Аналитическая разведка в области компьютерных систем
Тезисы лекции
VI. Ответы на вопросы.
Информационно-аналитическая работа.
II. Вступительная часть. Лектор говорит о теме лекции, учебных вопросах, значении изучаемой темы и роли знания средств и методов мониторинга защищенных компьютерных систем.
Тема 2: «Средства и методы мониторинга защищенных
компьютерных систем»
Лекция № 2 Средства и методы аналитической обработки данных
компьютерных систем.
Обсуждены и одобрены
на заседании кафедры
протокол №____ от «__»______2012 г.
Разработал:
доцент кафедры информационной безопасности, к.ф.-м.н., доцент,
полковник полиции
_________________________С.П. Алексеенко
Воронеж 2012
Распределение времени, мин. :
- организационная часть . . . . . . . . . . . . . . . . . . 2
- вступительная часть . . . . . . . . . . . . . . . . . . . . 8
- изложение вопроса № 1 . . . . . . . . . . . . . . . . . . 20
- изложение вопроса № 2 . . . . . . . . . . . . . . . . . 25
- изложение вопроса № 3 . . . . . . . . . . . . . . . . . 20
- ответы на вопросы . . . . . . . . . . . . . . . . . . . . . 5
- подведение итогов . . . . . . . . . . . . . . . . . . . . . . 2
- заключительная часть . . . . . . . . . . . . . . . . . . . . 5
- задание на самоподготовку . . . . . . . . . . . . . . . 5
Всего: 90
I. Организационная часть.Преподаватель принимает рапорт, проверяет наличие и внешний вид, их готовность к занятиям (тетради, ручки).
III. Изложение 1-го вопроса.
IV. Изложение 2-го вопроса.
2. Методы синтеза информации.
V. Изложение 3-го вопроса.
3. Применение технологии контент-анализа.
Преподаватель отвечает на вопросы курсантов.
VII. Подведение итогов.
VIII. Заключительная часть. Преподаватель призывает слушателей к добросовестному изучению учебного материала и необходимости их становления как будущих специалистов ИБ. Преподаватель говорит слушателям о необходимости систематического изучения материалов лекций.
IX. Задание на самоподготовку. С использованием рекомендованной литературы самостоятельно более детально изучить вопросы лекции.
Литература для подготовки:
Основная:
1. Меньшаков Ю. К. Теоретические основы технических разведок: учебное пособие : доп. УМО по образованию в обл. информ. безопасности / Ю. К. Меньшаков; под ред. Ю. Н. Лаврухина. - М. : Изд-во МГТУ им. Н. Э. Баумана, 2008. - 536 с.
Дополнительная:
1. Защита информации в компьютерных системах и сетях /под ред. В.Ф.Шаньгина – 2-е издание перераб. и доп. –М.: Радио и связь, 2001. –376 с.
2. Зима В.М. Безопасность глобальных сетевых технологий./ Зима В.М., Молдавян А.А., Молдовян Н.А. – 2-е изд. - СПб: БХВ - Санкт-Петербург, 2003. - 368 с.
3. Защита от вторжений. Расследование компьютерных преступлений/ Кевин Мандиа Крис .Пер. с англ. Просис. Издательство «Лори», 2005.- 476 с.
4. Руководство по защите от хакеров/ Коул Эрик. Пер. с англ. – М. Издательский дом «Вильямс», 2002. – 640 с.
5. Касперски К. Записки исследователя компьютерных вирусов/ К. Касперски– СПб.: Питер, 2005. – 16 с.
Вопрос 1. Информационно-аналитическая работа
Информационно-аналитическая работа должна предшествовать принятию решения. Основные направления действий информационно-аналитической службы фирмы - это анализ и прогнозирование. "Мы делаем большой упор на анализ информации получаемой из газет, на основе фотосъемки, электронных средств" - сказал бывший директор ЦРУ С. Тернер.
На предприятии, в фирме необходим единый центр обработки информации; иногда для начала бывает достаточно одного человека. Например, в одной компании был назначен на такую работу человек, который начал с того, что разослал "список розыска", содержащий вопросы о деятельности конкурентов по определенным ключевым программам компании. Регулярно этот список обновлялся. Торговые агенты и другие сотрудники, получавшие список, должны были сообщать в аналитический отдел все, что могло иметь значение о деятельности конкурентов. Таким образом, удалось собрать много сведений о стратегии конкурентов.
Информационно-аналитическая работа включает следующие процессы:
- сбор данных и сведений от органов добывания;
- видовую обработку;
- комплексную обработку.
Данные и сведения передаются в орган видовой обработки. Если в добывании информации участвуют органы различных видов, например, оптической и радиоэлектронной разведки, то осуществляется комплексная обработка сведений, поступивших от органов видовой обработки. Необходимость видовой обработки обусловлена различием языков признаков, добываемых органами различных видов.
В ходе видовой и комплексной обработки формируются первичные и вторичные сведения на основе методов синтеза информации и процедур идентификации и интерпретации данных и сведений.
Формирование первичных сведений производится путем сбора и накопления данных и "привязки" их к тематическому вопросу, по которому добывается информация. Для включения данных в первичные сведения необходимо, чтобы эти данные содержали информационный признак о принадлежности данных к информации по конкретному вопросу. Например, если поставлена задача добывания информации о новом автомобиле, то добытые признаки его внешнего вида могут быть отнесены к этому автомобилю, если существует дополнительный признак (место, время или наличие возле него определенных лиц), которые с высокой степенью достоверности указывают о принадлежности признаков этому автомобилю. Если такой признак отсутствует, то имеет место простое накопление данных.
Формально при наличии в добытых данных Ах, Вх и Сх общего признака х, характеризующего принадлежность их к одному и тому же тематическому вопросу или объекту разведки, данные объединяются в первичные сведения АВСх. Любые новые данные, полученные от органа добывания, "привязывают", если это возможно, по общему признаку к первичным сведениям соответствующего объекта. В результате этого по мере добывания новых данных об объекте разведки его признаковая структура пополняется новыми признаками, что приводит к увеличению различия ее по отношению к признаковым структурам других объектов.
Если полученные сведения отвечают на поставленные перед разведкой вопросы, то содержащаяся в сведениях семантическая и признаковая информация в соответствующей форме передается ее потребителям.
Необходимость в формировании вторичных сведений возникает тогда, когда не совпадают языки итоговой информации и первичных сведении, получаемых от органов добывания. Если потребителя интересуют видовые свойства продукции, создаваемой конкурентом, то добытые признаки внешнего вида не нуждаются в дополнительной обработке. Но когда для потребителя важны способы работы разрабатываемого технического средства, то первичные признаки не отвечают на эти вопросы. В этом случае формируются вторичные сведения не в виде, например, признаков внешнего вида или признаков сигналов, а в виде описания конструкции узлов и деталей новой продукции и принципов их работы, которые не удается добыть в виде оригиналов и копий.
Однако специалисты по внешнему виду могут по видовым признакам выявить особенности конструкции и работы продукции. Эти особенности не содержатся в первичных сведениях, у них даже разные языки. При формировании вторичных сведений возникает новая информация как результат интерпретации (толкования) вторичных сведений. Интерпретация - это высшая форма обработки информации, присущая в настоящее время только человеку.
Процессы сбора и обработки вторичных сведений аналогичны соответствующим процессам для первичных сведений.
Вопрос 2. Методы синтеза информации.
При формировании сведений применяются следующие методы синтеза информации:
-логические;
-структурные;
-статистические.
Логические методыиспользуют для синтеза информации законы логики, учитывающие причинно-следственные связи в реальном мире. Они лежат в основе так называемого "здравого смысла" человека и являются основным методом синтеза информации человеком. Чем большими знаниями и опытом владеет человек, тем больше информативных связей он учитывает при принятии решения. Однако эти связи имеют и обратную сторону. Они консервирую логику мышления человека и тормозят процесс генерирования им новой информации ограничениями типа "этого не может быть". Люди, обладающие бурной фантазией, но лишенные консерватизма специальных знаний и опыта, писатели-фантасты создают в своих произведениях модели будущих образцов техники, на десятилетия опережающие время их создания. В то же время прогнозы специалистов часто похожи на прототипы. Причинно-следственные временные связи обеспечивают также выявление и прогнозирование действий объектов по признакам их деятельности в различные моменты времени.
Структурные методы учитывают объективно существующие связи между элементами объекта. Например, любой прибор имеет многоуровневую иерархическую структуру. Она включает блоки, узлы и детали, которые во время работы взаимодействуют друг с другом. Эти связи определяют конструкцию прибора и зафиксированы в конструкторской документации. При ее отсутствии специалисты восстанавливают конструкцию, назначение и функции по отдельным элементам и связям.
Статистические методыобеспечивают идентификацию и интерпретацию объектов и характера их деятельности по часто проявляющимся признакам, получаемым в результате статистической обработки добываемых данных. В качестве таких признаков выступают статистически устойчивые параметры случайных событий: средние значения, дисперсии, функции распределения. Например, частое появление возле территории фирмы одних и тех же людей и автомобилей, обнаружение в помещениях фирмы закладных устройств служат признаками повышенного интереса конкурента или других субъектов к фирме или к отдельным ее сотрудникам.
Таким образом, информационная работа включает аналитическую обработку больших массивов данных и сведений. Органы обработки широко привлекают к информационной работе в качестве аналитиков высококвалифицированных специалистов, которые интерпретируют данные и сведения. Кроме того, проводятся интенсивные работы по автоматизации процессов информационной работы.
Вопрос 3. Применение технологии контент-анализа.
В специальной литературе дается различное толкование этого термина: статистическая семантика; техника для объективного количественного анализа содержания коммуникации; техника для получения выводов при помощи объективного и систематического установления характеристик сообщений
Если же говорить простым языком, то контент-анализ - содержательный анализ на основе формализованных методик. Он состоит в выделении в тексте некоторых ключевых понятий или иных смысловых единиц и в последующем подсчете частоты употребления этих единиц, соотношения различных элементов текста друг с другом, а также с общим объемом информации. Так анализ содержания проводится не интуитивно, не на "глазок", а с помощью методик, обеспечивающих получение достоверного и объективного результата.
В этом случае объективность контент-анализа определяется тем, что каждый шаг может быть произведен только на основе явно сформулированных правил и процедур. Поэтому в качестве верификации (проверки) необходимо повторение того же результата другим исследователем на том же материале. В гуманитарных науках достаточно сложно придти к единому мнению, мы можем опросить 50 экспертов, и они дадут нам различных 50 результатов. В отличии от этого контент-анализ же является довольно точной исследовательской техникой.
Для более полной характеристики метода необходимо добавить следующее. Первое: все данные статистики вербального материала используются для формулирования выводов о невербальных аспектах, например, о тех или иных характеристиках адресата и адресанта. Поэтому текстовой материал здесь представляется промежуточным объектом. Нас интересует вовсе не текст. И второе: само по себе выяснение частоты употребления, например, журналистом Х такого-то слова с такой-то частотой не является контент-анализом. Контент-анализ — это всегда сопоставление двух потоков. Например, сопоставление двух газет как двух вербальных потоков. Возможно сопоставление невербального и вербального потоков: данных о рождаемости и информации о детях-героях в литературных журналах. Возможно сопоставление данного вербального потока и нормы: частоты употребления определенного слова в статьях определенного журналиста и стандартной частоты употребления этого слова в языке нашего времени.
Основные этапы контент-анализа следующие:
§ а) формулировка задачи, определение программы исследования;
§ б) определение выборки (той части текстов, которые достаточны для анализа всего массива публикаций и обеспечивают репрезентативность выборки);
§ в) определение единого семантического толкования ключевых понятий исследования;
§ г) составление кода, перечня характеристик текста, отвечающих задаче исследования (единиц анализа);
§ д) составление рабочего документа, кодированной карточки и инструкции кодировщику (человеку, который будет работать с текстом, фиксировать частоту употребления единиц текста);
§ е) составление сметы исследования;
§ ж) компьютерная обработка данных;
§ з) предъявление результатов исследования.
Контент-анализ прессы требует сравнительно больших затрат времени и средств, поэтому может использоваться и метод экспресс-анализа. В его основе лежит количественный подсчет содержательных элементов текста (факт, конфликт, аргумент, тема, обобщение), а также учет качественных характеристик публикаций (соответствие цели, информативность, актуальность, доказательность, конструктивность).
Как и при контент-анализе, эти характеристики текста кодируются, обозначаются определенной цифрой и затем при чтении текста исследователь их фиксирует.
Контент-анализ используется в таких областях, как изучение социальных оценок тех или иных событий, анализ пропаганды, методов журналистики, изучение арсенала средств массовой коммуникации, психологические, психоаналитические исследования. Этот диапазон охватывает, по подсчетам исследователей, 60% всех работ.
Что можно подсчитывать в вербальном потоке, какие типичные исследовательские модели существуют? Можно подсчитывать:
§ а) частоту,
§ б) наличие/отсутствие каких-то тем,
§ в) связь между темами,
§ г) основные темы.
Алгоритмпроведения контент-анализа:
Определитьсяс выбором смысловых единиц. Это могут оскорбления и угрозы, призывы и порывы благородного негодования, элементы личной позиции автора или что-то другое, т.е все то что необходимо выявить.
Составляется перечень поисковых смысловых единиц, определяется предметная область поиска (ПОП). ПОП — это все оперативные версии и гипотезы о соответствующих риск-факторах в деятельности предприятия.
Далее следует выявление в исследуемом тексте индикаторов — моделей оформления каждой смысловой единицы языковыми средствами. Теоретически их число может быть огромным, но с учетом тяготения людей к накатанным стереотипам, в практической работе реальное число индикаторов не так уж и велико. Индикаторы вписываются рядом с каждой смысловой единицей. На этом же этапе нужно определиться с единицей счета: чем будет мерить? Обычно учитывается частота употребления смысловой единицы, и такие ее количественные характеристики как число строк, площадь газетной полосы или длительность вещания. Теперь мы имеем четкую систему правил для анализа, материала.
Анализ может проводиться как в ручную, так и с помощью компьютерных программ анализа текстовой информации. (В компьютерном варианте инструментария достаточно отсканировать печатный лист, распознать отсканированное и обработать компьютерной программой анализа. На выходе вы получаете полную “картинку” материала, с указанием его возможной направленности в ту или иную сторону и соответствующее обоснование — комментарии полученных выводов. Компьютерные программы хороши для обработки больших массивов информации и для отслеживания динамик и тенденции в сообщениях. Например, отдельный блок программы по мере поступления новой информации, подшивает полученные выводы к общей композиции исследований данного объекта. Контент—анализ дополняется динамическими изменениями содержания информации.
При аналитической обработке прессы применяется и так называемый метод «окон фактов». Его во время Второй мировой войны активно использовала американская разведка для изучения немецкой промышленности по открытым публикациям. Смысл метода состоит в том, что бы из каждой конкретной публикации извлечь только несомненные факты, часто совершенно неинтересные и тривиальные. Сопоставление подобных "атомарных" фактов дать совершенно неожиданные новые знания.
В качестве курьезного примера применения метода сопоставления фактов, можно привести старый анекдот про землетрясение, когда средства массовой информации сообщают, что жертв и разрушений нет. А некоторое время спустя в центральной прессе под заголовком “очевидное-невероятное” появляется статья о вернувшейся домой собаке, которая пропала во время последнего землетрясения со стадом овец и 5 пастухами.
А теперь в качестве примера давайте рассмотрим следующее сообщение в прессе: "Новый директор Apple Стив Джобс заявил, что компания стала возрождаться и в 1999 год перейдет с прибылью 100 млн долларов". Из этой фразы можно извлечь только тот несомненный факт в 1998 году директором Apple был некто Джобс. Далее по газетным публикациям о Джобсе можно составить описание его жизненного пути, а заодно провести анализ прибыльности возглавляемых им компаний в зависимости от его прихода и ухода.
Поскольку факты, собираемые подобным образом, имеют простую структуру, то по ним достаточно легко построить причинно-следственную цепочку, например "К - продукт компании «А» 2007 г.", "Д - технический директор компании «А» c 2006 по 2008 годы", следовательно, можно создать новый факт "Д руководил выпуском продукта К в компании «А»". Или при наличии факта "Н - сотрудник компании «А» с 2005 года" можно автоматически создать факт "Н и Д знакомы", имеющий определенную степень достоверности, и попробовать продлить цепочку знакомств дальше.
Горячей порой сбора различной открытой информации являются предвыборные кампании в законодательные и исполнительные органы власти. Интересен анализ публикаций “за” и “против” различных кандидатов, фиксация факта поддержки того или иного кандидата. При квалифицированном сборе и компьютерной обработке информации в ИБД можно выстроить очень интересные схемы, особенно четко это можно отследить в регионах, где вопросам оперативного легендирования уделяют значительно меньше внимания, чем в центре. Так, установление взаимосвязей по предвыборным штабам и партийным спискам позволяет заранее выявить возможный расклад групп “поддержки” того или иного хозяйствующего субъекта в органах законодательной или исполнительной власти.
По поводу системного подхода к обработке прессы можно также привести и историю о проигравшемся в начале 20-го века в карты журналисте, который для того, чтобы вернуть долг, решил продать иностранной разведке интересовавший ее план дислокации воинских частей, фамилии и занимаемые должности их командного состава. Контрразведка, конечно, задержала шпиона-любителя, но когда имевшуюся у него информацию показали представителям Генерального штаба, те были в шоке — сведения были достоверные и очень секретные. В ходе разбирательства журналист вину свою полностью признал и в качестве доказательства своего полного раскаяния поделился способом добывания “государственной тайны”. Оказывается, посещая регионы, он тщательно изучал местные газеты, особенно его интересовала провинциальная светская хроника: “В уездном городе N на бракосочетании поручика К. присутствовали командир расквартированного здесь 17 гусарского полка полковник B., начальник штаба полка полковник M … и так далее и тому подобное”.
Еще один интересный пример можно найти в книге Г.Р.Берндорфа “Шпионаж”. Накануне первой мировой войны военную разведку Германии очень сильно интересовали данные об изменениях в итальянских береговых укреплениях. Для решения этой задачи в июле 1914 года в Милане было открыто бюро объявлений, которое выписывало практически все выходящие в Италии газеты, вплоть до самых мелких деревенских листков. Хозяйкой бюро являлась весьма эффектная дама – Анна Мари Лессер, больше известная под псевдонимом “Мадемуазель Доктор”. Не тратя время на сон, она в течение нескольких суток, днем и ночью наносила на крупномасштабную карту Италии сведения из газетных объявлений военных комендатур о наборе персонала на земляные и бетонные работы. Более детально масштабы строительства оценивались по месту проведения работ агентами-маршрутниками.