равны единице, количество ребер возросло незначительно. Для
примера графа-модели, изображенного на рис. 4.24(а), результат его
преобразования G ( X , E ) представлен на рис. 4.24(б).
150
Рис.4.24. Графовая модель противника: первоначальный вид (а); вид после
преобразования (б)
Для определения расстояний от произвольной выбранной вершины
x  X до любой другой вершины графа G ( X , E ) построим КСУ с корнем в
вершине
x
(для
x  1 структура представлена на рис.4.25). Очевидно,
d ( x, y ), y  X ,
номером
определяется
уровня
корневой
структуры, который содержит y ,
и
в
случае,
получаем,
когда
что
x, y  X ,
d ( x, y ) в
графе
G ( X , E ) равно расстоянию между
соответствующими вершинами в
графе G ( X , E ) . Таким образом,
вычислительные
затраты
для
определения всех расстояний от
заданной
остальных
вершины
вершин
x
до
графа
определяются количеством арифметических операций для построения корневой
151
структуры уровней, которое оценивается как 2 E [80]. Тогда совокупные
вычислительные затраты для решения задачи (5.280) определяться как 2 E X , а
в силу предположений, сделанных выше, составят O(n 2 ) арифметических
операций.
Построение дерева, изоморфного данному, в пространстве R1n 1 . Пусть
R1n 1
—
нормированное
действительных
чисел
пространство
R
с
нормой
размерности
n 1
x   xi
n 1
для
над
любого
полем
элемента
i 1
x  ( x1 , x 2 ,..., x n1 )  R1n1 ,
а
графовая
модель
группы
противника
G( X , E)
представляет из себя дерево (тогда E  n  1), причем все l ( x, y )  1 (если это не
так, вводим дополнительные вершины с нулевыми весовыми коэффициентами,
как предложено выше).
Граф G ( X , E ) может быть отображен в линейное пространство R1n 1
следующим образом. Пусть I n1 — единичный куб пространства R1n 1 :
I n1  {z  ( z 1 , z 2 ,..., z k ,..., z n1 ) 0  z k  1, k  1, n  1} .
Фиксируем
вершину x1 графа G. Теперь каждой вершине xi  X , i  1, n ,
произвольную
поставим в
соответствие точку z i в пространстве R1n 1 c координатами
z i  ( z i1 , z i2 ,..., z ik ,..., z in 1 ), i  1,2,..., n,
(5.300)
где z ik равно нулю либо единице в зависимости от того, входит или не входит в
простую цепь C ( x1 , xi ) ребро vk  E, k  1, n  1 . Если x i и x j — смежные вершины
графа G , то соединяем ребром точки z i и z j . Получаем дерево G ' в
пространстве R1n 1 . Из (5.300) следует, что различным вершинам графа G
соответствуют при этом различные вершины куба I n1 , причем смежным
вершинам графа G соответствуют смежные вершины куба I n1 . Поэтому
152
каждому ребру
vk  E, k  1, n  1 поставлено в соответствие то ребро wk куба
I n1 , концы которого есть образы вершин ребра vk .
Таким образом, графы G и G ' на кубе I n1 — изоморфны. Каждой
вершине z i графа G ' припишем тот же вес, что и вершине x i графа G .
Задача нахождения медианы графа G сведена к задаче о нахождении
медианы в пространстве R1n 1 множества точек.
Задача
о
нахождении
медианы
в
пространстве
R1n 1 .
Пусть
S  {z1 , z 2 ,..., z n } — сиcтема точек из R1m , а q : S  R  . Рассмотрим функционал
n
f ( z )   q( z j ) z  z j
(5.310)
j 1
Найдем множество элементов z 0 , которые минимизируют (5.310), т.е. для
которых
f ( z 0 )  min f ( z ) .
z
Пусть z  ( z1 , z 2 ,..., z m ) — некоторая точка пространства R1m . Рассмотрим
последовательность разностей z i  z1i , z i  z 2i , …, z i  z ni , i  1, m .
Положим для каждого i  1, m :
I i  { j z i  z ij  0} ; I i0  { j z i  z ij  0} ; I i  { j z i  z ij  0} .
Имеет место следующая теорема.
Теорема 4.9. Элемент z  ( z1 , z 2 ,..., z m ) пространства R1m будет обращать в
минимум функционал (5.310) тогда и только тогда, когда для каждого i  1, m
выполняются условия:
153

jI iUIi0
q( z j ) 
 q( z
jI i
j
 q( z
);
jI i
j
)
 q( z
jI i0UIi
j
).
(5.320)
Доказательство. Функционал (5.310) представим в виде
n
m
n
j 1
i 1 j 1
m
f ( z )   q( z j ) z  z j   q( z j ) z i  z ij   f i ( z i ),
(5.330)
i 1
где
n
f i ( z )   q( z j ) z i  z ij .
i
(5.340)
j 1
Таким образом, исходя из соотношения (5.330), функционал (5.310)
представляется в виде суммы неотрицательных функций f i ( z i ), i  1, m , одной
переменной z i , причем все переменные z i , i  1, m , являются независимыми, а
значит минимум функционала
значениях
f i ( z i ), i  1, m ,
т.е.
f (z ) будет достигаться при минимальных
для
минимизации
f (z )
достаточно
минимизировать каждую из функций (5.340). Совокупность аргументов,
минимизирующих
(5.340),
определит
координаты
точки
(точек),
минимизирующих (5.310). Таким образом, задача оптимизации функции m
переменных z 1 , z 2 ,..., z m свелась к m задачам минимизации функции одной
переменной.
Покажем, что каждая кусочно-линейная функция (5.340) выпукла вниз.
Воспользуемся для этого определением выпуклой вниз функции [51],
проверим, что для z i , z i ,  : 0    1 имеет место соотношение:


 

f i z i  (1   ) z i  f i z i  (1   ) f i z i .
Действительно,
(5.350)
154


n
n
j 1
j 1
f i z i  (1   ) z i   q( z j ) z i  (1   ) z i  z ij  q( z j ) z i  (1   ) z i  z ij  1   z ij 
n


n
n
j 1
j 1
  q( z j ) z i  z ij  (1   ) z i  1   z ij    q( z j ) z i  z ij  (1   ) q( z j ) z i  z ij 
j 1
 

 f i z i  (1   ) f i z i ,
что доказывает соотношение (5.350).
Из свойств функций (5.340), указанных выше (кусочная линейность,
выпуклость вниз), очевидно вытекает, что наименьшее значение каждая из этих
функций может достигать либо в одной точке z0 i , совпадающей с некоторой z ij ,
либо в бесконечном множестве точек, образующих отрезок z ij , z ij 1 .
Без потери общности будем считать, что для данного i  1, m имеет место
z1i  z 2i  ...  z ni (если это не так, то упорядочим эту совокупность и проведем
новую нумерацию). Тогда для любого z ki  z i  z ki 1 (при этом полагаем
z 0i  , z ni i   ) имеем
n
k
df i ( z i )
i
i

q
(
z
)
sign
(
z

z
)

q( z j ) 


j
j
dz i
j 1
j 1
n
 q( z
j  k 1
j
).
(5.360)
Очевидно, что производная функции f i ( z i ), i  1, m , не существует в
точках z i  z ij , j  1, n , но сама функция f i ( z i ), i  1, m , в этих точках является
непрерывной. Это значит, что точки z i  z ij , j  1, n , являются для f i ( z i ), i  1, m ,
подозрительными на экстремум. Предположим, что в некоторой точке z0 i ,
совпадающей с какой-то из точек z ij , j  1, n , выполняются условия (5.320),
тогда при переходе через эту точку производная (5.360) поменяет свой знак с
минуса на плюс, а это означает
в соответствии с первым достаточным
155
условием локального экстремума функции одной переменной [51], что в z0 i
функция f i ( z i ), i  1, m , принимает наименьшее значение.
Верно и обратное. Допустим, что функция
f i ( z i ), i  1, m принимает
минимальное значение в единственной точке z0 i . Так как производная (5.360)
поменяет свой знак с минуса на плюс при переходе через точку минимума, то
из равенства (5.360) непосредственно вытекает соотношение (5.320).
Следствие 1. Множество точек z0 i , обращающих в минимум функцию
(5.340), состоит либо из одного элемента совокупности z ij , j  1, n , либо из точек
отрезка z ij , z ij 1  .
Следствие 2. Условия (5.320) эквивалентны следующим условиям:
1
q( z j )  Q;
2
jI iUIi0

 q( z
jI i
j
1
)  Q;
2
n
для каждого i  1, m , где Q   q( z j ).
j 1
1
2
Следствие 3. Если для какой-нибудь точки z j имеет место q( z j )  Q , то
z j является единственной точкой пространства R1m в которой функционал
(5.310) достигает наименьшего значения.
Следствие 4. Множество решений z 0 задачи минимизации функционала
(5.310) представляет собой некоторый параллелипипед P t пространства R1m ,
размерность которого удовлетворяет неравенству 0  t  m .
Замечание 4.20. Рассмотренная выше задача относится к задачам
кусочно-линейного программирования, и условия, выраженные теоремой,
могут также быть получены из критерия оптимальности задач кусочнолинейного программирования.
Замечание 4.21. Из условия (5.320) видно, что положение оптимальной
точки
z 0  R1m
зависит только
от
чисел
q( z j )
и
порядка
элементов
156
последовательности z1i , z 2i ,..., z ni для каждого i  1, m . А это означает, что
нахождение минимума функционала (5.310) не зависит от метрических
соотношений между элементами z1 , z 2 ,..., z n пространства R1m .
Некоторые из предлагаемых авторами настоящей работы алгоритмов для
решения задачи о нахождении медианы в пространстве R1n 1 множества точек
S  {z1 , z 2 ,..., z n } представлены на рис.4.26-4.28, при этом их общий нулевой шаг
выглядит следующим образом:
Шаг 0. Упорядочить систему чисел z1i , z 2i ,..., z ni для каждого i  1, m и
рассмотреть для данного i совокупность z1i  z 2i  ...  z ni .
Замечание 4.22. Самый трудоемкий для всех рассмотренных алгоритмов
нахождения
медианы
в
пространстве
R1m
—
нулевой
общий
шаг,
заключающийся в сортировке элементов z1i , z 2i ,..., z ni , который и определяет
общее количество арифметических операций, используемых предложенными
алгоритмами. Алгоритмы сортировки n чисел, основанные на сравнении
элементов, имеют вычислительную сложность O(n 2 ) операций, а лучшие из них
обходятся количеством сравнений O(n log 2 n) . Тогда в совокупности нулевой
шаг потребует в лучшем случае O(mn log 2 n) .
Вернемся к задаче нахождения медианы дерева G , которая выше была
сведена к задаче о нахождении медианы в пространстве R1n 1 множества точек.
По построению все значения z1i , z 2i ,..., z ni для каждого i  1, n  1 равны либо нулю,
либо
единице.
А
это
означает,
что
их
упорядочение
сведется
к
последовательному размещению всех нулей, начиная с первой позиции, а всех
единиц — начиная с последней позиции, что потребует лишь O(n) операций
сравнения значений zli , l  1, n , с нулем. Тогда совокупные вычислительные
затраты нулевого шага, а значит и любого из предложенных алгоритмов
составят O(n 2 ) .
157
Рис.4.26. Алгоритм последовательного поиска
158
Рис.4.27. Алгоритм дихотомии
159
Рис.4.28. Алгоритм, основанный на числах Фибоначчи
Произвольный граф-модель. Пусть граф-модель противника G ( X , E ) не
является деревом, содержит произвольное число ребер, удовлетворяющее
соотношению (5.290). В этом случае вычислительная сложность решения
задачи (5.280) на порядок больше, чем для графа, являющегося деревом. При
большой размерности графа это различие становится значительным. Для
дальнейшего обсуждения введем некоторые дополнительные понятия из теории
графов [81-83].
Остовным деревом графа G ( X , E ) назовем дерево G0 ( X , E0 ) , являющееся
подграфом графа G ( X , E ) . Минимальное остовное дерево — это остовное
дерево с минимальным общим весом его ребер.
Для решения задачи (5.280) с произвольным взвешенным графом
G ( X , E ) предлагается
предварительно
заменить
исходный
граф
на
его
минимальное остовное дерево G0 ( X , E0 ) . Конечно, произведенная замена
min
min
графовой модели приведет к тому, что решение задачи (5.280) для G0 ( X , E0 )
min
min
может отличаться от решения той же задачи для G ( X , E ) . Действительно,
рассмотрим для примера граф и его минимальное остовное дерево,
представленные на рис. 4.29.
Очевидно
d (2,3) ,
определенное при помощи
остовного
дерева,
отличаться
от
будет
истинного
значения d (2,3) в исходном
графе.
Однако,
как
показывает вычислительный
эксперимент,
min
x X
 q ( y ) d ( x, y )
y X
значение
для
160
G0min ( X , E 0min )
min
x X
в
 q ( y ) d ( x, y )
большинстве
случаев
незначительно
отличается
от
для исходного графа G ( X , E ) . Поэтому предложенные выше
y X
методы решения задачи (5.280) могут быть использованы как эвристические
для
произвольных
графовых
моделей
большой
размерности
после
предварительной замены графа на его минимальное остовное дерево.
Вычислительная сложность любого из таких эвристических методов будет
определяться как T  O(n 2 ) , где T — количество арифметических операций для
построения минимального остовного дерева. Очевидно, что для минимизации
общих вычислительных затрат порядок T не должен превосходить двух. Это
требование можно обеспечить, используя для построения минимального
остовного
дерева,
например,
алгоритм
ближайшего
соседа
[111],
вычислительная сложность которого O(n 2 ) .
Использование графовой математической модели группы противника
позволяет получить эффективные с точки зрения вычислительных затрат
методы для решения различных задач, связанных с анализом структуры
рассматриваемой группы, а также планирования контртеррористических
действий, которые сводятся к решению известных задач на графах.
Широко
развитый
математический
аппарат
теории
графов,
существующие эффективные численные методы их обработки позволяют
говорить о значительных перспективах использования взвешенного графа в
качестве математической модели при дальнейшем анализе деятельности и
структуры различных криминальных групп.
4 .2 .2 .
Метод оценки адекватности системы защиты
информации предполагаемому противнику
Воспользуемся графово-матричными моделями противника и ИТС для
проверки адекватности СЗИ предполагаемой угрозе. Будем считать, что
противник использует методы и средства активного воздействия на систему.
161
Для оценки адекватности СЗИ предполагаемой угрозе (атаке) при помощи
полученных математических моделей необходимо:
1. Построить совокупную графово-матричную модель ИТС и противника,
объединив матрицы смежности графов системы и противника в одну блочнодиагональную матрицу
C
(пока противник не оказывает атакующее
воздействие на СЗИ, связи между блоками G и PROT отсутствуют):
G
C  
 0

0
.
PROT 
Такое объединение никак не повлияет на СЗ матрицы G , т.к. спектр
блочно-диагональной матрицы является объединением собственных значений
блоков [53].
Предположим для наглядности изложения, что взвешенный граф,
отвечающий гипотетической ИТС, имеет вид, представленный на рис. 4.30,
тогда его матрица смежности G :
Спектр матрицы C , отвечающей рассматриваемому примеру, состоит из
следующих значений (подчеркиванием выделены СЗ блока противника PROT,
162
жирным шрифтом — элементы спектра G , в возмущениях которых хранится
информация системы):
-1.8409 -1.3242 -0.0165 0.4503 0.6777 0.7003 0.8809 1.0000 1.0000
1.1226 1.5708 1.7694 1.8405
3.0678
4.7565
5.1317
5.3367
1.8935 1.8994
6.3851
2.1513 2.3738
9.2632
2.8624
9.3294 10.3859 12.2301
39.3298 60.7725
2. Вторым шагом для оценки адекватности СЗИ предполагаемой угрозе
является моделирование атаки противника. Заметим, что ранее моделирование
атаки на средство xi проводилось при помощи уменьшения (вплоть до
обнуления) весового коэффициента w( xi ) этого средства (п.4.1.2.9). Назовем
этот
способ
способом
Математическим
моделирования
помощи
выражением
атаки
при
А
было
способа
смещение
А.
круга
Гершгорина
B(w( xi ), Ri ) , отвечающего строке
матрицы
смежности
графа-
модели
системы,
соответствующей
средству
защиты
xi ,
на
w( xi )  wa ( xi )
единиц влево, где wa ( xi ) — весовой коэффициент уже атакованного средства
xi , расширяя тем самым область, содержащую спектр матрицы смежности,
влево, приводя к возмущению некоторых или всех элементов спектра в
пределах новой их содержащей области — объединение всех кругов
Гершгорина. В предельном случае центр круга Гершгорина
B(w( xi ), Ri )
неатакованной
координат
(рис.4.31(а)).
системы
оказывался
после
атаки
в
начале
163
Рассмотрим еще один возможный способ моделирования атаки с
использованием совокупной модели ИТС и противника, который назовем для
удобства способом Б. Предполагается, что осуществление воздействия
противника вновь будет направлено непосредственно на средства защиты
(листья в графе системы), причем воздействие осуществляется членамиисполнителями организации противника. Способ Б моделирует атаку, вводя
новую связь между вершиной, соответствующей активному члену-противнику,
и тем листом в графе ИТС, который отвечает атакованому средству защиты xi ,
что найдет свое отражение в матрице смежности совокупного графа
(см.рис.4.32). Результатом атаки будет разрушение блочно-диагональной
структуры матрицы C и возмущение СЗ, соответствующих блоку G .
Пусть
весовой
коэффициент
вновь
появившегося
ребра
—
ti .
Математическим выражением моделирования атаки при помощи способа Б
является увеличение радиуса круга Гершгорина B(w( xi ), Ri ) на t i единиц, что
также, как и в способе А приведет к изменению области локализации СЗ
матрицы смежности графа-модели системы, а значит к возмущению всех или
некоторых ее СЗ. Вопрос: каким должен быть весовой коэффициент t i , чтобы
способ Б обеспечил те же возможности для возмущения СЗ матрицы смежности
графа системы, что и способ А, т.е. чтобы область локализации СЗ в способе Б
была не уже, чем в способе А? Очевидно (рис. 4.31(б)) это гарантировано лишь
в том предельном случае, когда
t i  t i  wt i  ,
(5.370)
т.е. в качестве весового коэффициента ребра, возникающего вследствие атаки,
используется весовой коэффициент атакованного средства защиты.
3. Третьим шагом является построение нормального спектрального
разложения матрицы смежности, полученной на шаге 2, и исследование ее
спектра. Если возмущения не затронули те СЗ, в первоначальных возмущениях
164
которых хранится информация системы, то будем считать, что СЗИ адекватна
предполагаемому противнику. В противном случае, СЗИ нуждается в
доработке.
Конечно,
изменение
круга
Гершгорина
атакованного
средства
в
соответствии со способом Б моделирования атаки, оставляя потенциально те же
возможности для возмущений СЗ матрицы смежности графа ИТС за счет
обеспечения небóльшей нижней границы области локализации СЗ, чем в
способе А, реально может допустить бóльшие возмущения СЗ (рис.4.31), ложно
сигнализируя о неадекватности СЗИ противнику. Но в случае установления
адекватности способом Б, аналогичный вывод последует и при использовании
способа А, а вот вычислительная работа будет меньше, т.к. никаких изменений
весового коэффициента атакованного средства не требуется.
Рис.4.31. Математическое представление атаки на Систему: способ А (а);
способ Б (б)
Вернемся к рассмотренному выше примеру. СЗ матрицы C после
предполагаемого воздействия противника выглядят следующим образом
(жирным шрифтом выделены элементы спектра, в которых хранится
информация системы):
165
-1.9718 -1.5802 -0.4296 -0.2436 0.0904 0.7111 0.8657 0.9859
1.0000 1.5870 1.8405
1.8879 1.8977 1.9363 2.2576 2.4310
2.6821 2.8624
4.7794 5.1130 5.4336 6.4083
3.1409
9.2632
9.3327 10.3860 12.2302 39.3298 60.7725
Очевидно СЗ, содержащие хранимую информацию, не возмутились под
воздействием атаки. Таким образом, имеющаяся в распоряжении СЗИ является
адекватной предполагаемому противнику.
Рис. 4.32. Матричная модель атакованной Системы
Замечание 4.23. Количество арифметических операций, необходимых для
получения ответа на вопрос об адекватности СЗИ предполагаемому противнику
с использованием предложеного выше метода сравнимо с количеством
операций,
затрачиваемым
на
построение
нормального
спектрального
166
разложения матрицы смежности совокупной графовой модели ИТС и
противника, т.е. выражается как O( N 3 ) ( N — общее количество
вершин в
графах системы и противника) для плотных матриц при использовании прямых
алгоритмов для решения симметричной проблемы собственных значений.
Замечание 4.24. Учет разреженности матрицы смежности совокупной
графовой модели наряду с итерационными методами решения задачи на СЗ
приведет к значительному сокращению количества операций для реализации
предложенного метода [46].
5.
МАТРИЧНОЕ ИССЛЕДОВАНИЕ СТРУКТУРЫ ИНФОРМАЦИОННОГО
ПРОЦЕССА
5.1. Параметры информационного процесса и связь между ними
Как было отмечено выше, любой информационный процесс определяется
изменением параметров, его задающих, или приведением одних параметров
(выходных — 1 ,  2 ,...,  m ) в соответствие с другими (входными — x1 , x2 ,..., xn )
по некоторому закону согласно (3.10), (3.20):
1  1 ( x1 ,..., x n ),
   ( x ,..., x ),
 2
2
1
n



 m   m ( x1 ,..., x n ),
(6.10)
где x1 , x2 ,..., xn   D  R n .
Пусть i  C1 ( D), i  1, m . Предположим, что значение одного из выходных
параметров  j однозначно определяется совокупностью значений остальных
 1 ,...,  j 1 ,  j 1 ...,  m , т.е., если  0  R m 1 есть множество точек, отвечающих
167
всевозможным
точкам
x1 , x2 ,..., xn   D , то в
0
будет
иметь
место
функциональная зависимость:
 j  f  1 ,...,  j 1 ,  j 1 ,...,  m ,
причем
f  C 1 (),   R m 1 ,    0 ,

(6.20)
— открытое множество, а при
подстановке (6.10) в (6.20) получается тождество относительно x1 , x2 ,..., xn   D :
 j x1 ,..., x n   f 1 x1 ,..., x n ,...,  j 1 x1 ,..., x n ,  j 1 x1 ,..., x n ,...,  m x1 ,..., x n  .
(6.30)
В этом случае будем говорить, что функция  j зависит от функций
1 ,...,  j 1 ,  j 1 ...,  m в области D [51]. В общем случае функции 1 ,  2 ,..., m
называются
зависимыми
в
области
D,
если одна из них зависит
от остальных.
Если ни в области D , ни в какой-либо области E  D не имеет места
тождество (6.30), то функции 1 ,  2 ,..., m называются независимыми в области
D [51].
Определение 5.1. Выходные параметры информационного процесса будут
независимыми (зависимыми), если независимыми (зависимыми) в области D
будут определяющие их функции (6.10).
Замечание
5.1. В случае
независимости
выходных
параметров их
определение в соответствии с (6.10) может проводится одновременно
(параллельно),
реализации
что
значительно
сокращает
при
необходимости
время
и анализа информационного процесса. Этот процесс можно
представить как совокупность не связанных между собой «простых» процессов,
результатом каждого из которых является получение лишь одного параметра
i ,
а исследование исходного информационного процесса сведется к
исследованию конечной совокупности «простых».
168
В силу замечания 5.1 важным является возможность определения
зависимости (независимости) выходных параметров (функций (6.10)). Ответ на
этот вопрос зависит от свойств матрицы частных производных функций
 i , i  1, m , — матрицы Якоби:
1
 1 1


x n
 x1 x 2
 
 2
 2
 2

x n
 x1 x 2
 

  m  m
 m

 x
x 2
x n
 1





 .





(6.40)
Пусть n  m . Если хоть один определитель m -го порядка, составленный из
элементов матрицы (6.40), отличен от нуля в области D , то в этой области
функции i , i  1, m , а значит и выходные параметры информационного
процесса, независимы [51]. Действительно, предположим, что
1
 1 1


x m
 x1 x 2
 
 2
 2
 2

x m
det  x1 x 2
 

  m  m
 m

 x
x 2
x m
 1





  0,





(6.50)
но при этом одна из функций, например  m , выражается через остальные:
 m  f 1 ,...,  m1 ,
(6.60)
169
хотя бы в некоторой области E  D (если бы отличным от нуля был другой
определитель, то, изменив нумерацию переменных, можно было бы снова
прийти к случаю (6.50)).
Продифференцируем (6.60) по xi , i  1, m :
 m  m 1  m  2
 m  m1


 ... 
, i  1, m .
xi
1 xi  2 xi
 m1 xi
(6.65)
Таким образом, из (6.65) вытекает, что элементы последней строки
определителя (6.50) получаются путем сложения соответствующих элементов
первых m  1 строк, умноженных предварительно на множители
 m
 m
.
,...,
1
 m1
Но тогда определитель (6.50) равен нулю. Получили противоречие, значит
предположение (6.60) ложно.
Рассмотрим общий случай. Рангом матрицы Якоби (6.40) в области D
назовем наивысший из порядков определителей, образованных из элементов
этой матрицы и не обращающихся в нуль тождественно в D . Если ранг (6.40)
есть
r  1 , то существует хотя бы один определитель r -го порядка ( r  m и
r  n ), составленный из элементов матрицы и не равный в
D тождественно
нулю, в то время как все определители порядка выше r (если таковые есть)
тождественно равны нулю. Говорят, что ранг r достигается в некоторой точке


M 0 x10 , x 20 ,..., x n0 области, если определитель r -го порядка в этой точке отличен от
нуля.
Для характеристики информационного процесса чрезвычайно важной
является следующая теорема.
Теорема 5.1. Пусть ранг матрицы Якоби (6.40) информационного процесса в
области D есть r и достигается в точке M 0 x10 , x 20 ,..., x n0  D , при этом r  m .
Тогда
в
D
найдется
такая
область
изменения
входных
параметров
информационного процесса, в которой выходные будут независимыми.
170
Доказательство. В условиях теоремы существует окрестность D0 точки M 0 ,
в которой
r
функций из 1 ,  2 ,..., m , производные которых входят в
определитель r -го порядка, отличный от нуля в M 0 , будут независимы, а
остальные будут зависеть от них [51], откуда при r  m следует заключение
теоремы.
5.2. Вариационная матрица информационного процесса
Пусть теперь в области D выходные параметры информационного процесса
(функции i , i  1, m ) могут быть как зависимы, так и независимы.
Для
единообразия изложения все параметры далее будем обозначать u i , где
i  1, N , N  n  m
(для
i  1, n
ui
отвечают входным параметрам). Тогда
реализацию процесса можно формализовать следующим образом:
(6.70)
где все Fk являются достаточно гладкими функциями своих аргументов. В
качестве результата процесса рассматривается совокупность величин u k
(выходные параметры). Не накладывая серьезных ограничений, можно
предполагать, что результат — это величина u n .
Соотношения (6.70) задают процесс вычисления функции
(3.10),
являющейся общей формализацией информационного процесса:
( x1 ,..., xn )  1 ,  2 ,...,  m  ,
T
или в новых обозначениях
(u1 ,..., u n )  u n1 , u n2 ,..., u N  .
T
(6.80)
171
Если вычисление (6.80) первоначально заданы при помощи (6.70), то при
больших N получить явное выражение функции  (т.е. функций i , i  1, m )
через входные данные ( u i , i  1, n ) затруднительно и не всегда возможно.
Достаточным условием такого представление является следующее. Каждое
уравнение системы (6.70) представим в эквивалентном виде:
преобразовав (6.70) в эквивалентную систему уравнений (в общем случае —
нелинейную):
G1 ( x1 ,..., x n ;  1 ,...,  m )  0,
G ( x ,..., x ;  ,...,  )  0,
 2 1
n
1
m


Gm ( x1 ,..., x n ,  1 ,...,  m )  0
.
(6.90)
Если Gi  C1 ( D), i  1, m , где D — n  m -мерный прямоугольный параллелепипед
D  [ x10  1 , x10  1 ]   [ xn0   n , xn0   n ]  [10  1 , 10  1 ]   [ 0m   m ,  0m   m ]
с центром в точке
x
0
1

,, x n0 ,  10 , ,  0m , координаты которой удовлетворяют
системе (6.90), и определитель матрицы Якоби для функций Gi , i  1, m , по
переменным  1 ,,  m отличен от нуля, т.е.
172
G1
 G1 G1


 m
  1  2
 G
G2
G2
 2

 m
det   1  2
 

 Gm Gm
Gm

 
 2
 m
1

тогда в некоторой окрестности точки
x
0
1





  0,





,, x n0 ,  10 , ,  0m

система (6.90)
определяет  1 ,,  m в виде (6.10), причем i  C 1 ( D), i  1, m .
В силу вышесказанного  часто исследуется через определяющие ее
рекурентные соотношения (6.70) [51,79]. Для этого система (6.70) для
определения величин u k преобразовуется к эквивалентному виду:
(6.100)
При анализе информационного процесса (6.70) или, что то же самое, множества
решений системы (6.100), исследуется чувствительность системы (6.100)
к возмущающим воздействиям. Для этого рассматривается возмущенная
система:
(6.110)
где возмущения
u k
малы. Вычитая из (6.110) (6.100) и учитывая
представление (3.30) для вещественной функции многих переменных, с
точностью
до
бесконечно
малых
второго
систему линейных алгебраических уравнений
u k [79]:
порядка,
относительно
получаем
возмущений
173
(6.120)
Матрица  системы (6.120) — функциональная матрица Якоби функций
по переменным u1 ,..., u n с размерами (n  p)  n .
Она, как правило, сильно
разреженная. Матрица  имеет полный ранг, т.к. очевидно является нижней
треугольной относительно диагонали, проходящей через правый нижний угол
матрицы, на диагонали стоят элементы, равные -1. Будем называть 
вариационной матрицей информационного процесса (ВМИП) (6.70). Ее
элементы  ij в общем случае зависят от u1 ,..., u n1 :
Вариационная матрица играет важную роль при анализе структуры и
свойств информационного процесса.
такого
анализа
является
Одним из наиболее важных вопросов
установление
меры
чувствительности
информационного процесса к возмущающим воздействиям (погрешностям
исходных данных). Вспомним, что при определении v  F (u ) в реальных
условиях точное значение v , вообще говоря, получить нельзя. Вместо v будет
получен элемент v  v . При проведении прямого анализа ошибки [45,78,79],
результатом которого является оценка
v  v , становится очевидным, что если
174
такая оценка окажется большой, это может быть связано с неустойчивостью
оператора F в окрестности u . В такой ситуации хорошо зарекомендовал себя
обратный анализ ошибок [45,46,78,79], основная идея которого заключается в
попытке представить реально полученный элемент v как точный результат
преобразования F , но не элемента u , а элемента u  u : v  F u  . Об этом уже
шла речь выше. Если это удается сделать, то влияние возмущающих
воздействий оценивается величиной
u u ,
при этом
u u
ошибок
[78]
называется
эквивалентным возмущением.
Рассмотрим
процесс
распространения
в
ходе
информационного процесса (6.70), реализация которого сводится к вычислению
функции (6.80). При реальных вычислениях точных формул (6.70) имеют место
соотношения:

(6.130)
где F k — возмущенная «близкая» к Fk функция, реальное вычисление которой
осуществляется при реализации информационного процесса (6.70), u k —
реально заданная или вычисленная величина u k ,  k
— эквивалентная
абсолютная ошибка (итоговый результат возмущающего воздействия), которая
вносится в результат вычисления Fk .
Пусть возмущению подверглись входные данные (результат возмущения —
u1   1 ,..., u n   n ), по которым проведены точные вычисления:
(6.140)
175
Величины
k
—
возмущения
реально
вычисленных
параметров
uk
(эквивалентные возмущения не только входных данных, но и промежуточных,
и окончательных результатов). Совокупность значений
k ,
у которой
эквивалентные возмущения входных данных равны 0, описывает прямой анализ
ошибок. Если во множестве  k эквивалентные возмущения выходных данных
равны 0, то описывается обратный анализ ошибок. Другие варианты  k
описывают смешанный [78,79] анализ ошибок.
Из (6.130), (6.140) получаем
(6.150)
Если возмущения входных данных  1 ,...,  n известны, то с помощью (6.150)
можно определить остальные возмущения  k , k  n (значения u k , возмущения
 k определяются реализацией ИП (6.130)). Система (6.150) в общем случае
является нелинейной относительно  k . Учитывая представление (3.30) для
вещественной функции многих переменных, (6.150) можно заменить линейной
системой, как это уже делалось при переходе от (6.110) к (6.120):
Заменим реально вычисленные величины u i , i  k1 ,..., k sk на точные:
176
(6.160)
Матрица системы (6.160) — это ВМИП (6.70), в силу этого система всегда
совместна. Таким образом, величины возмущений  k определяются как
решения системы линейных алгебраических уравнений (6.160), свойства
которой определяются свойствами ВМИП.
ВМИП играет важную роль не только при анализе возмущений параметров,
определяющих ИП.
5.3. Граф информационного процесса и его особенности
Произвольному информационному процессу поставим в соответствие
ориентированный граф следующим образом. Сопоставим k -ой вершине графа
получение величины u k . Первые n вершин будут символизировать ввод
начальных данных u1 ,..., u n и называться входными, а остальные вершины —
вычисление u k как значений функций Fk из (6.70). Будем считать, что дуга идет
из i -ой вершины в j -ую в том и только том случае, когда при вычислении
величины u j величина u i используется в качестве аргумента. В соответствии с
(6.70) дуги не будут входить в k -ую вершину, если k  n . Если k  n , то в k -ую
вершину будут входить дуги из вершин с номерами k1 ,..., k sk . Исходя из способа
построения
графа,
становится
очевидной
истинность
следующих
утверждений.
Утверждение 5.1. Граф информационного процесса является ациклическим
[81-83].
Утверждение 5.2. В случае независимости выходных параметров граф
информационного процесса будет двудольным[81-83].
177
В графе, как модели информационного процесса, наглядно представлены
сведения о том, как отдельные преобразования по ходу процесса связаны
между собой информационно, какие преобразования в ходе их моделирования
могут выполняться одновременно, какие нужно выполнять позже или раньше,
чем другие и т.д. Граф информационного процесса описывает всю картину
распространения информации по ходу его протекания, а значит может быть
использован для анализа информационного процесса в целом, его структуры.
С полученным графом информационного процесса связывается матрица
 размерами (n  p )  n с элементами  ij :
Очевидно, k -ый столбец матрицы  соответствует параметру u k , а k -ая строка
— параметру u k  p . В k -ой строке элемент -1 стоит в том столбце, номер
которого соответствует номеру вычисляемого параметра u k  p . Элементы +1
стоят в тех столбцах, номера которых соответствуют номерам аргументов
вычисляемого параметра u k  p . Матрица  описывает связь параметров u k
между
собой
и
называется
матрицей
информационной
связности
информационного процесса (МИСИП) (6.70). Очевидна связь матрицы
связности с ВМИП: структуры ненулевых элементов обеих матриц полностью
совпадают.
Для графа информационного процесса по МИСИП заменой ненулевых
элементов какими-то числами можно получить бесконечную совокупность
матриц,
каждая
из
которых
является
взвешенной
МИСИП.
Любая
взвешенная МИСИП, частным случаем которой является и ВМИП, позволяет
178
однозначно восстановить граф информационного процесса, а значит может
использоваться для его анализа.
Для ориентированного графа, отвечающего информационному процессу,
стандартным образом вводится n  n -матрица смежности B с элементами bij
1, если из i  ой вершины в
bij  
0, в остальных случаях
j  ую идет
ребро,
,
и n  m -матрица инцидентности A с элементами a ij [81]
1, если j  ое ребро выходит из i  ой вершины,

aij   1, если j  ое ребро входит в i  ую вершину, .
0, в остальных случаях

Матрица B тесно связана с МИСИП  :  — подматрица, состоящая из
последних n  p
строк матрицы
BT  I ,
где
I
— единичная матрица
соответствующего размера. В связи с этим для приведения МИСИП к более
«подходящему» с точки зрения возможностей ее обработки виду за счет
перенумерации строк и столбцов можно осуществлять соответствующую
перенумерацию для матрицы смежности.
Кроме того, к значительному упрощению в смысле вычислительных
затрат, необходимых для обработки графа, приводит выявление и последующее
использование его внутреннего параллелизма [78,79], т.е. возможностей
параллельного (одновременного) выполнения входящих в информационный
процесс операций.
5.4. Параллельные формы информационного процесса
Появление параллельных вычислительных систем и внедрение их в
практику решения больших прикладных задач привело к необходимости
179
анализа информационных процессов с целью определения возможности их
математической формализации в параллельных вычислительных системах.
Результатом анализа должно стать выявление таких ветвей информационного
процесса, которые информационно между собой не связаны. Если такие ветви
найдены, будем говорить, что информационному процессу присущ внутренний
параллелизм.
Будем использовать граф G  (V , E ) информационного процесса, где V —
множество вершин, а E — множество упорядоченных пар вершин (ребер), для
анализа его структуры, не накладывая никаких ограничений на вид входных и
выходных параметров. Граф информационного процесса не накладывает,
вообще говоря, на порядок выполнения операций, входящих в состав процесса,
никаких ограничений, кроме одного: к моменту начала реализации любой
операции должны закончить свое выполнение все те операции, которые
поставляют для нее параметры-аргументы. В силу этого граф информационного
процесса
определяет
множество
допустимых
порядков
выполнения
составляющих его операций.
Любой информационный процесс — это процесс, протекающий во
времени, любая его реализация порождает определенную сортировку входящих
в него операций. Эта сортировка строит разбиение множества операций
(вершин графа) на такие группы, которые выполняются последовательно друг
за другом, а операции внутри группы могут выполняться одновременно.
Отождествляя
информационный
процесс
с
его
графом,
будем
предполагать, что в графе отражены операции получения всех параметров и
связи, влияние которых на реализацию процесса подлежит изучению.
Пусть G  (V , E ) — произвольный ориентированный ациклический граф с n
вершинами. Тогда [79] существует такое натуральное число s  n , что все
вершины графа можно так пометить одним из индексов 1,2,..., s , что если ребро
идет из вершины с индексом i в вершину с индексом j , то
180
i  j.
Такая
разметка
вершин
(6..160)
называется
топологической
сортировкой
или
параллельной формой. Очевидно, что никакие две вершины с одним и тем же
индексом не являются смежными. Кроме того, для любого натурального s  n ,
большего длины критического пути, существует топологическая сортировка,
при которой используются все s индексов, т.е. топологическая сортировка для
графа определяется, вообще говоря, не единственным образом.
Если соотношение (6..160) заменить на i  j , то полученная сортировка
будет называться обобщенной топологической сортировкой.
Результатом топологической сортировки является выявление возможностей
параллельного
(одновременного)
выполнения
(анализа)
входящих
в
информационный процесс операций. Эти операции будут входить в одну
группу сортировки, называемую ярусом параллельной формы. Совокупность
всех топологических сортировок графа информационного процесса определяет
его параллельные формы реализации
(обработки, анализа). Операции,
соответствующие вершинам графа одного уровня топологической сортировки,
являются информационно независимыми, а, значит,
могут выполняться
параллельно. Группы операций, соответствующие различным топологическим
уровням, выполняются последовательно в порядке возрастания номеров
вершин графа, входящих в них.
Как
правило,
чем
сложнее
устроен
граф,
чем
больше
его
размерность, тем труднее построить его топологическую сортировку, тем
больше
времени
занимает
процесс его предобработки. Уменьшение
вычислительной сложности этого процесса может быть достигнуто за счет
разбиения графа на подграфы меньшей размерности с последующим
построением топологических сортировок подграфов и восстановлением
сортировки всего графа по сортировкам подграфов [112] (соответствующий
алгоритм
приведен
в
дополнении
2).
Кроме
того,
для
сокращения
вычислительной работы при анализе информационного процесса уменьшить
181
размерность графа можно при помощи гомоморфной свертки его подграфов
[78,79,81].
Подробно
процесс
гомоморфной
свертки
и
свойства
соответствующих топологических сортировок графа рассматриваются в
дополнении 3.
С помощью подходящей перенумерации вершин графа информационного
процесса
можно
упростить
описание
графа.
Следовательно,
путем
перенумерации операций (6.70) можно попытаться привести МИСИП и
соответственно ВМИП к более удобному виду.
Рассмотрим произвольную топологическую сортировку вершин графа
информационного процесса. Пометим вершины следующим образом: сначала
нумеруются вершины, попавшие в первый ярус, затем во второй и т.д.,
определяя тем самым порядок строк МИСИП. При упорядочении столбцов
сначала нумеруются столбцы,
которые
соответствуют
аргументам операции F1 , затем
столбцы,
лишь
соответствующие
тем
аргументам
операции F2 , которые еще не
были занумерованы, и т.д. При
этом
столбцов,
новая
соответствующих
вычисляемым
берется
нумерация
такой,
величинам,
чтобы
с
точностью до выбрасывания
столбцов,
входным
соответствующих
параметрам,
она
совпадала с новой нумерацией
строк.
После
описанной
перестановки строк и столбцов
182
МИСИП будет иметь вид, представленный на рис.5.1. В каждой строке Pi
существует хотя бы один ненулевой элемент, и все ее ненулевые элементы
равны 1. В каждой строке закрашенной части находится лишь один ненулевой
элемент, равный -1.
В общем случае в каждом столбце МИСИП может находиться более одной
1: в l -ом столбце будет ml единиц, если ml
операций, входящих в
информационный процесс, используют параметр u l в качестве одного из своих
аргументов, т.е. какие-то ребра, выходящие из некоторых вершин графа
информационного процесса, определяют перенос одной и той же информации.
В этом случае будем говорить, что имеет место размножение информации.
Если размножение информации присутствует в информационном процессе, то
некоторые столбцы МИСИП могут иметь непустые пересечения более чем с
одной строкой. При любой перестановке строк и столбцов это свойство
сохраняется. Следовательно, описанные выше перестановки приведут МИСИП
к виду, представленному на рис.5.1(а), в противном случае ее вид представлен
на рис.5.1(б).
Для формализации анализа информационного процесса его графу в
соответствие можно поставить не только одну из рассмотренных выше
двумерных матриц, но и одномерный вектор.
Одной из характеристик протекания информационного процесса является
время его выполнения. При непосредственной реализации определены
моменты выполнения всех операций (6.70) информационного процесса.
Нарушение определенного времени выполнения некоторой операции в ходе
процесса является сигналом возможных сбоев, атак, предпринятых на средства
защиты, обеспечивающих протекание процесса, и т.д.
Перенумеруем вершины графа процесса произвольно и каждой i -ой
вершине
поставим
в
соответствие
время
ti
окончания
выполнения
соответствующей операции. Таким образом, с информационным процессом
можно связать вектор
t  t1 , t 2 ,..., t n  ,
T
называемый вектором временной
183
развертки [78,79], который показывает, как протекает процесс во времени. Для
элементов
вектора
t
естественно
определить
некоторые ограничения,
например, задать время h j для реализации j -ой операции. Если в графе
информационного процесса существует ребро, идущее из i -ой вершины в j ую, то должно выполняться соотношение: t j  t i  h j . Действительно, время,
проходящее от окончания i -ой операции до окончания j -ой, включает в себя
не только время выполнения j -ой операции, но и время, затрачиваемое на
передачу
информации,
необходимой
для
выполнения
j -ой
операции.
Неотрицательный вектор h  h1 , h2 ,..., hn T будем называть вектором реализации.
С каждым ребром графа можно связать не только какую-то информацию,
передаваемую от одной вершины к другой. Любая временная развертка
однозначно определяет время t i ее появления и время t j  t i ее существования,
частично в неизменном, частично в преобразованном в j -ой вершине виде.
Можно считать, что в момент t j старая информация полностью заканчивает
свое существование и рождается новая. Время t j  t i — время задержки
информации на дуге, связывающей i -ую и j -ую вершины. При реализации
информационных процессов на времена задержек накладываются ограничения
снизу. Они вызываются временем передачи информации по каналам и линиям
связи, временем хранения информации и рядом других факторов. Эти
ограничения можно задавать аксиоматически и считать, что время задержки
информации на дуге, связывающей i -ую и
j -ую вершины, не меньше
неотрицательного числа wij : t j  t i  wij . Вектор w с координатами wij называется
вектором задержек [78,79].
Пусть информационный процесс начинает свою реализацию в нулевой
момент времени, и в каждый положительный целочисленный момент
выполняется хотя бы одна операция (6.70). Рассмотрим соответствующую
временную
развертку.
Согласно
развертке
множество
вершин
графа
разбивается на непересекающиеся подмножества , где к одному подмножеству
184
относятся те и только те вершины, которые соответствуют операциям,
выполняемым в один и тот же момент. Каждому из построенных подмножеств
приписывается
операций.
индекс,
равный
Очевидно,
что
моменту
выполнения
полученное
разбиение
соответствующих
вершин
графа
информационного процесса определяет некоторую параллельную форму его
протекания. Очевидно, верно и обратное: любая параллельная форма
информационного процесса порождает некоторую временную развертку.
Таким образом, анализ временных разверток является перспективным
направлением в области исследований информационных процессов.
5.5. Введение
в
функциональное
исследование
структуры
информационного процесса.
Представление временных разверток информационного процесса в виде
векторов отвечает математической формализации процесса в виде (6.70), где
множество выполняемых операций идентифицируется одним целочисленным
параметром. Такая идентификация при практическом использовании (6.70)
приводит к значительным неудобствам и трудностям.
Будем считать вершины графа информационного процесса точками
конечномерного пространства (с возможной в некотором смысле «удобной»
целочисленной (хотя это необязательно) фиксацией координат). Множество
вершин будет находиться в некоторой области D , а временные развертки
можно рассматривать как функции, заданные на множестве точек-вершин.
Таким образом, если задана временная развертка, то каждой из точек-вершин x
ставится в соответствие число, равное времени выполнения соответствующей
операции, т.е. временная развертка — это некоторая функция
t ( x) : Dd  K ,
(6.161)
185
где D d — область определения, являющаяся дискретным множеством точек x
из области D , K  Z — область значений — дискретное множество, где Z —
множество целых чисел. Временные развертки, представленные в таком виде,
называются пространственно-временными [78,79].
Любая параллельная форма информационного процесса определяет
некоторое множество временных разверток. При задании развертки в виде
(6.161) ярусы параллельной формы будут иметь явный геометрический смысл:
они задаются поверхностями уровня [Фихт] для t (x) —
t ( x)  const .
(6.162)
Действительно, пусть множество точек (6.162) содержит какие-то вершины
графа информационного процесса. Тогда соответствующие вершинам операции
выполняются в один и тот же момент, т.е. образуют ярус параллельной формы.
Для удобства дальнейшего анализа, не ограничивая значительно общности
рассуждений, продолжим каким-либо приемлемым образом пространственновременные развертки (6.161) на всю область D . Обозначим соответствующие
функции t D (x) . Будем считать, что функции
t D (x) обладают необходимой
гладкостью.
Пусть D — односвязная область. Поверхности уровня t D ( x)  const могут
быть как одно- так и многосвязными [Фихт] (рис.5.2 — цифрами отмечены
поверхности уровней, соответствующие последовательным значениям t ),
однако, в силу предположений о гладкости функций t D (x) , с изменением t они
меняются непрерывно, поэтому по одну сторону от них всегда будут
находиться вершины, соответствующие операциям, выполняемым до момента
времени
t,
а по другую — вершины, соответствующие операциям,
выполняемым после времени t . Тогда перенос информации от вершин одной
группы к вершинам другой группы осуществляется лишь теми ребрами графа
информационного
процесса,
которые
для
любой
поверхности
уровня
186
пространственно-временной развертки определяют ориентированный разрез
графа [Свами, Тхуласираман] процесса. Поверхности уровней показывают
распределение потоков информации в D .
Рис.5.2.Системы поверхностей уровня: односвязные (а); многосвязные (б)
Таким
образом,
описание
параллельных
форм
информационного
процесса сводится к описанию поверхностей уровня пространственновременных разверток и функциональному исследованию определяющих их
функций, и намечают новое направление в области анализа информационных
процессов.
187
6.
СИММЕТРИЧНАЯ
ПРОБЛЕМА
СОБСТВЕННЫХ
ЗНАЧЕНИЙ
И
СИНГУЛЯРНОЕ РАЗЛОЖЕНИЕ МАТРИЦЫ
Основные вычислительные затраты при реализации анализа состояния и
функционирования информационной системы в предлагаемом подходе,
основанном на теории возмущений, как уже не раз было упомянуто выше,
составят затраты на построение сингулярного разложения или решение
симметричной проблемы собственных значений. В силу этого важное значение
приобретают
численные
методы
решения
таких
задач,
оценка
их
вычислительной сложности.
Условно алгоритмы для задач на СЗ и SVD можно разбить на две группы:
прямые методы и итерационные.
Заметим, что в действительности прямые методы также являются
итерационными, поскольку задача вычисления СЗ математически эквивалентна
отысканию корней характеристических многочленов, что, как уже отмечалось
выше при рассмотрении динамической модели СЗИ, не может быть сделано
посредством неитерационных методов при степени многочлена больше
четырех. Будем называть метод прямым, если на практике он (почти) всегда
сходится за фиксированное число итераций.
В последние годы был достигнут значительный прогресс в алгоритмике и
приложениях симметричных задач на СЗ. Для них имеется гораздо больше
«хороших» алгоритмов, по сравнению с решением несимметричных задач,что
повышает гибкость и эффективность вычислений.
Итерационные методы обычно применяются к разреженным матрицам
большой размерности либо к матрицам, которые доступны лишь через свои
произведения с векторами. Как правило, итерационные методы дают
приближения только для некоторого подмножества СЗ и СВ; обычно итерации
продолжают до тех пор, пока не будут получены достаточные приближения
нескольких (немногих) СЗ. Характер сходимости методов этой группы сильно
зависит от конкретных значений элементов матрицы.
188
6.1. Прямые методы решения симметричной проблемы собственных
значений. Оценка вычислительной сложности
Существует ряд тщательно отработанных алгоритмов и программ решения
полной проблемы СЗ (нахождения всего спектра матрицы). Поэтому в случае,
когда возникает такая проблема, можно использовать стандартные программы
решения таких задач. Наиболее совершенные из них основаны на различных
модификациях QR-алгоритма [Бахв нов], который может быть использован не
только для симметричных матриц, однако заполненность матрицы значительно
снижает скорость сходимости алгоритма.
На практике прибегают к различным способам ускорения сходимости.
Большинство алгоритмов, используемых для решения симметричной проблемы
СЗ предполагают, что матрица была вначале приведена к трехдиагональному
виду посредством, например, одной из модификаций алгоритма приведения к
верхней форме Хессенберга с использованием матриц отражения [Деммель],
вычислительная
сложность
которого
составляет
O( n 3 )
арифметических
операций.
Замечание 6.1. При использовании многопроцессорных систем следует
иметь ввиду, что отражение допускает распараллеливание [Воев; Воев+Воев]
до O(n ln n) параллельных шагов с помощью использования нестандартного
способа вычисления сумм (попарное суммирование) [Бахв нов]. Однако метод
отражений для матрицы общего вида требует одновременного хранения в
памяти ЭВМ порядка n 2 чисел. Если такое количество чисел не помещается в
оперативной памяти ЭВМ, а обмен информацией между оперативной и
внешней памятью ЭВМ происходит недостаточно быстро или из-за структуры
программы, или из-за возможностей ЭВМ, то применение распараллеливания
может оказаться нецелесообразным.
Трехдиагональная QR-итерация. При помощи этого алгоритма находятся
все СЗ и, если необходимо, СВ симметричной трехдиагональной матрицы.
189
Среди
практических
методов
вычисления
всех
СЗ
симметричной
трехдиагональной матрицы эффективно реализованная QR-итерация является
одной из быстрейших. Стоимость одного шага
QR-итерации равна O(n)
операций, а общая вычислительная сложность определяется как O(n 2 ) , что на
порядок меньше количества арифметических операций, требуемых для
начального
этапа
—
приведения
исходной
плотной
матрицы
к
трехдиагональной форме. Однако, если нужны и все СВ, то QR-итерация
остается самым быстрым алгоритмом лишь для малых матриц (порядок не
превосходит n  25 ).
При применении QR-итераций к матрице трехдиагональной формы
получается последовательность трехдиагональных матриц, сходящаяся к
диагональной матрице. Именно это обстоятельство делает каждый шаг QRитерации очень дешевым.
Необходимо отметить, что QR-алгоритм в общем случае сохраняет ширину
ленты исходной матрицы. Действительно, пусть для ненулевой ленточной n  n матрицы A построено QR-разложение:
где Q — ортогональная матрица с элементами qij , i, j  1, n , R — верхняя
треугольная матрица с неотрицательными диагональными элементами. Если A
—
невырожденная, то
R
— это верхний множитель Холесского
190
[Воев(алгебра); Бахв] для матрицы AT A с элементами rij , i, j  1, n , и все
диагональные элементы R положительны. Из соотношения (6.1) получаем:
R  Q 1 A  Q T A .
Пусть
det A  0 .
(6.2)
Рассмотрим значения элементов последней строки
матрицы A :
n
a n1  0   q nj r j1 q n1 r11 ,
(6.3)
j 1
откуда вытекает, что qn1  0 . Составляя уравнение, аналогичное (6.3) для a n 2 ,
получим из него, что q n 2  0 . Первый ненулевой элемент в последней строке
матрицы Q будет находится в той же позиции, что и первый ненулевой элемент
в последней строке матрицы A . Рассмотрев последовательно выражения для
значений всех элементов A , двигаясь по строкам снизу вверх, получим, что
структура нижнего треугольника матрицы Q аналогична ленточной структуре
нижнего треугольника матрицы A :
На очередной итерации основного QR-алгоритма (без использования сдвигов
для ускорения сходимости) получаем матрицу
191
A  RQ .
(6.4)
Подставляя в правую часть (6.4) соотношение (6.2), получаем
A  RQ  Q T AQ .
Таким образом, если исходная матрица была симметричной, то итерации QRалгоритма сохраняют симметричность:
T

A  Q T AQ

T
 Q T AT Q  A .
(6.5)
Сохранение нулевих элементов (ленточной структуры) в нижнем
треугольнике матрицы A вытекает из вида R и Q :
Действительно,
при вычислении элементов последней строки матрицы A
получаем, что первым отличным от нуля может быть лишь элемент, стоящий на
том же месте, что и первый отличный от нуля элемент последней строки
матрицы Q :
192
n
n
n
j 1
j 1
j 1
a n1   rnj q j1 0; a n 2   rnj q j 2 0,  a n ,n  k 1   rnj q j ,n  k 1 0,
n
a n ,n k   rnj q j ,n  k 0, 
j 1
Аналогичный результат в нижнем треугольнике получится и при вычислении
элементов всех строк матрицы A .
Сохранение исходной ленточной структуры матрицы
в верхнем
A
треугольнике матрицы A вытекает из (6.5). Таким образом, соотношение (6.6)
можно уточнить:
Замечание 6.2. Поскольку QR-алгоритм сохраняет ширину ленты матрицы,
не имеет смысла приводить ленточную матрицу к трехдиагональному виду на
подготовительном этапе, поскольку накладные вычислительные расходы такого
приведения могут оказаться значительно превосходящими вычислительные
расходы
самого
QR-алгоритма
при
работе
с
имеющейся
ленточной
матрицей.
Замечание 6.3. Как следует из всего вышесказанного, для анализа состояния
и функционирования ИТС с использованием ее графово-матричной модели
интерес
представляют,
главным
образом,
максимальные
СЗ
матрицы
193
смежности G графа-модели. Поэтому QR-алгоритм для нахождения спектра
матрицы
(без
СВ)
является
привлекательным.
Для
уменьшения
вычислительных затрат при работе QR-алгоритма с разреженной матрицей G
модели ИТС имеет смысл переупорядочить эту матрицу с целью уменьшения
ширины ленты.
Поскольку от удачного решения вопроса переупорядочения в итоге будет
зависеть
вычислительная
сложность
процесса
анализа
состояния
информационной системы, его подробное рассмотрение проводится в
дополнении 4.
Замечание 6.4. Для уменьшения вычислительных затрат при работе QRалгоритма с матрицей смежности G графовой модели ИТС целесообразным и
выгодным является использование многопроцессорных систем. Как показывает
практика, матрица G , как правило, не имеет настолько большую размерность,
чтобы для нее была актуальна организация обмена информацией между
оперативной и внешней памятью ЭВМ, недостатки которой, как указано в
замечании
6.1,
могут
привести
к
нецелесообразности
процесса
распараллеливания.
«Разделяй-и-властвуй». В настоящее время это один из самых быстрых
методов вычисления всех СЗ и СВ симметричной трехдиагональной матрицы
порядка n  25 . Его численно устойчивая реализация не тривиальна. Хотя
впервые метод был предложен еще в 1981 г. [J.J.M.Cuppen], «правильный»
способ его реализации был найден лишь в 1992 г. [M.Gu and S.C.Eisenstat 92, ].
В наихудшем случае алгоритм «разделяй-и-властвуй» требует O(n 3 ) операций,
но константа, содержащаяся в этом символе, на практике оказывается весьма
малой. На большой выборке случайных тестовых матриц в среднем
затрачивается лишь O(n 2..3 ) операций с плавающей точкой, а для некоторых
специальных распределений СЗ — O(n 2 ) [Дем].
Теоретически алгоритм может быть реализован за O(n log p n) операций, где
p — небольшое целое число [M.Gu and S.C.Eisenstat 95]. Эта сверхбыстрая
194
реализация использует быстрый многополюсный метод [L.Greengard and
V.Rokhlin], первоначально придуманный для совершенно другой задачи.
Вследствие алгоритмической сложности этого сверхбыстрого метода, в
настоящее время рекомендуется выбирать [Дем, Бахв нов] QR-итерацию, если
вычисляются все СЗ, и алгоритм «разделяй-и-властвуй», если вычисляются все
СЗ и СВ.
Бисекция и обратная итерация. Бисекцию можно использовать только для
вычисления некоторого подмножества СЗ симметричной трехдиагональной
матрицы. Она обходится в O(nk ) операций, где k — число требуемых СЗ.
Поскольку для QR-итерации нужно O(n 2 ) операций, бисекция может быть
гораздо быстрее при k  n . Соответствующие СВ могут быть найдены при
помощи обратной итерации [Дем]. В наилучшем случае, когда СЗ хорошо
отделены, обратная итерация также требует O(nk ) операций. Это значительно
меньше, чем «стоимость» QR-итерации или алгоритма «разделяй-и-властвуй»
(без
использования
быстрого
многополюсного
метода),
даже
при
необходимости вычислять все СЗ и СВ (т.е. при k  n ). Однако в наихудшем
случае, когда имеются обширные кластеры СЗ, трудоемкость обратной
итерации возрастает до O(nk 2 ) операций, при этом не гарантируется качество
вычисления СВ (хотя на практике они почти всегда вычисляются с хорошей
точностью). Поэтому в общем случае при необходимости вычисления всех (или
большей части) СЗ и СВ следует выбирать алгоритм «разделяй-и-властвуй» или
QR-алгоритм.
В настоящее время ведутся активные исследования по проблеме близких СЗ
в обратной итерации. Они могут превратить ее в самый быстрый метод
вычисления всех СВ (если опустить теоретическое сравнение с алгоритмом
«разделяй-и-властвуй»
на
основе
быстрого
многополюсного
метода)
[V.Fernando, B.Parlett, and I.Dhillon 95; B.N.Parlett and I.S.Dhillon 97; I.S.Dhillon
97; T.-Y.Li, H.Zhang, and X.-H.Sun 91; T.-Y.Li and H.Zeng 92; T.-Y.Li, H.Zeng
and L.Cong 92; H.Zeng]. Необходимо отметить, что как бисекции, так и
195
обратной итерации присущ внутренний параллелизм [Воев нов]: каждое СЗ, а
затем и СВ можно вычислять независимо от других. Это делает методы
бисекции и обратной итерации очень привлекательными для уменьшения
временных затрат за счет привлечения параллельных вычислений.
Замечание 6.5. Метод бисекции является очень привлекательным для
обработки матрицы смежности G
поскольку выше
информации,
было
графа модели ИТС. Действительно,
установлено, что
циркулирующей
в
системе,
математическим
являются
выражением
возмущения
лишь
максимальных СЗ, то для анализа состояния и функционирования системы
часто достаточным оказывается следить за возмущением не всех, а лишь части
СЗ (наибольших k СЗ), причем при предложенном выше способе построения
графово-матричной модели ИТС k  n . При этом, как показывает практика,
эти СЗ являются хорошо отделенными друг от друга, что не лишает
привлекательности
и
метод
обратной
итерации
для
нахождения
соотвествующих СВ матрицы G при необходимости.
6.2. Связь между сингулярным и спектральным разложениями
матрицы
Сингулярное разложение матрицы A общего вида тесно связано со
спектральными разложениями симметричных матриц
AT A ,
AAT ,
 0 AT 


 A 0 .


Рассмотрим эту связь подробно.
Утверждение 6.1. Пусть
A  UV T
есть SVD
m n -матрицы
A
в
соответствии с (3.80), причем m  n . Если A симметричная матрица с СЗ i и
СВ ui , i  1, n , т.е. A  UU T есть спектральное разложение A в соответствии с
(3.110), то в SVD матрицы A  i  i , vi  sign i ui , причем sign0  1 .
Доказательство непосредственно вытекает из определений SVD и СР
матрицы.
196
Замечание 6.6. В силу утверждения 6.1 для анализа состояния и
функционирования ИТС, осуществляемого посредством анализа СЗ матрицы
смежности G графа-модели системы, не имеет принципиального значения,
какое именно разложение матрицы G будет использоваться — сингулярное или
спектральное.
Утверждение 6.2. Пусть
есть SVD
A  UV T
m n -матрицы
A
в
соответствии с (3.80), причем m  n . Собственными значениями симметричной
матрицы
AT A
 i2 ,
являются
правые СНВ
vi
—
соответствующие
ортонормированные СВ.
Доказательство. Для матрицы AT A имеет место соотношение:


T
AT A  UV T UV T  V 2V T .
(6.240)
Равенство (6.240) очевидно представляет спектральное разложение матрицы
AT A , причем vi — СВ, а диагональные элементы  2 — СЗ.
Утверждение 6.3. Пусть
есть SVD
A  UV T
m n -матрицы
A
в
соответствии с (3.80), причем m  n . Собственными значениями симметричной
матрицы
AAT
 i2
являются
и
mn
нулей.
Левые
СНВ
ui
—
ортонормированные СВ, соответствующие СЗ  i2 . Дополнительные m  n
ортогональных векторов можно взять в качестве СВ для нулевого СЗ.
Доказательство.
Построим матрицу U размера m  (m  n) так, чтобы
 
квадратная матрица U ,U была ортогональной. Тогда для матрицы AAT имеет
место соотношение:

AA  UV UV
T
T

T T
 
2
 U U  U ,U 
0
2
T
 
T
0
 U ,U .
0 
(6.250)
Равенство (6.250) очевидно представляет спектральное разложение матрицы
AAT .
197
Утверждение 6.4. Пусть
 0 AT 
 , где A — квадратная n  n -матрица,
H  

A 0 
причем A  UV T есть SVD A в соответствии с (3.80). Тогда 2n СЗ матрицы H
— это числа   i , а соответствующие нормированные СВ имеют вид
1  vi 

.
2   u i 
Доказательство. Поскольку матрица H симметричная, то
 0 AT  0 AT   AT A

 
H H  H  
 A 0    0
A
0


 
T
2

.
AAT 
0
(6.260)
Из (6.260) вытекает, что H T H — блочно-диагональная матрица, а значит ее
спектр является объединением спектров блоков. Из утверждений 6.2, 6.3
следует, что спектры блоков
AT A ,
AAT —
это  i2 , i  1, n . Обозначим
спектральное разложение матрицы H
H  U H  H U HT .
Поскольку
H 2  U H  H U HT U H  H U HT  U H 2H U HT ,
(6.270)
т.е. (6.270) — спектральное разложение H 2 , то СЗ H 2 — это квадраты СЗ H , а
значит 2n СЗ H определяются как   i2   i , и первая часть утверждения
доказана.
Для доказательства второй части проверим непосредственно, что вектор
 vi 


  u  является СВ матрицы H :
 i
 v i   0 AT   v i    AT u i 


.

H 

 
 

  u i   A 0    u i   Avi 
(6.280)
198
Рассмотрим составляющие правой части (6.280):
 u1T 
 0
0 
 
 
 
 
 
 
 T
T
T


A u i  VU u i  V  u i  u i  V 1  V   i    i vi .
 
 
 
 
 
 T


 
 un 
 0
0 
 
(6.290)
Аналогично (6.290) показывается, что
Avi   i ui .
(6.300)
Учитывая (6.290) и (6.300), из (6.280) вытекает
 v     i vi 
 v 
   i  i  ,
H  i   
  ui 
  ui    i ui 
 v 
из чего по определению следует, что  i  — СВ матрицы H , отвечающий СЗ
  ui 
  i , который после нормирования становится равным
1  vi 

.
2   u i 
Опираясь на установленную связь между сингулярным и спектральным
разложениями соответствующих матриц, можно преобразовать алгоритмы
решения симметричной проблемы СЗ в алгоритмы вычисления SVD. Это
преобразование выполняется не прямолинейно, поскольку SVD обладает
дополнительной структурой, которая часто может быть использована для
повышения эффективности и точности алгоритмов [J.Demmel and W.Kahan 90;
P.Deift, J.Demmel, L.-C.Li, and C.Tomei 91].
Практически
все
алгоритмы
вычисления
спектрального
симметричной матрицы A состоят из следующих этапов:
разложения
199
 Матрица A приводится к трехдиагональной форме T посредством
ортогональной матрицы Q1 , т.е. A  Q1TQ1T ;
 Вычисляется спектральное разложение T  Q2 Q2T , где  — диагональная
матрица СЗ, а Q2 — ортогональная матрица, столбцами которой являются
СВ татрицы T ;
 Разложения первых двух этапов комбинируются с тем, чтобы получить
разложение
A  Q1Q2 Q1Q2  .
T
Столбцы матрицы Q  Q1Q2 — СВ матрицы A .
Из аналогичных этапов состоят практически все алгоритмы вычисления
SVD матрицы A общего вида:
 Матрица A приводится к двухдиагональной форме B с помощью
ортогональных матриц U 1 и V1 , т.е. A  U 1 BV1T . Двухдиагональность
матрицы B означает, что ненулевые элементы в ней могут располагаться
только на главной диагонали и первой наддиагонали. Приведение к
двухдиагональной форме может быть выполнено при помощи алгоритма,
предложенного в [Деммель], который для вычисления матрицы B
требует O(n 3 ) арифметических операций. Если требуется найти лишь
сингулярные числа, то нужна только эта матрица. При необходимости
вычисления и сингулярных векторов еще O(n 3 ) операций затрачивается
на вычисления матриц U 1 и V1 ;
 Вычисляется SVD
матрицы B : B  U 2 V2T . Здесь  — диагональная
матрица СНЧ, а столбцами ортогональных матриц U 2 и V2 являются
соответственно левые и правые СНВ;
 Разложения первых двух этапов комбинируются с тем, чтобы получить
разложение
200
A  U 1U 2 V1V2  .
T
Столбцы матриц U  U1U 2 и V  V1V2 — соответственно левые и правые
СНВ матрицы A .
Утверждение 6.5. Пусть B — двухдиагональная матрица порядка n с
диагональными элементами a1 ,..., a n и наддиагональными элементами b1 ,..., bn1 .
Вычисление SVD
матрицы B можно свести к вычислению СЗ и СВ
симметричной трехдиагональной матрицы следующими способами:
 0 BT 
 , P  e1 , en1 , e2 , en 2 ,..., en , e2 n  — матрица перестановок, e i
1. Пусть A  

B 0 
— i -ый столбец единичной матрицы порядка 2n . Тогда
T ps  P T AP
(6.310)
— симметричная трехдиагональная матрица, все диагональные элементы
которой равны нулю, а наддиагональными и поддиагональными являются
числа a1 , b1 , a2 , b2 ,..., bn1 , an . Пусть  i , xi  — собственная пара для T ps , т.е.
T ps xi   i xi , причем xi — нормированный вектор. Тогда  i   i , где  i —
СНЧ матрицы B , а Pxi 
1  vi 

 , где u i и vi — соответственно левый и
2   u i 
правый (нормированные) СНВ для B .
2. Пусть T  BB T . Тогда T — симметричная трехдиагональная матрица с
диагональными элементами a12  b12 , a 22  b22 ,..., a n21  bn21 , a n2 , наддиагональные
и поддиагональные элементы равны a 2 b1 , a3 b2 ,..., a n bn1 . СНЧ матрицы B —
квадратные корни из СЗ матрицы T , а левые СНВ для B — СВ для T .
3. Пусть T  B T B . Тогда T — симметричная трехдиагональная матрица с
диагональными элементами a12 , a 22  b12 , a32  b22 ,..., a n2  bn21 , наддиагональные
и поддиагональные элементы равны a1 b1 , a 2 b2 ,..., a n 1bn1 . СНЧ матрицы B
201
— квадратные корни из СЗ матрицы T , а правые СНВ для B - СВ для T .
Матрица T не дает никакой информации о левых СНВ матрицы B .
Доказательство.
1. Поскольку матрица перестановок является ортогональной матрицей, то
преобразование (6.310) является подобным и не меняет спектра матрицы,
т.е. СЗ матриц A и T ps совпадают. Из утверждением 6.4 непосредственно
вытекает заключение первой части утверждения 6.5.
2. Значения диагональных, наддиагональных и поддиагональных элементов
матрицы
T  BB T
устанавливается непосредственным вычислением.
Истинность заключения следует из утверждения 6.3.
3. Значения диагональных, наддиагональных и поддиагональных элементов
матрицы
T  BT B
устанавливается непосредственным вычислением.
Истинность заключения следует из утверждения 6.2.
Утверждение 6.5 очень важно с точки зрения обоснования теоретической
возможности
применения
к
любой
из
трехдиагональных
матриц,
фигурирующих в этом утверждении, QR-итерации, алгоритма «разделяй-ивластвуй» или бисекции в комбинации с обратной итерацией, с последующим
извлечением из полученного спектрального разложения СНЧ и СНВ
(возможно, только левые или только правые). Однако этот подход игнорирует
особенности SVD матрицы. Действительно, во-первых, применение к T ps
симметричной трехдиагональной QR-итерации или алгоритма «разделяй-ивластвуй» было бы неэффективным, т.к. оба алгоритма вычисляют все СЗ (и
СВ) матрицы T ps , но согласно утверждению 6.5 нужны лишь неотрицательные
СЗ. Во-вторых, явное формирование матриц T и T может привести к
численной неустойчивости. В малых СНЧ матрицы B можно потерять
половину верных знаков [Дем].
Для практического вычисления SVD хорошо зарекомендовали себя
следующие алгоритмы:
202
1. QR-итерация и ее варианты. При правильной реализации [K.Fernando
and B.Parlett 94] — один из наиболее быстрых методов отыскания всех
СНЧ двухдиагональной матрицы. Все СНЧ определяются с высокой
относительной точностью, т.е. у всех найденных СНЧ, даже у самых
малых, все разряды будут верны. Если нужны и СНВ, то применяется
вариант QR-итерации, предложенный в [J.Demmel and W.Kahan 90]: для
вычисления
СНВ,
отвечающих
младшим
СНЧ,
QR-итерации
используется с нулевым сдвигом. Такой метод остается скорейшим лишь
для малых матриц, порядок которых не превосходит примерно 25.
2. «Разделяй-и-властвуй». Это один из самых быстрых методов отыскания
всех СНЧ и СНВ матриц порядка большего, чем 25. Однако алгоритм
«разделяй-и-властвуй» не гарантирует высокой относительной точности
для малых СНЧ.
3. Бисекция и обратная итерация. Применяя бисекцию в комбинации с
обратной итерацией к матрице T ps из первой части утверждения 6.5,
можно находить только СНЧ из заданного интервала. Этот алгоритм
гарантирует высокую относительную точность СНЧ, хотя вычисленные
СНВ могут терять ортогональность.
6.3. Итерационные методы решения проблемы собственных значений
Итерационные методы обычно используются для вычисления СЗ столь
больших матриц, что к ним нельзя применить рассмотренные выше прямые
методы. Как правило, итерационные методы требуют памяти, меньшей чем
O(n 2 ) машинных слов, и работы, меньшей чем O(n 3 ) операций с плавающей
точкой. Так как для хранения всех СВ почти любой n  n -матрицы необходимо
иметь n 2 машинных слов, то требования алгоритмов означают, что они будут
вычислять
лишь
несколько
соответствующих СВ.
СЗ,
каким-либо
образом
выделенных,
и
203
Для решения простейшей спектральной задачи, которая заключается в
поиске максимального по модулю СЗ и соответствующего СВ симметричной
матрицы A , чаще других используется степенной метод, генерирующий
векторную последовательность {xi } :
y i 1  Axi , xi 1 
y i 1
.
y i 1 2
(6.320)
При этом, если имеется только одно СЗ с наибольшим модулем и начальное
приближение x1 не лежит в инвариантном подпространстве, где требуемый СВ
не представлен, последовательность {xi } сходится к искомому СВ.
Для дальнейшего изложения определим подпространство Крылова
K k ( A, x1 ) как линейную оболочку векторов x1 , Ax1 , A 2 x1 ,..., A k 1 x1 :
K k ( A, x1 )  span x1 , Ax1 , A 2 x1 ,..., A k 1 x1 .
Ортонормированный базис пространства K k ( A, x1 ) определяется алгоритмами
Арнольди и Ланцоша [Дем].
Пусть
матрица
K   y1 , y 2 ,..., y n  ,
y 3  Ay 2  A 2 y1 ,..., y n  Ay n 1  A n 1 y1 ,
где
n
где
порядок матрицы
y1  x1 , y2  Ay1 ,
A,
вектор
c   K 1 A n y1 . Тогда
AK  K e2 , e3 ,..., en ,c  KC ,
где
C  e2 , e3 ,..., en ,c
(6.330)
— верхняя почти треугольная матрица (верхняя
хессенбергова матрица [Дем]), для которой из (6.330) вытекает равенство:
C  K 1 AK .
(6.340)
204
Заметим, что вектор c может быть вычислен неточно, поскольку с большой
вероятностью матрица K
является плохо обусловленой. Действительно,
поскольку векторная последовательность (6.320) сходится к СВ, отвечающему
наибольшему СЗ матрицы A , вектора-столбцы K могут оказаться близкими к
параллельным, что приведет к близости определителя K к нулю и большому
значению числа обусловленности.
Построим для матрицы K ее QR  разложение:
K  QR ,
(6.350)
где Q — ортогональная, а R — верхняя треугольная матрица. Тогда, учитывая
(6.340),


C  R 1Q T AQR  ,
Откуда при помощи элементарных матричных преобразований
Q T AQ  RCR 1  H .
(6.360)
Таким образом, путем подобного преобразования с ортогональной матрицей Q
матрица A приведена к верхнему почти треугольному виду — H ( H является
верхней хессенберговой матрицей в силу своего представления: R, R 1 —
верхние треугольные, C — верхняя почти треугольная матрица).
Замечание 6.7. Если A  AT , то из соотношения (6.360) с учетом структуры
матрицы H вытекает, что она является трехдиагональной симметричной. В
этом случае будем обозначать
Q T AQ  T .
(6.370)
205
Пусть Q — это произвольная ортогональная матрица порядка n , причем
известны не все столбцы матрицы Q , а лишь первые k — q1 , q2 ,..., qk . Этого
оказывается достаточно для того, чтобы получить приближения к СЗ и СВ
симметричной матрицы A .
Обозначим Q  Qk , Qu  , где Qk  q1 ,..., qk , Qu  qk 1 ,..., qn  . Из (6.370):
T  Qk , Qu 
T
QkT AQk

AQk , Qu   
Q T AQ
k
 u
QkT AQu 

.
QuT AQu 
Обозначим Tk  QkT AQk — k  k  матрица, Tuk  QkT AQu , Tku  QuT AQk — k  (n  k )  и
(n  k )  k  матрицы соответственно, Tu  QuT AQu — (n  k )  (n  k )  матрица. Тогда
Tk Tku T 


T 

T

 ku Tu 
(6.380)
СЗ матрицы Tk  QkT AQk могут интерпретироваться как приближения к СЗ
матрицы A (процедура Рэлея-Ритца [Дем]). Эти приближения называются
числами Ритца. Если Tk  VV T — спектральное разложение Tk , то столбцы
матрицы QkV рассматриваются как приближения к соответствующим СВ
матрицы A и называются векторами Ритца.
206
Можно показать [Дем], что минимум AQk  Qk R 2 по всем симметричным
k  k  матрицам R достигается при R  Tk , при этом
AQk  Qk R 2  Tku 2 . Если
Tk  VV T — спектральное разложение Tk , то минимум величины APk  Pk D 2 ,
когда Pk пробегает множество n  k  матриц с ортонормированными столбцами,
таких, что
spanPk   spanQk  ,
k  k  матриц, также равен Tku
2
а
D
пробегает множество диагональных
и достигается для Pk  QkV и D   .
В силу этого векторы Ритца — «наилучшие» приближенные СВ, а числа
Ритца — «наилучшие» приближенные СЗ
A
в том смысле, что они
минимизируют APk  Pk D 2 . Кроме того, если известны лишь Qk и Tk , а Qu не
известна, то числа и векторы Ритца — естественные приближения, которые
можно извлечь из имеющейся информации о матрице A .
Для нахождения q1 , q2 ,..., qk нет необходимости получать в явном виде
QR  разложение (6.350), а можно воспользоваться, например, алгоритмом
Арнольди. Из (6.360)
AQ  QH .
В правой части матричного равенства (6.390)
 h11 h12  h1, j h1, j 1  h1n



 h21 h22  h2, j h2, j 1  h2 n



 q11 q12  q1, j 1  q1n  0 h32  h3, j h3, j 1  h3n




 q 21 q 22  q 2, j 1  q 2 n   

QH  

0
0

h
h

h











j

1
,
j
j

1
,
j

1
j

1
,
n




 q q q

0  0
h j  2, j 1  h j  2,n 
n , j 1  q nn  0
 n1 n 2
 


 0 0  0

0

h
h
n , n 1 n , n 

j  ый столбец матрицы-результата будет равен:
(6.390)
207
q11h1, j  q12 h2, j  ...  q1, j 1 h j 1, j 
 q 21h1, j  q 22 h2, j  ...  q 2, j 1 h j 1, j  ... 
 q n1 h1, j  q n 2 h2, j  ...  q n , j 1 h j 1, j 
 h1, j q1  h2, j q 2  ...  h j 1, j q j 1
Таким образом, приравнивая j  ые столбцы AQ и QH , получаем:
j 1
Aq j   hij qi .
(6.400)
i 1
Из (6.400)
j 1
qmT Aq j   hij qmT qi  hmj , m  1, j ,
i 1
(6.410)
j
h j 1, j q j 1  Aq j   hij qi .
i 1
Соотношения (6.410) являются основой для алгоритма Арнольди вычисления
векторов q1 ,..., q k :
208
q1 
для
b
b2
j  1 до k
z  Aq j
для i  1 до
j
hij  q z
T
i
z  z  hij qi
конец цикла по i
h j 1, j  z
2
если h j 1, j  0 то выход
q j 1 
z
h j 1, j
конец цикла по j
Для симметричной матрицы A алгоритм Арнольди можно значительно
упростить. Поскольку
 1 1

  

1

,
T
    n 1 


 n 1  n 

приравнивая j  ые столбцы в (6.390), получаем:
Aq j   j 1 q j 1   j q j   j q j 1 .
(6.420)
Из (6.420) с учетом ортогональности матрицы Q получаем:
q Tj Aq j   j .
(6.430)
Соотношения (6.420), (6.430) являются основой алгоритма Ланцоша построения
крыловского подпространства (симметричная версия алгоритма Арнольди):
209
q1 
b
,  0  0, q 0  0
b2
для
j  1 до k
z  Aq j
 j  q Tj z
z  z   j q j   j 1 q j 1
j  z
2
если
 j  0 то выход
q j 1 
z
j
конец цикла по j
Если не происходит досрочного выхода из алгоритма вследствие z  0 , то
векторы q1 , q2 ,..., qk , столбцы матрицы Qk , вычисляемые в алгоритмах Арнольди
(Ланцоша), образуют ортонормированный базис K k .
Предположим, что матрица Qk вычислена алгоритмом Ланцоша; Tk  VV T
— спектральное разложение Tk , где V  v1 ,..., vk  ,
  diag 1 ,...,  k  . Можно
показать [Дем], что найдутся k (необязательно наибольших) СЗ 1 , 2 ,..., k
матрицы
A
AQk vi   Qk vi  i
такие,
2
что
 Tku vi
2
i   i  Tku
2
  k , i  1, k ,
исходя
из
(6.380);
  k vi (k ) , где vi (k ) — последняя k  ая компонента
вектора vi , т.е. разность между числом Ритца  i и некоторым СЗ матрицы A не
превышает величины Tku vi 2 , которая может быть много меньше, чем Tku 2 ; не
имея
информации
о
спектре
матрицы
Tu ,
нельзя
дать
какую-либо
содержательную оценку для погрешности в векторе Ритца Qk vi . Если известно,
что  i отделено расстоянием, не меньшим g , от прочих СЗ матриц Tk и Tu , то
угол  между Qk vi и точным СВ матрицы A можно оценить следующим
образом:

1
sin 2  k .
2
g
210
Алгоритм Ланцоша для вычисления СЗ и СВ симметричной матрицы A
выглядит следующим образом:
q1 
для
b
,  0  0, q 0  0
b2
j  1 до k
z  Aq j
 j  q Tj z
z  z   j q j   j 1 q j 1
j  z
2
если
 j  0 то прекратить выполнение алгоритма
q j 1 
z
j
Вычислить СЗ и СВ матрицы T j и оценки погрешностей в них
конец цикла по j
При
различных
реализациях
алгоритма
Ланцоша
(с
полной
переортогонализацией, выборочной ортогонализацией, без ортогонализации
[Saad; Дем] вычислительная сложность k шагов этого алгоритма потребует от
до
Okn
(6.433)
 
(6.435)
O k 2n
арифметических операций (в предельном случае, когда k  n , получается
хорошо известная формула — On 3  операций).
Замечание 6.8. Поскольку для анализа состояния ИТС с использованием ее
графово-матричной модели имеют значения лишь максимальные СЗ матрицы
смежности G ( k  n ), это дает возможность проведения этого анализа,
используя алгоритм Ланцоша, с малыми вычислительными затратами (6.433),
(6.435).
211
Для несимметричной матрицы
A
приведенный алгоритм Ланцоша
очевидно не может быть использован. В этом случае можно воспользоваться
алгоритмом Арнольди, вычисляющим ортогональный базис Qk крыловского
подпространства K k ( A, q1 ) , в котором Qk T AQk  H k — верхняя почти треугольная
матрица. СЗ матрицы A аппроксимируются СЗ матрицы H k . Поскольку
матрица
A
несимметрична, ее СЗ могут быть плохо обусловленными
(чувствительными к возмущающим воздействиям). Эффективные методы
решения в этом случае приведены, например, в [D.Sorensen, R.Lehoucq,Y.Saad].
Одним из способов ускорения сходимости итерационных методов решения
задачи на собственные значения является использование так называемой
техники предобуславливания.
Эта техника хорошо известна в связи с решением систем линейных
алгебраических уравнений [Дем], где система Ax  b заменяется эквивалентной
системой
M 1 Ax  M 1b .
( cond M 1 A  condA ),
обеспечить)
что
При этом матрица
дает
возможность
M 1 A
хорошо обусловлена
значительно
ускорить
(или
сходимость используемого итерационного метода решения
системы.
Для задач на СЗ аналогичная идея реализуется при помощи сдвига и
обращения (shift-and-invert technique (SIT)): если необходимо определить
спектр матрицы A , то вместо нее рассматривается матрица B   A   I 1 , где
скалярная величина  называется сдвигом, спектр которой является более
разделенным, чем у исходной матрицы A , что приведет к ускорению
сходимости метода решения.
Обычно SIT используется в комбинации с каким-то другим методом,
например, методом Арнольди. Простейшая схема включает в себя выбор сдвига
 и применение метода Арнольди непосредственно к матрице  A   I 1 .
Более детально разработанные алгоритмы включают в себя автоматический
выбор сдвигов и выполнение факторизации. Стратегии для адаптивного выбора
новых сдвигов называются SIT-стратегиями и состоят из преобразования
212
исходной задачи  A   I x  0 в  A   I 1 x   x . Новые СЗ  i обычно намного
лучше отделены, чем i для исходной задачи, результатом чего является
лучшая сходимость методов, работающих с крыловскими подпространствами.
Замечание 6.9. В силу того, что для анализа состояния ИТС определяющую
роль играют максимальные СЗ матрицы смежности G графа-модели, а они в
подавляющем
большинстве
использование
случаев
являются
хорошо
отделенными,
SIT не представляет интереса для ускорения сходимости
итерационных методов решения проблемы нахождения СЗ G .
Заключение.
На базе обоснованного развития теории возмущений в работе впервые
создан единый математический подход к оценке состояния и анализу процесса
функционирования защищенных информационных систем и систем защиты
информации, без чего немыслимо создание интенсивного комплексного
обеспечения безопасности информационных технологий.
Разработанный подход позволяет, абстрагируясь от конкретного вида
информационной системы и вида ее преобразования, исследовать степень
зависимости
состояния
системы
от
преобразующего
(возмущающего)
воздействия, провести анализ результатов такого воздействия.
В работе впервые
 представлена общая формализация произвольного информационного
процесса,
позволяющая
существующих
или
выделить
вновь
параметры
создаваемых
в
используемых
математических
моделях
защищенных информационных систем, анализ возмущений которых
определяет
характеристики
состояния
и
особенности
технологии
функционирования исследуемых объектов;
 на основе доказанной принципиальной возможности для формального
представления
произвольного
информационного
процесса
в
виде
213
конечного множества матриц конечной размерности анализ любого
процесса в области защиты информации сведен к матричному анализу.
Определены наборы математических параметров (полные наборы),
анализ возмущений которых определяет характеристики состояния и
особенности
технологии
функционирования
защищенных
информационных систем и систем защиты информации: совокупность
СНЧ
и
ортонормированных
СНВ,
или
спектр
и
множество
ортонормированных СВ специального вида соответствующей матрицы
(матриц). На основе анализа возмущений полных наборов определяющих
математических параметров разработан общий метод оценки свойств
защищенных информационных систем и систем защиты информации;
 разработано
понятие
знаковой
чувствительности
информационной
системы, послужившее основой для создания модели системы защиты
информации;
 разработаны основные положения графово-матричной математической
модели
защищенной
информационно-технологической
системы,
основывающейся на принципах функционирования нервной системы
человека, отражающей ее иерархическую структуру, основа анализа
состояния которой заключается в анализе возмущений полного набора
параметров соответствующей ей матрицы;
 разработан метод получения количественных оценок функционирования
произвольных элементов защищенной информационно-технологической
системы, основой которого явилось развитие метода анализа иерархий;
 на основе взвешенного графа разработана графово-матричная модель
противника и методы ее обработки;
 разработана совокупная графово-матричная математическая модель
«защищенная система — противник», на основе которой получен метод
оценки
адекватности
защищенной
предполагаемому противнику.
информационной
системы
214
Вычислительные затраты
сравнимы
с
количеством
спектрального
для реализации всех разработанных методов
арифметических
(сингулярного)
разложения
операций
для
построения
матрицы,
соответствующей
рассматриваемой системе информационной безопасности.
Результатом проделанной работы является возможность для построения
научного
базиса
информационной
безопасности
в
виде
не
простой
совокупности набора разрозненных научных исследований и их практических
приложений, а в виде единой структуры, части которой взаимосвязаны и
взаимозависимы.
215
ДОПОЛНЕНИЕ 1. СХЕМЫ ХРАНЕНИЯ ГРАФОВ И ИХ АНАЛИЗ
Характеристики алгоритмов, оперирующих с графами, обычно очень
чувствительны к способу их представления.
Пусть G  ( X , E ) — граф с n вершинами. Списком смежности для вершины
x X
называется
множество
Adj( x)  y  X \ {x} y смежна с х.
Структура
смежности графа G — это множество списков смежности для всех его
вершин. Такую структуру можно реализовать, храня последовательно списки
смежности узлов в одномерном массиве
A
длины
2E ,
и используя
дополнительный индексный массив Aind длины n  1 , содержащий указатели
начала
каждого
смежности
в
—
( A(n  1)
списка
массиве
адрес
A
первой
свободной ячейки в массиве
A)
[Дж.
Лю]
(рис.Д1.1).
Общая длина массивов при
такой
схеме
хранения
—
2 E  X  1.
Соседи
текущего
в
массиве
x X
располагаются
в
узла
A
позициях,
начиная с Aind x  и заканчивая
 
Aind x  1  1, таким образом, их
поиск не представляет труда, что является очень значительным преимуществом
рассмотренной схемы хранения. Однако внесения при необходимости
изменений в структуру смежности графа очевидно вызовут затруднения.
Действительно, добавление (исключение) узлов (ребер) из графа приведет к
модификации не только списков смежности соответствующих узлов, но может
216
потребовать изменения всего массива A (и соответствующим образом Aind )
(рис.Д1.2), что, конечно, не желательно.
Данная
проблема
очевидно
остается
нерешенной
и
при
использовании
для
представления
графа
нижней
G  ( X , E)
структуры смежности.
Здесь вместо хранения
для каждого узла x  X
полного
списка
смежности
хранятся
только те узлы из Adj(x) ,
метки которых больше,
чем у
x,
значительно
что
может
сократить
запросы к памяти. Для графа, представленного на рис.Д1.1, нижняя структура
смежности изображена на рис.Д1.3. Общая длина массивов при такой схеме
хранения — E  X  1 : длина массива A уменьшилась в два раза по сравнению
с хранением всей структуры смежности, поскольку теперь каждое ребро будет
учтено лишь 1 раз (для той из двух инцидентных ему вершин, номер которой
меньше).
Одной из наиболее простых схем хранения графа является таблица связей
— двумерный массив, имеющий
n
строк и m столбцов, где m —
максимальная степень вершин в G  ( X , E ) . Список смежности i  го узла
хранится в i  ой строке. Для графа, приведенного на рис.Д1.1, таблица связей
будет иметь вид:
217
2
1

1

2
1

5
3
5
3
4
2
3
4

3
6



 
5
.




Данная схема хранения чрезвычайно проста при реализации, доступ к
списку смежности очередного узла — доступ к соответствующей строке
матрицы,
модификация
графа
приводит
к
изменению элементов соответствующих строк
матрицы без нарушения общей структуры (если
при модификации не изменяется m ). Однако эта
схема может быть чрезвычайно неэффективна,
если большое количество узлов графа имеет
степень,
(значительно)
меньшую,
чем
максимальная, поскольку ее требования к
памяти определяются как mn «хранимых» элементов.
Наиболее удобной с точки зрения возможностей проведения модификаций
графа является схема, использующая поле связей. Данная схема содержит три
одномерных массива A , As , Aind , первые два из которых имеют длины 2 E ,
последний —
X . Значением указателя
Aind (i )
является начало списка
смежности i  го узла в массиве A . Если A(k ) — это очередной сосед i  го узла,
то As (k ) — указатель расположения следующего его соседа в массиве A .
Отрицательное значение
As (k )
говорит об окончании списка смежности
рассматриваемого узла.
Общая длина массивов при таком способе представления графа — 4 E  X ,
что значительно больше, чем в первой схеме. Однако модификация графа
требует лишь незначительных изменений в уже сформированой части
218
массивов. Для графов, представленных на рис. Д1.1, Д1.2, соответствующие
схемы даны на рис.Д1.4.
Таким образом, выбор подходящей схемы хранения графа определяется тем
набором задач, которые решаются на его основе.
Замечание Д1.1. Граф ИТС, являясь деревом, будет содержать большое
количество листьев, степень которых равна 1. В то же время, поскольку
структурным соотношением при построении графа было отношение «состоять
из», то очевидно, что максимальная степень вершин графа будет значительно
превосходить 1, что исключает вторую из рассмотренных схем как
эффективную схему хранения графа-модели.
Рис.Д1.4. Схема хранения, основанная на поле связей: исходный граф (а); граф
после добавления вершины.
Замечание Д1.2. Если рассматривается графовая модель ИТС, в которой
возможны изменения в подграфе, отвечающем СЗИ (добавление новых вершин,
219
отвечающих введенным в систему дополнительным средствам защиты,
удаление старых, соответствующих средствам защиты, выведенным из строя
при атаке), то при хранении графа системы имеет смысл использовать схему,
использующую поле связей: несмотря на сравнительно большие запросы к
памяти, обработка необходимых модификаций здесь будет происходить с
малыми вычислительными затратами (рис.Д1.4).
ДОПОЛНЕНИЕ 2. АЛГОРИТМ ПОСТРОЕНИЯ ТОПОЛОГИЧЕСКОЙ
СОРТИРОВКИ ОРИЕНТИРОВАННОГО ГРАФА ПО
ТОПОЛОГИЧЕСКИМ
СОРТИРОВКАМ
ЕГО
ПОДГРАФОВ
Пусть
G  V , E  имеет большую размерность.
ориентированный граф
Построим разбиение V1 ,,Vk  множества вершин V :
k
V
i
 V , Vi  V j  Ø,
i 1
для i  j . Каждое подмножество Vi , i  1, k , определяет порожденный подграф
Gi  Vi , Ei  графа G  V , E  [Харари]. Построение
сортировки графа G  V , E 
проведем на основе сортировок подграфов Gi  Vi , Ei  . Заметим, что
k
 G  V , E   G  V , E ,
i
i
i
i 1
поскольку при выделении подграфов Gi  Vi , Ei  , происходит потеря ребер,
инцидентных
вершинам
из
разных
подмножеств
потери разрываются связи между вершинами
Vi . Вследствие такой
графа G  V , E  , проход по
которым может определить топологический индекс вершины. Отметим, что
связный граф
невозможно разбить на непересекающиеся
подграфы,
объединение
которых
Например,
давало
бы
исходный.
G1  V1 , E1   G2  V2 , E2   G V , E  (рис.Д2.1), т.к. объединение не содержит ребро
220
1, 5 , а значит при построении топологической сортировки графа G  V , E  по
топологическим
G1  V1 , E1  ,
сортировкам
G2  V2 , E2 
не
учитывается
возможность получения вершинами исходного графа с индексами 5 и 6
топологических номеров по цепочке 1, 5, 6.
Рис. Д2.1. Разбиение графа на подграфы
Возникновение
подобных
ситуаций
делает
принципиально
невозможным получение топологической сортировки графа G  V , E  , по
сортировкам его подграфов, порождаемых разбиением множества вершин V .
Определение Д2.1. Множество
k
ET  E   E i
i 1
называется множеством теряемых ребер графа
V1 ,,Vk  множества
G  V , E  при
разбиении
V.
Определение Д2.2. Вершины графа G  V , E  , являющиеся концевыми
вершинами теряемых ребер, называются граничными вершинами.
Во избежание потери ребер при разбиении графа G  V , E  заменим
каждый его порожденный подграф Gi Vi , Ei , на другой порожденный подграф


Gi V i , Ei , i  1, k , где множество Vi
содержит вершины, входящие в Vi , и
221
дополнительно граничные вершины графа G  V , E  , каждая из которых
смежна хотя бы с одной вершиной из множества Vi .
система
 G V
k
i
i
порожденных

, E i  G  V , E ,
подграфов,
очевидно,
Полученная новая
обладает
свойством:
но пересечение этих подграфов не обязательно равно
i 1
Ø.
Например, для
подграфов

Gi V i , Ei
G  V , E  (рис.Д2.1) можно построить
графа

i  1,2 (рис. Д2.2,
пунктиром
обозначено
систему
теряемое
ребро).
Построим сортировки наименьшей длины для каждого подграфа в
отдельности, при этом каким-либо образом пометив граничные вершины. Без
ограничения
общности
рассуждений принимается, что запись каждого
топологического уровня сортировки содержит сначала индексы всех вершин,
не являющихся граничными, а если присутствуют граничные вершины, их
индексы завершают запись.
иметь
минимальное
Такие
топологические
сортировки будут
количество уровней, равное длине критического пути
подграфа плюс единица.
Рис.Д2.2.Восстановление теряемого ребра
При построении сортировки произвольного графа G  V , E  для простоты
изложения предположим, что количество определенных выше порожденных
подграфов равно двум: G 1 V 1 , E1 , G 2 V 2 , E 2 , а G1 , G2 — их топологические
222
сортировки, представляющие массивы, в которых последовательно выписаны
топологические
уровни,
топологические
номера
начиная
с
вершины
первого.
t1  , t 2  —
Обозначим
G1 , G2 соответственно, t r , —
в
топологический номер граничной вершины
в результирующей сортировке
графа G  V , E  , t k i  , i  1,2 , — корректировочные разности для G i V i , Ei , i  1,2 .
Корректировочной разностью подграфа


G i V i , Ei , i  1,2 , назовем разность
между топологическим индексом вершины в сортировке G i V i , Ei  и ее
индексом в сортировке G  V , E  .
Основные этапы алгоритма восстановления топологической сортировки
графа представлены на рис. Д2.3.
Обобщение предложенного алгоритма на граф с большим числом
подграфов
не
вызывает
труда: для
присвоения
окончательного
топологического номера каждой граничной вершине необходимо будет
исследовать не два, а более подграфов, что потребует и большего общего
количества арифметических операций. Таким
предложенного алгоритма зависит
от
числа
образом,
подграфов,
эффективность
а
наибольший
выигрыш во времени по сравнению с непосредственным построением
топологической сортировки исходного графа наблюдается, когда количество
подграфов минимально (два, три), что и подтверждается результатами
вычислительного
эксперимента (табл.Д2.1), проведенного на различных по
структуре графах (рис.Д2.4).
Из полученных результатов очевидно, что даже
небольшом количестве вершин
при сравнительно
графа построение его топологической
сортировки по топологическим сортировкам его подграфов происходит
быстрее, чем непосредственное построение топологической сортировки всего
графа(это количество вершин фиксировалось, как только преимущество во
времени достигало порядка 10 2 с). С увеличением размерности графа
преимущество возрастает.
223
— Инициализация значения корректировочных
G 1 V 1 , E1 ,
G 2 V 2 , E2
и
определение
порядка
сортировок: t k 1  0 ; t k 2   0 ; i  1, j  2 ;

—



разностей для подграфов
просмотра
топологических


Последовательный просмотр топологической сортировки G i V i , Ei .


Пусть v — индекс очередной вершины в сортировке G i V i , Ei .
Если индекс v соответствует неграничной вершине,
то
t i v  = t i v  + t k i  , возврат в начало этапа;
иначе —
переход на следующий этап;
— Последовательный просмотр топологической сортировки G j V j , E j .




Пусть w — индекс очередной вершины в сортировке G j V j , E j .
Если индекс w соответствует неграничной вершине,
то
t j w = t j w + t k  j  , возврат в начало этапа;
иначе —
М: если v  w ,
то
t r v, w  max  t i v , t j w ;обновление корректировочных разностей:
t k i   t r v, w  t i v  ; t k  j   t r v, w  t j w ; переход на
предыдущий этап;
если v  w ,
то
если в пределах рассматриваемого топологического уровня
G j V j , E j существует такая граничная вершина с индексом u ,


что v  u ,
то
вывод вершины с индексом u на первое место в списке
граничных вершин данного топологического уровня; переход
на метку М;
иначе —
t k i   ( max  t i v , t j w  1 )- t i v  ,
t i v   max  t i v , t j w  1 ; c  i, i  j, j  c ; переход на
предыдущий этап.
Рис.Д2.3. Основные этапы алгоритма построения топологической сортировки
объединения подграфов
224
Таблица Д2.1 —
Тип
графа
Кол-во
подграфов
Кол-во вершин в
подграфах
Количество вершин графа,
начиная с которого достигается
преимущество предложенного
алгоритма по времени
1
2
96 / 105
200
1
3
97 / 92 / 101
288
1
4
122 / 76 / 62 / 60
323
2
2
256 / 257
512
2
4
161 / 161 / 161 / 160
640
3
2
176 / 175
350
3
4
139 / 138 / 139 / 138
550
4
2
105 / 296
400
4
3
150 / 173 / 177
500
5
2
288 / 289
576
5
3
217 / 218 / 216
648
5
4
177 / 177 / 178 / 178
704
6
2
98 / 139
235
6
4
102 / 128 / 96 / 133
456
225
Рис.Д2.4. Типы использованных графов: тип 1(а); тип 2(б); тип 3(в)
Эффективность рассмотренного алгоритма в значительной степени
зависит от способа разбиения исходного графа на подграфы. При разбиении
следует стремиться к минимальному количеству теряемых ребер, а не равному
количеству вершин в подграфах.
ДОПОЛНЕНИЕ 3.
ГОМОМОРФНАЯ СВЕРТКА
И
СВОЙСТВА
ТОПОЛОГИЧЕСКИХ СОРТИРОВОК
Для
упрощения
исследования
топологических
сортировок
графа
информационного процесса полезным оказывается модификация, основанная
на операциях гомоморфизма [Харари, Воев; Новиков].
Пусть дан ориентированный граф G  (V , E ) ; u, v  V — произвольные две
вершины графа; V  V \ u, v. Две вершины u, v заменяются одной новой
вершиной w . Пусть V1  V  {w} . Изменим множество ребер E исходного графа,
226
результатом чего будет E1 , следующим образом: если очередное ребро в E не
инцидентно ни одной из вершин u, v , то это ребро просто переносится в E1 ; в
противном случае ребро в E1 получается из ребра в E заменой вершин u, v
новой вершиной w . В этом случае говорят, что граф G1  (V1 , E1 ) получается из
графа G  (V , E ) с помощью операции элементарного гомоморфизма. Операция
элементарного гомоморфизма может привести к появлению циклов, кратных
дуг, даже если исходный граф их не имел (рис.Д3.1). Если после описанной
операции исключаются все петли, а все кратные дуги отождествляются, то
такая операция называется простым элементарным гомоморфизмом, в
противном
случае
—
кратным
элементарным
гомоморфизмом
или
элементарным гомоморфизмом.
Рис.Д3.1. Исходный граф (а); результат кратного элементарного гомоморфизма
вершин 2 и 3 (б); результат простого элементарного гомоморфизма (в)
Операция
элементарного
гомоморфизма
ассоциативна.
Последовательность элементарных гомоморфизмов называется гомоморфной
сверткой. Гомоморфной сверткой также часто называется граф, полученный в
результате выполнения указанных операций. Операции, заключающиеся в
последовательном
выполнении
простого
(кратного)
элементарного
гомоморфизма называют простым (кратным) гомоморфизмом или простой
(кратной) гомоморфной сверткой. На рис.Д3.2 представлены результаты
последовательности 2 элементарных гомоморфизмов: 1) слияния вершин 2 и 3
227
исходного графа, в результате чего появилась новая вершина 9; 2) слияние 9 и
5, результатом чего стала вершина 10.
Рис.Д3.2. Исходный граф (а); кратная гомоморфная свертка (б); простая
гомоморфная свертка
Говорят, что граф H гомоморфен (просто гомоморфен) графу G , если он
изоморфен некоторому графу, который получается из графа G с помощью
гомоморфной свертки (простой гомоморфной свертки). Очевидно, что
отношение гомоморфизма графов не симметрично. Граф H (G ) называется
гомоморфным образом (прообразом) графа G (H ) . По отношению друг к другу
аналогично называются их вершины и дуги.
Поскольку к гомоморфной свертке графа часто прибегают с целью
уменьшения его размера и сокращения вычислительной работы при его анализе
в процессе выявления параллельных форм, выясним, как связаны между
228
собой в общем случае топологические сортировки графа и его гомоморфной
свертки.
Пусть H
— ациклический граф, являющийся простой гомоморфной
сверткой ациклического графа G . Пусть известна какая-то топологическая
сортировка H . Разобьем вершины графа G на непересекающиеся группы,
относя к одной группе те из них, образы которых в графе H попадают в одну
группу его топологической сортировки. Присвоим группам вершин в графе G
индексы порождающих их групп графа H . Полученное разбиение вершин
графа G определяет в графе G обобщенную топологическую сортировку.
Действительно, вершины одной группы графа G являются гомоморфными
прообразами вершин одной группы графа
H.
Так как при простой
гомоморфной свертке некоторые дуги могут не иметь образы, то вершины
одной группы графа G могут быть связаны между собой ребрами. Поэтому
сортировка в графе G может быть в общем случае только обощенной. Если
рассмотреть любое ребро в графе G , связывающее вершины из разных групп,
то оно обязательно имеет образ в графе H , который также связывает в H
вершины из разных групп. Если ребро имеет образ, и этот образ не является
петлей, то при гомоморфной свертке начальная вершина всегда переходит в
начальную, а конечная — в конечную. Поэтому в рассматриваемом ребре графа
G его начальная вершина принадлежит группе с меньшим номером, чем
конечная. Таким образом, если простая гомоморфная свертка H ациклического
графа G есть ациклический граф, то любая топологическая или обобщенная
топологическая сортировка графа H порождает в общем случае обобщенную
топологическую сортировку графа G .
Для рассмотренного выше примера восстановление топологической
сортировки исходного графа по сортировке его простой гомоморфной свертки
представлено на рис.Д3.3.
229
Рис.Д3.3. Топологическая сортировка простой гомоморфной свертки (а);
восстановленная обобщенная топологическая сортировка исходного графа (б)
Как топологическая, так и обощенная топологическая сортировка задаются
только разбиением вершин графа информационного процесса на группы и
упорядочиванием самих групп. Несмотря на большое значение этих сортировок
в исследовании структуры информационных процессов, они принципиально не
могут заменить граф процесса. Именно в графе содержится исключительно
важная информация, связанная с ребрами и показывающая, как именно
осуществляется
обмен
топологические
и
информацией
обобщенные
между
топологические
вершинами.
Поэтому
сортировки
являются
предметом исследования лишь настолько, насколько они помогают изучению
структуры графов информационных процессов.
ДОПОЛНЕНИЕ 4. УПОРЯДОЧЕНИЕ СИММЕТРИЧНОЙ РАЗРЕЖЕННОЙ
МАТРИЦЫ
Одним из наиболее широко используемых алгоритмов упорядочения
симметричной разреженной матрицы, имеющих целью уменьшение ширины
ленты, является метод Катхилла-Макки [Джордж,Лю]. Этот метод работает
непосредственно
с
графом,
отвечающим
матрице.
В
нашем
случае
230
вычислительные затраты на построение графа для матрицы G равны нулю,
поскольку граф-модель является уже сформированным.
Для симметричной
n  n -матрицы
G
с элементами
g ij
определим

i  ую ширину ленты  i G :


 i G  i  f i G , i  1, n ,

(Д4.1)

где f i G   min j g ij  0 . Тогда ширина ленты G — это

 



 G  max  i G 1  i  n  max i  j g ij  0 .
Для учета ленточной структуры матрицы при ее обработке можно
использовать для ее хранения диагональную схему: поддиагонали нижнего
треугольника G , составляющие ленту, вместе с главной диагональю хранятся
по столбцам в прямоугольном массиве с размерами n   G   1 .
В основе метода Катхилла-Макки лежит следующее очень наглядное и
простое замечание, которое проиллюстрировано на рис.Д4.1. Пусть y —
помеченный узел графа, отвечающего матрице G , а z — непомеченный узел,
смежный с
y . Для того, чтобы
соответствующей
z,
нужно
уменьшить ширину ленты в строке,
присвоить
z
номер,
как
можно
менее
отличающийся от номера y .
Схема Катхилла-Макии — это метод уменьшения ширины ленты
матрицы посредством локальной минимизации чисел  i в соответствии с
(Д4.1). Эффективность алгоритма критическим образом зависит от выбора
начального узла. Значительный практический опыт свидетельствует, что в
качестве начальных в алгоритме Катхилла-Макки имеет смысл использовать
узлы, удаленные друг от друга на максимальное (периферийные) или
достаточно
большое
расстояние.
Как
уже
отмечалось
выше,
поиск
231
периферийных узлов — процесс дорогостоящий, в силу этого в качестве
начального алгоритм Катхилла-Макки использует псевдопериферийные узлы
(рис.6.9), которые, как правило, имеют большой эксцентриситет и хорошо
зарекомендовали себя на практике.
Рис.Д4.1. Влияние на ширину ленты нумерации смежных узлов z и y
Пусть узлы связного графа, отвечающего G , — x1 ,..., xn . Основные шаги
алгоритма
Катхилла-Макки,
в
результате
которого
получается
новое
упорядочение вершин y1 ,..., y n , представлены на рис.Д4.2.
Рис.Д4.2. Алгоритм Катхилла-Макки.
Если для сортировки, проводимой в ходе работы алгоритма КатхиллаМакки, используется метод пузырька [Макконнелл], то его временная
232
сложность ограничена величиной O(m E ) , где m — максимальная степень узла,
а E — мощность множества ребер графа-модели [Джордж,Лю].
Замечание Д4.1. Поскольку граф-модель ИТС является деревом, то
E  n  1, где
n — количество вершин. Таким образом, в случае обработки
алгоритмом Катхилла-Макки матрицы смежности G графа-модели ИТС его
вычислительная сложность определяется как O(mn) , а с учетом того, что m  n
( m  n ),
вычислительная
количество
сложность
арифметических
будет
операций,
значительно
необходимое
меньше,
для
чем
работы
непосредственно QR-алгоритма для построения спектрального разложения
матрицы.
233
ЛИТЕРАТУРА
1. Домарев В.В. Безопасность информационных технологий. Методология
создания систем защиты. – Изд-во: ТИД «ДС». – 2001. – 688с.
2. Домарев В.В. Безопасность информационных технологий. Системный
подход. – Изд-во: ТИД «ДС». – 2004. – 992с.
3. Хорошко В.А.,
Чекатков
А.А.
Методы
и
средства
защиты
информации. – К.: Юниор, 2003. - 501 с.
4. Хорошко В.О., Азаров О.Д., Шелест М.Є. Яремчук Ю.Є. Основи
комп’ютерної стеганографії: Навчальний посібник для студентів і
аспірантів. – Вінниця: ВДТУ, 2003. – 143 с.
5. Стрельцов
А.А.
России.Теоретические
Обеспечение
и
информационной
методологические
основы
безопасности
//
Под
ред.
В.А.Садовничего и В.П.Шерстюка. – М.: МЦНМО, 2002. – 296 с.
6. Чумарин И.Г. Тайна предприятия: что и как защищать. – СПб.: Изд-во
ДНК, 2001. – 72 с.
7. Хорев П.Б. Способы и средства защиты информации. – М.: МО РФ, 2000.
– 316 с.
8. Хорев П.Б. Методы и средства защиты информации в компьютерных
системах. – Изд-во «Академия», 2005. – 256 с.
9. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита
информации. М.: ИНФРА-М. – 2001. – 303 с.
10.Скляров Д.В. Искусство защиты и взлома информации. – СПб.: БХВПетербург. – 2004. - 288 с.
11.Фергюсон Н., Шнайер Б. Практическая криптография. - М.: Издательский
дом «Вильямс», 2005. – 424 с.
12.Столингс В. Криптография и защита сетей: принципы и практика, 2-е изд.
М.: Издательский дом «Вильямс», 2001. – 672 с.
13.Мукачев В.А., Хорошко В.А. Методы практической криптографии. – К.:
ООО «Полиграф-Консалтинг», 2005. – 215 с.
234
14.Маракова
І.І.,
Рибак
А.І.,
Ямпольський
Ю.С.
Захист
інформації.
Криптографічні методи. – Одеса, 2001. – 175 с.
15.Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. –
М.: Горячая линия – Телеком. – 2000. – 452 с.
16.Малюк А.А. Современные проблемы защиты информации и пути их
решения // Безопасность информационных технологий. – 1999. - №3.
17.Малюк
А.А.
Информационная
безопасность:
концептуальные
и
методологические основы защиты информации. – М.: Горячая линия –
Телеком. - 2004. - 280с.
18.Куприянов А.И., Сахаров А.В., Шевцов В.А. Основы защиты информации. –
М.: Издательский центр «Академия». – 2006. – 256 с.
19.Мамиконов А.Г., Кульба В.В., Шелков А.Б. Достоверность, защита и
резервировапние информации в АСУ. – М.: Энергоатомиздат. – 1986.
20.Герасименко В.А. Комплексная защита информации в современных
системах обработки данных. – «Зарубежная радиоэлектроника», 1993, №2.
21.Герасименко В.А. Защита информации в автоматизированных системах
обработки
данных:
развитие,
итоги,
перспективы.
–
«Зарубежная
радиоэлектроника», 1993, №3.
22.Тихонов А.Н. О состоянии работ по совершенствованию подготовки кадров
по
проблеме
информационной
безопасности
//
Безопасность
информационных технологий. – 1995. - №4.
23.Танака К. Итоги рассмотрения факторов неопределенности и неясности в
инженерном искусстве// Нечеткие множества и теория возможностей.
Последние достижения: Пер.с англ./Под ред. Р.Р.Ячера. – М.: Радио и связь,
1986. – 408 с.
24.Мокін Б.І., Камінський В.В. Слабкі множини як альтернатива нечітким
множинам в моделюванні невизначених параметрів складних систем. –
Вісник Вінницького політехнічного інституту, 2006, №6, с.226-231.
25. Герасименко В.А. Защита информации в автомаизированных системах
обработки данных. – М.: Энергоатомиздат, кн.1, 2. – 1994.
235
26. Перфильева И.Г. Приложения теории нечетких множеств// Итоги науки и
техники, т.29. – М.:ВИНИТИ, 1990.
27.Нечеткие множества и теория возможностей./Под ред. Р.Р.Ячера– М.: Радио
и связь, 1986. – 408 с.
28. Герасименко В.А., Малюк А.А. Основы защиты информации. – М.: МИФИ,
1997.
29.Винер Н. Кибернетика или управление и связь в животном и в машине. –
М.:Наука. – 1983. – 344с.
30.Анохин
П.К.
Теория
функциональной
системы//Тр.Международного
симпозиума по техническим и биологическим проблемам управления.
Ереван. – 1968г.
31.Ляпунов А.А., Беликова М.А. О кибернетических вопросах биологии// В кн.
О некоторых вопросах кодирования и передачи информации в управляющих
системах живой природы. – Новосибирск. – 1971.
32.Ломов С.А. Введение в общую теорию сингулярных возмущений. – М.:
Наука. Гл.ред.физ.-мат.лит. – 1981. – 400с.
33.1*.Маслов В.П. Асимптотические методы и теория возмущений. - М. Наука.
Гл.ред.физ.-мат.лит. – 1988. – 312 с.
34.2*. Белопольский А.Л., Бирман М.Ш. Существование волновых операторов
в теории рассеяния для пары пространств. Известия Академии наук (ИАН),
32(1968), С.1162-1175.
35.4*. Бирман М.Ш. О спектре сингулярных граничных задач. Матем.сб.,
55(1961), №2, 125-174.
36.5*. Бирман М.Ш. Задачи рассеяния для дифференциальных операторов.
Функ.анализ, 3(1969), 1-16.
37.6*. Бирман М.Ш. Задачи рассеяния для дифференциальных операторов при
возмущении пространства. ИАН, сер.матем., 35(1971), №2, 440-455.
38.17*. Kato T. Scattering theory with two Hilbert spaces. J. Funct. Anal., 1(1967),
342-369.
236
39.18*. Kato T. Wave operators similarity for some nonselfadjoint operators.
Math.Ann.,162(1966),258-279.
40.19*. Kato T. Scattering theory and perturbation of continuous spectra. Actes du
Congres Int. de Math., Gauthier-Villars, Paris, 1970, 135-140.
41.20*. Kato T., Kuroda S.T. Theory of simple scattering and eigenfunction
expansions. Functional Analysis and Related fields, Springer, 1970, 99-131.
42.Архипов А., Ишутин А. Применение моделей обнаружения аномалий для
выявления атак // Четверта науково-технічна конференція. Правове,
нормативне та метрологічне забеспечення системи захисту інформації в
Україні. Тези доповідей. – 2006 .- с. 71-72.
43.Хорошко В.А., Терейковский И.А. Использование искусственных
нейронных сетей в задачах распознавания атак на компьютерные
системы. – Науково-технічний журнал «Захист інформації». – 2006. - № 3.
– С. 57-65.
44.Терейковський І.А. Нейронні мережі в засобах захисту комп’ютерної
інформації. – К.: ТОВ «ПоліграфКонсалтинг», 2007. – 209 с.
45.Жданов А.А. Об одном имитационном подходе к адаптивному
управлению.
Сб.
«Вопросы
кибернетики».
Научный
совет
по
комплексной проблеме «Кибернетика» РАН. Вып.2. М., 1996, с. 171-206.
46.Жданов А.А. Формальная модель нейрона и нейросети в методологии
автономного адаптивного управления. Сб. «Вопросы кибернетики».
Научный совет по комплексной проблеме «Кибернетика» РАН. Вып.3.
М.,1997.
47.Жданов А.А. Метод автономного адаптивного управления. – Известия
Академии Наук. Теория и системы управления, 1999, № 5, с.127-134.
48.Жданов А.А. Моделирование высшей нервной деятельности // «Наука и
жизнь». – 2000. - №1. – с. 58-64. №2 . – с. 14-16.
49.Жданов А.А., Винокуров А.Н. Нейросетевой метод автономного
адаптивного управления // «Нейрокомпьютеры: разработка, применение».
– 2001. - №2.
237
50.Жданов А.А., Крыжановский М.В., Преображенский М.Б. Нейронная
адаптивная система управления. Труды международной конференции
«Интеллектуальные и многопроцессорные системы» IMS’2002,с. 115-118.
51.Осовецкий Л.Г., Нестерук Г.Ф., Бормотов В.М. К вопросу иммунологии
сложных информационных систем. Изв.вузов. Приборостроение. 2003,
т.46, №7, с.34-40.
52.Нестерук Г.Ф., Осовецкий Л.Г., Нестерук Ф.Г. Адаптивная модель
нейросетевых систем информационной безопасности. Перспективные
информационные технологии и интеллектуальные системы, с.14-16.
53.Жданов А.А. О методе автономного адаптивного управления. Научная
сессия
МИФИ
–
2004.
VI
Всероссийская
научно-техническая
конференция «Нейроинформатика - 2004»: Лекции по нейроинформатике.
Часть 2. – М.: МИФИ, 2004. – 200 с.
54.Воеводин В.В. Вычислительные основы линейной алгебры. М.: Наука.
Гл.ред.физ.-мат.лит. 1977. – 304 с.
55.Парлетт Б. Симметричная проблема собственных значений. Численные
методы: Пер. с англ. – М.: Мир, 1983. 384с.
56.Stewart G.W., Sun J.-G. Matrix Perturbation Theory.Academic Press, New
York,1990.
57.Demmel J. and W. Kahan. Accurate singular values of bidiagonal matrices.
SIAM J. Sci. Statist. Comput., 11: 873-912, 1990.
58.Demmel J. and Veselic K. Jacobi’s method is more accurate than QR. SIAM J.
Matrix Anal. Appl., 1992. – 13:1204-1246.
59.Eisenstat S. and Ipsen I. Relative perturbation techniques for singular value
problems. SIAM J. Numer.Anal.,32: 1972-1988, 1995.
60.Higham N.J. Accuracy and Stability of Numerical Algorithms. SIAM,
Philadelphia, PA,1996.
61.Demmel J., Gu M., Eisenstat S., Slapnicar I., Veselic K., and Drmac Z.
Computing the singular value decomposition with high relative accuracy.
Technical Report CSD-97-934,Computer Science Division, University of
238
California, Berkeley, CA, 1997. LAPACK Working Note 119. Submitted to
Linear Algebra Appl.
62.Деммель Дж. Вычислительная линейная алгебра. – М.: Мир, 2001. - 430
с.
63.E.Anderson, Z.Bai, C. Bischof, J. Demmel, J. Dongarra, J. Du Croz, A.
Greenbaum, S. Hammarling, A. McKenney, S. Ostrouchov, D. Sorensen.
LAPACK Users’ Guide (2nd edition). SIAM, Philadelphia, PA,1995.
64.T.-Y. Li, Z.Zeng and L. Cong. Solving eigenvalue problems of non-symmetric
matrices. SIAM J. Numer. Anal., 29: 229-248,1992.
65.L. Greengard and V. Rokhlin. A fast algorithm for particle simulations. J.
Comput. Phys., 73: 325-348, 1987.
66.M. Gu and S.C. Eisenstat. A stable algorithm for the rank-1 modification of the
symmetric eigenproblem. Computer Science Dept. Report YALEU/DCS/RR916, Yale University, 1992.
67.K. Fernando and B. Parlett. Accurate singular values and differential qd
algorithms. Numer. Math., 67: 191-229, 1994.
68.M. Gu and S.C. Eisenstat. A divide-and-conquer algorithm for the bidiagonal
SVD. SIAM J. Matrix Anal. Appl., 16: 79-82, 1995.
69.M. Gu and S.C. Eisenstat. A divide-and-conquer algorithm for the symmetric
tridiagonal eigenproblem. SIAM J. Matrix Anal. Appl., 16: 172-191, 1995.
70.I.S.Dhillon. A New O(n2) Algorithm for the symmetric Tridiagonal
Eigenvalue/Eigenvector Problem. Ph.D. thesis, Computer Science Division,
University of California, Berkeley,1997.
71.Каханер Д., Моулер К., Нэш С. Численные
методы
и
программное
обеспечение. – М.: Мир, 2001. – 575 с.
72.Бахвалов Н.С., Жидков Н.П., Кобельков Г.М. Численные методы.- М.:
БИНОМ. Лаборатория знаний, 2006 г.-636 с.
73.Бахвалов
Н.С.
Численные
методы
(анализ,
алгебра,
обыкновенные
дифференциальные уравнения). – М.: Наука. Гл.ред.физ.-мат.лит. – 1975. 632 с.
239
74.N.J.Higham. A survey of condition number estimation for triangular matrices.
SIAM Rev., vol.29: 575-596,1987.
75.N.J.Higham. Accuracy and Stability of Numerical Algorithms. SIAM,
Philadelphia, PA, 1996.
76.R.D. Skeel. «Scaling for numerical stability in Gaussian elimination». Journal of
the ACM, Vol.26, № 3, P.494-526, 1979.
77.R.D.Skeel. Iterative refinement implies numerical stability for Gaussian
elimination. Math. Comp., vol.35, p.817-832, 1980.
78.R.D.Skeel. Effect of equilibration on residual size for partial pivoting. SIAM
J.Numer. Anal.,18: 449-454, 1981.
79.Г.М. Фихтенгольц. Курс
дифференциального
и
интегрального
исчисления. – М. Наука, 1969.
80.Кудрявцев Л.Д. Курс математического анализа. – М.: Высшая школа,
1981.
81.Никольский С.М. Курс математического анализа. – М.:Наука, 1973.
82.Бурбаки Н. Общая топология. Использование вещественных чисел в
общей топологии. Функциональные пространства. Сводка результатов.
Пер. с франц. М.: Наука, 1975.
83.Александров П.С. Введение в теорию множеств и общую топологию. –
М.: Наука, 1977.
84.Грибунин В.Г., Оков И.Н., Туринцев И.В. Цифровая стеганография.-М.:
Солон-Пресс, 2002.-272с.
85.Гонсалес Р., Вудс Р. Цифровая обработка изображений.- М.: Техносфера,
2005.- 1072 с.
86.Конахович Г.Ф., Пузыренко А.Ю. Компьютерная
стеганография. Теория
и практика. – К.: МК – Пресс, 2006. - 288 с.
87.Задірака В.К., Олексюк О.С., Недашковський М.О. Методи захисту
банківської інформації. – К.: Вища школа; 1999. – 261 с.
240
88.Кобозева А.А., Маракова И.И., Скопа А.А. Стеганографические методы
обеспечения
информационной
безопасности
морской
связи.
Журнал
«Збірник наукових праць НУК», №3, 2006, с 155-161.
89.Кобозева
А.А.,
Маракова
стеганографических
И.И.
алгоритмов
Метод
оценки
к возмущающим
устойчивости
преобразованиям.
Журнал «Захист інформації», №2, 2006, с 10-18.
90.Ланкастер П. Теория матриц. Перев.с англ. М.: Наука, Гл.ред.физ.-мат.лит. –
1978, 280 с.
91.Хорн Р., Джонсон Ч. Матричный анализ.- М.: Мир,1989. - 656 с.
92.Гантмахер Ф.Р. Теория матриц. - М.: Наука, 1988. - 552 с.
93.Кобозева А.А. Применение сингулярного и спектрального разложения
матриц в стеганографических алгоритмах // Вісник Східноукраїнського
національного університету ім. В.Даля. - 2006. – №9(103). - С.74-82.
94.S.Winkler. A perceptual distortion metric for digital color images. In:
Proc.ICIP, vol.3,pp.399-403,Chicago,IL,October 1998.
95.S.J.P. Westen, R.L.Lagendijk, J.Biemond. Perceptual Image Quality Based on
a Multiple Channel HVS Model. In: Proceeding of ICASP, vol.4, pp.23512354,1995.
96.Yung-Kai Lai, C.-C. Jay Kuo, Jin Li. New image compression artifact measure
using wavelets.-SPIE’s Symposium on Visual Communications and Image
Processing, San Jose, CA,1997
97.Сато
98.Кобозева
А.А.
Стеганографический
метод,
основанный
на
преобразовании спектра симметричной матрицы. – Праці УНДІРТ, 2006,
№4(48), - с.44-52.
99.Задірака В.К., Бабич М.Д., Березовський А.І., Бесараб П.М., Гнатів Л.О.,
Людвиченко В.О. Т-ефективні алгоритми наближеного розв’язання задач
обчислювальної та прикладної математики. – Київ, 2003 р. – 261 с.
100. C. Moler. Fioating points. IEEE Standart unifies arithmetic model.
241
101.
R.Liu, T.Tan. An SVD-based watermarking scheme for protecting
rightful ownership // IEEE Trans. Multimedia. – 2002. - № 4(1). – Р. 121-128.
102.
C.Bergman, J.Davidson. Unitary embedding for data hiding with the
SVD // Security, steganography, and watermarking of multimedia contents VII,
SPIE Vol.5681, 2005.
103.
G.Golub and C.F.Van Loan. Matrix Computations. Johns Hopkins
University Press, Baltimore, MD, 1983.
104.
D. Schonberg and D. Kirovski. Fingerprinting and forensic analysis of
multimedia. In Proc. 12th Annual ACM Int’l Conf. on Multimedia. P.788-795,
Assoc. Comput. Machinery, 2004.
105.
C.-S. Lu, S.-W. Sun, C.-Y. Hsu, P.-C. Chang. Media Hash-Dependent
Image Watermarking Resilient Against Both Geometric Attacks and
Estimation Attacks Based on False Positive-Oriented Detection. IEEE
Transactions on Multimedia, vol.8, NO. 4, 2006, p.668- 685.
106.
J.Fridrich, M.Goljan, R.Du. Lossless Data Embedding - New Paradigm
in Digital Watermarking. EURASIP Journal on Applied Signal Processing,
2002: 2, p.185-196.
107.
C.Cachin.
An
Information-Theoretic
Model
for
Steganography.
Proceeding of the Workshop on Information Hiding. 2004
108.
J.Fridrich. Applications of data hiding in digital images. In Tutorial for
the ISSPA'99 Conference, Australia, 1999,p.22-25.
109.
Fridrich J., Du R., Long M. Steganalysis of LSB encoding in color
images // ICME, 2000.
110.
Быков С.Ф. Алгоритм сжатия JPEG c позиций компьютерной
стеганографии // Защита информации. Конфидент. 2000. № 3.
111.
Тaubman D., Ordentlich E., Weinberger M., Seroussi G. Embedded
block coding in JPEG 2000 // Signal Processing: Image Communication. 2002.
№17. P. 49-72
112.
H.Qi, W.E.Snyder, W.A.Sander. Blind consistency-based steganography
for information hiding in digital media
242
113.
M. Gkizeli, D. A. Pados, M. J. Medley. Optimal Signature Design for
Spread-Spectrum Steganography// IEEE Trans. On Image Processing. – 2007.
- V.16. - № 2. – Р. 1021-1031.
114. Кобозева А.А., Борисенко И.И. Стеганографический метод, основанный
на спектральном разложении матрицы // «Зв’язок». – 2007. - № 4(72). – С.3742.
115. Гоноровский И.С. Радиотехнические цепи и сигналы. - М.: «Радио и
связь», 1986. - 513 с.
116. Kundur D., Hatzinakos D. Digital watermarking for tell-tale tamper proofing
and authentication // Proceedings of the IEEE. - 1999. – Vol. 87(7). – P. 11671180,
117. Fridrich J., Goljan M., Du M. Invertible authentication // In SPIE, Security and
Watermarking of Multimedia Contents. - 2001.
118.
Blythe P., Fridrich J. Secure digital camera // In Proc. Digital Forensic
Research Workshop. - 2004.
119.
2.
S.Bhattacharjee
and
M.Kutter.
Compression-tolerant
image
authentication. In IEEE International Conference on Image Processing, 1998.
120.
8. J.Fridrich, M.Goljan. Images with self-correcting capabilities. In IEEE
International Conference on Image Processing, 1999.
121.
10. G.L.Friedman. The trustworthy camera: Restoring credibility to the
photographic image. IEEE Transactions on Consumer Electronics, 39(4): 905910, 1993.
122.
12. S.Katzenbeisser and F.A.P.Petitcolas. Information Techniques for
Steganography and Digital Watermarking. Artec House ,2000.
123.
16. E.T.Lin, C.I.Podilchuk, E.J.Delp. Detection of image alterations
using semi-fragile watermarks. In SPIE International Conference on Security
and Watermarking of Multimedia Contents II,2000.
124.
24. M.Schneider and S.-F.Chang. A robust content-based digital
signature for image authentication. In IEEE International Conference on Image
Processing, 1996.
243
125.
25. D.Storck. A new approach to integrity of digital images. In IFIP
Conference on Mobile Communication. Pp. 309-316,1996.
126.
28. G.-J. Yu,C.-S. Lu, H.-Y.M.Liao, J.-P. Sheu. Mean quantization blind
watermarking for image authentication. In IEEE International Conference on
Image Processing, 2000.
127. Popescu A. C., Farid H. Exposing digital forgeries by detecting traces of resampling // IEEE Trans. Signal Process. - 2005. – Vol. 53(2). – P. 758-767.
128. Johnson M. K., Farid H. Exposing digital forgeries by detecting inconsistencies
in lighting // In Proc. ACM Multimedia and Security Workshop, New York. 2005. - P. 1-10.
129. Bayram S., Sankur B., Memon N. Image manipulation detection // Journal of
Electronic Imaging. - 2006. – Vol. 15(4). – P. 1-17.
130. Кобозева
используемой
А.А.
Связь
им
свойств
области
стеганографического
контейнера
для
алгоритма
погружения
и
секретной
информации // Искусственный интеллект.- 2007.- №4.- С.531-538.
131. Rose C. Wireless Systems and Interference Avoidance / Rose C., Ulukus S.
and Yates R. D. // IEEE Trans. Wireless Commun. — 2002. — Vol. 1, № 7. — P.
415—428.
132. Van Trees H. L. Detection, Estimation and Modulation Theory. — New
York: Wiley, 2001. — 354 p.
133. Уэлстид С. Фракталы и вейвлеты для сжатия изображений в действии.
— М.: Триумф, 2003. —320 с.
134.
Лищук В.А.
Математическая теория кровообращения. – М.:
Медицина, 1991. – 256с.
135. Харари Ф. Теория графов. М.: Мир.1973.
136. Уилсон Р. Введение в теорию графов. М.: Мир, 1977.
137. Кристофидес Н. Теория графов. Алгоритмический подход. М.: Мир, 1978.
138. Евстигнеев В.А. Применение теории графов в программировании. М.:
Наука, 1985.
244
139. Емеличев В.А., Мельников О.И., Сарванов В.И., Тышкевич Р.И. Лекции
по теории графов. М.: Наука, 1990.
140. Новиков Ф.А. Дискретная математика для программистов. СПб.: Питер,
2006. 364 с.
141.
Иванов Б.Н. Дискретная математика. Алгоритмы и программы. –
М.: Лаборатория Базовых Знаний, 2001. – 288с.
142.
Whyte L.L. Organic Structural Hierarchies, in “Unity and Diversity in
Systems”, Essays in honor of L. von Bertalanffy, R.G. Jones and G.Brandl
(Eds.), Braziller, New York, 1969.
143.
Саати Т. Принятие решений. Метод анализа иерархий. - М.: «Радио
и связь», 1993. - 278 с.
144.
Воеводин
В.В.
Математические
основы
параллельных
вычислений. – М.: Изд-во Моск. ун-та, 1991. –345 с.
145.
Джордж А., Лю Дж. Численное решение больших разреженных
систем уравнений. М., Мир, 1984. – 333 с.
146.
Воеводин В.В., Кузнецов Ю.А. Матрицы и вычисления. М.:
Наука,1984
147.
Икрамов Х.Д. Численные методы для симметричных линейных
систем. М.: Наука, 1988
148.
Trucco E. On the Information Content of Graphs: Compound Symbols;
Different States for each Point. Bull. Math. Biophys. 18, 1956, pp. 237-253.
149.
Mowshowitz A. A dissertation submitted in partial fulfillment of the
requirements for the degree of Doctor of Philosophy in the University of
Michigan, 1967.
150.
14 Bonchev D., Trinajstic N. Chemical Information Theory, Structural
Aspects. Intern. J. Quantum Chem. Symp. 1982. – 16. – pp. 463-480.
151.
Bonchev D. Information-Theoretic Indices for Characterization of
Chemical Structures. Research Studies Press, Chichester, UK, 1983.
245
152.
Bonchev D., Buck G.A. Quantitative Measures of Network Complexity
// Chapter 5 in “Complexity in Chemistry, Biology, and Ecology”. – Springer
US. - 2005.
153.
Neel D.L., Orrison M.E. The Linear Complexity of a Graph.
Mathematics Subject Classification: 05C85, 68R10. - 2006.
154.
C.E.Shannon. A Mathematical Theory of Communication. Bell System
Technical Journal, 27(1948), p.379-423, 623-656.
155.
К.Шеннон. Работы по теории информации и кибернетике. М., ИЛ,
1963. – 829 с.
156. Андреев В.И., Козлов В.С., Хорошко В.А. Количественная оценка
защищенности технических объектов с учетом их функционирования.
Науково-технічний журнал «Захист інформації». – 2004. - № 2. – С.47-50.
157. Козлова К.В., Хорошко В.О. Кількісна оцінка захисту радіоелектронних
об’єктів. Науково-технічний журнал «Захист інформації». – 2007. - № 1. –
С.30-33.
158.
Simon H.A. The Architecture of Complexity. Proc. Amer. Philosophical
Soc., vol. 106, p.467-481, 1962.
159.
Zahedi F. The Analitic Hierarchy Process – a survey of the method and
its applications// Interfaces. – 1986, vol.16, №4, p.96-108.
160.
B.Golden, E.Wasil, P. Harker, Eds. The Analitic Hierarchy Process:
applications and Studies. – New-York: Springer-Verlag, 1989 – 265 p.
161.
Terano T. Using the analitic hierarchy process in frame based expert
systems// Proceeding of international Symposium on the Analitic Hierarchy
Process. Tianjin University. – 1988. – P. 638-645.
162.
J. D. Farley. Breaking al qaeda cells: A mathematical analysis of
counterterrorism operations (a guide for risk assessment and decision making).
Studies in Conflict & Terrorism, 26: 399411, 2003.
163.
Krebs V.E. Mapping networks of terrorist cells. – Connections 24(3). –
2001. – Pp. 43-52.
246
164.
Carley K.M., Lee J.S., Krackhardt D. Destabilizing networks. -
Connections 24(3). – 2001. – Pp.79-92.
165.
J.Shetty, J.Adibi. Discovering Important Nodes through Graph Entropy.
The case of Enron Email Database/ In materials of the Eleventh ACM
SIGKDD International Conference on knowledge Discovery and Data Mining.August 21-24, 2005. – Chicago, IL, USA.
166.
Brams S.J., Mutlu H., Ramirez S.L. Influence in Terrorist Networks:
From Undirected to Directed Graphs. Studies in Conflict & Terrorism. – 2006.
– 29. – Pp.703-718.
Сэломон Д. Сжатие данных, изображений и звука. - М.:
167.
Техносфера, 2004.
168.
S.Batterson. Convergence of the shifted QR-algorithm on 3 by 3 normal
matrices. Numer.Math.,58: 341-352, 1990.
169.
D.Day. How the QR-algorithm fails to convergence and how to fix it.
Technical Report 96-0913J, Sandia National Laboratory, Albuquerque, NM,
April 1996.
Воеводин В.В., Воеводин
170.
Вл.В. Параллельные
вычисления.
–
СПб.: БХВ-Петербург, 2002. –608 с.
Воеводин
171.
В.В.
Математические
основы
параллельных
вычислений. – М.: Изд-во Моск. ун-та, 1991. –345 с.
172.
M.Gu and S.C.Eisenstat. A divide-and-conquer algorithm for the
symmetric tridiagonal eigenproblem. SIAM J. Matrix Anal. Appl.,16: 172-191,
1995.
173.
L.Greengard and V.Rokhlin. A fast algorithm for particle simulations. J.
Comput. Phys., 73: 325-348, 1987.
174.
J.J.M.Cuppen. A divide and conquer method for the symmetric
tridiagonal eigenproblem. Numer. Math., 36: 177-195, 1981.
175.
of
M.Gu and S.C.Eisenstat. A stable algorithm for the rank-1 modification
the
symmetric
eigenproblem.
Computer
Science
YALEU/DCS/RR-916, Yale University, September 1992.
Dept.
Report
247
176.
V.Fernando, B.Parlett, and I.Dhillon. A way to find the most redundant
equation in a tridiagonal system. Berkeley Mathematics Dept. Preprint, 1995.
177.
B.N.Parlett and I.S.Dhillon. Fernando’s solution to Wilkinson’s
problem: An application of double factorization. Linear Algebra Appl., 1997.
178.
I.S.Dhillon.
A New O(n 2 ) Algorithm for the Symmetric Tridiagonal
Eigenvalue/Eigervector Problem. Ph.D. thesis, Computer Science Division,
University of California, Berkeley, May 1997.
179.
T.-Y.Li, H.Zhang, and X.-H.Sun. Parallel homotopy algorithm for
symmetric tridiagonal eigenvalue problem. SIAM J. Sci. Statist. Comput., 12:
469-487, 1991.
180.
T.-Y.Li and H.Zeng. Homotopy-determinant algorithm for solving
nonsymmetric eigenvalue problems. Math. Comp., 59: 483-502, 1992.
181.
T.-Y.Li, H.Zeng and L.Cong. Solving eigenvalue problems of
nonsymmetric matrices with real homotopies. SIAM J. Numer. Anal., 29: 229248, 1992.
182.
H.Zeng.
Homotopy-Determinant
Algorithm
for
Solving
Matrix
Eigenvalue Problems and Its Parallelizations. Ph.D. thesis, Michigan State
University, East Lansing, MI, 1991.
183.
P.Deift, J.Demmel, L.-C.Li, and C.Tomei. The bidiagonal singular
values decomposition and Hamiltonian mechanics. SIAM J. Numer. Anal., 28:
1463-1516, 1991.
184.
K.Fernando and B.Parlett. Accurate singular values and differential qd
algorithm. Numer. Math., 67: 191-229, 1994.
185.
L.Ahlfors. Complex Analysis. McGraw-Hill, New York, 1966.
186.
Morris M.,Peter C. Weighting Inconsistent Judgments. Pi Mu Epsilon J.,
1979
187.
D.Sorensen Implicit application of polynomial filters in a k-step Arnoldi
method. SIAM J. Matrix Anal. Appl.,13:357-385,1992.
188.
R.Lehoucq. Analysis and Implementation of an Implicitly Restarted
Arnoldi Iteration. Ph.D.thesis, Rise University, Houston, TX, 1995
248
189. Y.Saad. Numerical Methods for Large Eigenvalue Problems. Manchester
University Press, Manchester, UK, 1992.
190. М.Свами, К.Тхуласираман. Графы, сети и алгоритмы. М.,Мир, 1984,456с.
191. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации.
– М.: Яхтсмен, 1996, 67 с.
192. Bonchev D., Buck G.A. Quantitative Measures of Network Complexity //
Chapter 5 in “Complexity in Chemistry, Biology, and Ecology”. – Springer US. 2005.
193. Дж.Макконнелл. Основы современных алгоритмов. 2-е дополненное
издание. М.: Техносфера, 2004. – 368 с.
194. Кобозева
А.А.
Sign-чувствительность
и
ее
использование
в
стеганографических алгоритмах // Вестник Херсонского национального
технического университета. – 2007. - №2(28). - С. 142-146.
195. Кобозева А.А. Роль Sign-чувствительности в стеганографическом
алгоритме, основанном на нормальном спектральном разложении матрицы
контейнера // Збірник наукових праць НУК. – 2007. - №5. – С.54-61.
196. Кобозева А.А., Хорошко В.А. Модель системы защиты информации,
основанная на принципах естественной системы управления // Захист
інформації. – 2007. – Спецвипуск. - С.56-62.
197. Кобозева А.А., Хорошко В.А. Методика оценки адекватности системы
защиты информации // Вісник ДУІКТ. - 2007. - 5(3). - С.328-334.
198. Бобок И.И., Кобозева А.А., Хорошко В.А. Количественная оценка
значимости
произвольного
средства
защиты
информации
для
функционирования информационно-технологической системы // Вісник
ДУІКТ. – 2008. – 6(1). – С. 33-45.
199. Кобозева А.А. Общий подход к анализу состояния информационных
объектов, основанный на теории возмущений // Вісник Східноукр-го нац-го
ун-ту ім. В.Даля. – 2008. - № - С.
249
200. Кобозева А.А. Анализ свойств информационных объектов и процессов на
основе теории возмущений // Управління розвитком. – 2008. – №7. –С. 8-9.
201. Кобозева А.А. Теория возмущений как основной инструмент анализа
информационных процессов и свойств информационных объектов //
Управління розвитком. – 2008. – №6. –С. 21-23.
202. Кобозева А.А., Хорошко В.А. Векторная SIGN-чувствительность как
основа геометрической модели системы защиты информации // Захист
інформації. – 2008. - №3 - С. 49-57.
203. Кобозева А.А., Хорошко В.А. Использование теории графов для анализа
структуры террористических сетей // Захист інформації. – 2008. - №1 - С.
22-31.
204. Кобозева А.А., Хорошко В.А. Использование взвешенного графа при
моделировании террористической сети // Інформаційні технології та
комп’ютерна інженерія. – 2007. - №3(10). – С.61-67.
205. Кобозева А.А., Коломийчук А.В. Стеганографический метод, основанный
на решении системы линейных алгебраических уравнений // Праці УНДІРТ.
– 2006. - №1(45)-2(46). -С.104-109.
206. Кобозева
А.А.,
Борисенко
И.И.
Практическая
реализация
стеганографический метод, основанный на решении системы линейных
алгебраических уравнений // Праці УНДІРТ. – 2006. - №3(47). - С. 78-83