Аналитическая разведка в области компьютерных систем

Тезисы лекции

VI. Ответы на вопросы.

Информационно-аналитическая работа.

II. Вступительная часть. Лектор говорит о теме лекции, учебных вопросах, значении изучаемой темы и роли знания средств и методов мониторинга защищенных компьютерных систем.

Тема 2: «Средства и методы мониторинга защищенных

компьютерных систем»

Лекция № 2 Средства и методы аналитической обработки данных

компьютерных систем.

Обсуждены и одобрены

на заседании кафедры

протокол №____ от «__»______2012 г.

Разработал:

доцент кафедры информационной безопасности, к.ф.-м.н., доцент,

полковник полиции

_________________________С.П. Алексеенко

Воронеж 2012

Распределение времени, мин.:

- организационная часть.................. 2

- вступительная часть.................... 8

- изложение вопроса № 1.................. 20

- изложение вопроса № 2................. 25

- изложение вопроса № 3................. 20

- ответы на вопросы..................... 5

- подведение итогов...................... 2

- заключительная часть.................... 5

- задание на самоподготовку............... 5

Всего: 90

I. Организационная часть. Преподаватель принимает рапорт, проверяет наличие и внешний вид, их готовность к занятиям (тетради, ручки).

III. Изложение 1-го вопроса.

IV. Изложение 2-го вопроса.

2. Методы синтеза информации.

V. Изложение 3-го вопроса.

3. Применение технологии контент-анализа.

Преподаватель отвечает на вопросы курсантов.

VII. Подведение итогов.

VIII. Заключительная часть. Преподаватель призывает слушателей к добросовестному изучению учебного материала и необходимости их становления как будущих специалистов ИБ. Преподаватель говорит слушателям о необходимости систематического изучения материалов лекций.

IX. Задание на самоподготовку. С использованием рекомендованной литературы самостоятельно более детально изучить вопросы лекции.

Литература для подготовки:

Основная:

1. Меньшаков Ю. К. Теоретические основы технических разведок: учебное пособие: доп. УМО по образованию в обл. информ. безопасности / Ю. К. Меньшаков; под ред. Ю. Н. Лаврухина. - М.: Изд-во МГТУ им. Н. Э. Баумана, 2008. - 536 с.

Дополнительная:

1. Защита информации в компьютерных системах и сетях /под ред. В.Ф.Шаньгина – 2-е издание перераб. и доп. –М.: Радио и связь, 2001. –376 с.

2. Зима В.М. Безопасность глобальных сетевых технологий./ Зима В.М., Молдавян А.А., Молдовян Н.А. – 2-е изд. - СПб: БХВ - Санкт-Петербург, 2003. - 368 с.

3. Защита от вторжений. Расследование компьютерных преступлений/ Кевин Мандиа Крис.Пер. с англ. Просис. Издательство «Лори», 2005.- 476 с.

4. Руководство по защите от хакеров/ Коул Эрик. Пер. с англ. – М. Издательский дом «Вильямс», 2002. – 640 с.

5. Касперски К. Записки исследователя компьютерных вирусов/ К. Касперски– СПб.: Питер, 2005. – 16 с.

Вопрос 1. Информационно-аналитическая работа

Информационно-аналитическая работа должна предшествовать принятию решения. Основные направления действий информационно-аналитической службы фирмы - это анализ и прогнозирование. "Мы делаем большой упор на анализ информации получаемой из газет, на основе фотосъемки, электронных средств" - сказал бывший директор ЦРУ С. Тернер.

На предприятии, в фирме необходим единый центр обработки информации; иногда для начала бывает достаточно одного человека. Например, в одной компании был назначен на такую работу человек, который начал с того, что разослал "список розыска", содержащий вопросы о деятельности конкурентов по определенным ключевым программам компании. Регулярно этот список обновлялся. Торговые агенты и другие сотрудники, получавшие список, должны были сообщать в аналитический отдел все, что могло иметь значение о деятельности конкурентов. Таким образом, удалось собрать много сведений о стратегии конкурентов.

Информационно-аналитическая работа включает следующие процессы:

- сбор данных и сведений от органов добывания;

- видовую обработку;

- комплексную обработку.

Данные и сведения передаются в орган видовой обработки. Если в добывании информации участвуют органы различных видов, например, оптической и радиоэлектронной разведки, то осуществляется комплексная обработка сведений, поступивших от органов видовой обработки. Необходимость видовой обработки обусловлена различием языков признаков, добываемых органами различных видов.

В ходе видовой и комплексной обработки формируются первичные и вторичные сведения на основе методов синтеза информации и процедур идентификации и интерпретации данных и сведений.

Формирование первичных сведений производится путем сбора и накопления данных и "привязки" их к тематическому вопросу, по которому добывается информация. Для включения данных в первичные сведения необходимо, чтобы эти данные содержали информационный признак о принадлежности данных к информации по конкретному вопросу. Например, если поставлена задача добывания информации о новом автомобиле, то добытые признаки его внешнего вида могут быть отнесены к этому автомобилю, если существует дополнительный признак (место, время или наличие возле него определенных лиц), которые с высокой степенью достоверности указывают о принадлежности признаков этому автомобилю. Если такой признак отсутствует, то имеет место простое накопление данных.

Формально при наличии в добытых данных Ах, Вх и Сх общего признака х, характеризующего принадлежность их к одному и тому же тематическому вопросу или объекту разведки, данные объединяются в первичные сведения АВСх. Любые новые данные, полученные от органа добывания, "привязывают", если это возможно, по общему признаку к первичным сведениям соответствующего объекта. В результате этого по мере добывания новых данных об объекте разведки его признаковая структура пополняется новыми признаками, что приводит к увеличению различия ее по отношению к признаковым структурам других объектов.

Если полученные сведения отвечают на поставленные перед разведкой вопросы, то содержащаяся в сведениях семантическая и признаковая информация в соответствующей форме передается ее потребителям.

Необходимость в формировании вторичных сведений возникает тогда, когда не совпадают языки итоговой информации и первичных сведении, получаемых от органов добывания. Если потребителя интересуют видовые свойства продукции, создаваемой конкурентом, то добытые признаки внешнего вида не нуждаются в дополнительной обработке. Но когда для потребителя важны способы работы разрабатываемого технического средства, то первичные признаки не отвечают на эти вопросы. В этом случае формируются вторичные сведения не в виде, например, признаков внешнего вида или признаков сигналов, а в виде описания конструкции узлов и деталей новой продукции и принципов их работы, которые не удается добыть в виде оригиналов и копий.

Однако специалисты по внешнему виду могут по видовым признакам выявить особенности конструкции и работы продукции. Эти особенности не содержатся в первичных сведениях, у них даже разные языки. При формировании вторичных сведений возникает новая информация как результат интерпретации (толкования) вторичных сведений. Интерпретация - это высшая форма обработки информации, присущая в настоящее время только человеку.

Процессы сбора и обработки вторичных сведений аналогичны соответствующим процессам для первичных сведений.

Вопрос 2. Методы синтеза информации.

При формировании сведений применяются следующие методы синтеза информации:
-логические;
-структурные;
-статистические.

Логические методы используют для синтеза информации законы логики, учитывающие причинно-следственные связи в реальном мире. Они лежат в основе так называемого "здравого смысла" человека и являются основным методом синтеза информации человеком. Чем большими знаниями и опытом владеет человек, тем больше информативных связей он учитывает при принятии решения. Однако эти связи имеют и обратную сторону. Они консервирую логику мышления человека и тормозят процесс генерирования им новой информации ограничениями типа "этого не может быть". Люди, обладающие бурной фантазией, но лишенные консерватизма специальных знаний и опыта, писатели-фантасты создают в своих произведениях модели будущих образцов техники, на десятилетия опережающие время их создания. В то же время прогнозы специалистов часто похожи на прототипы. Причинно-следственные временные связи обеспечивают также выявление и прогнозирование действий объектов по признакам их деятельности в различные моменты времени.

Структурные методы учитывают объективно существующие связи между элементами объекта. Например, любой прибор имеет многоуровневую иерархическую структуру. Она включает блоки, узлы и детали, которые во время работы взаимодействуют друг с другом. Эти связи определяют конструкцию прибора и зафиксированы в конструкторской документации. При ее отсутствии специалисты восстанавливают конструкцию, назначение и функции по отдельным элементам и связям.

Статистические методы обеспечивают идентификацию и интерпретацию объектов и характера их деятельности по часто проявляющимся признакам, получаемым в результате статистической обработки добываемых данных. В качестве таких признаков выступают статистически устойчивые параметры случайных событий: средние значения, дисперсии, функции распределения. Например, частое появление возле территории фирмы одних и тех же людей и автомобилей, обнаружение в помещениях фирмы закладных устройств служат признаками повышенного интереса конкурента или других субъектов к фирме или к отдельным ее сотрудникам.

Таким образом, информационная работа включает аналитическую обработку больших массивов данных и сведений. Органы обработки широко привлекают к информационной работе в качестве аналитиков высококвалифицированных специалистов, которые интерпретируют данные и сведения. Кроме того, проводятся интенсивные работы по автоматизации процессов информационной работы.

Вопрос 3. Применение технологии контент-анализа.

В специальной литературе дается различное толкование этого термина: статистическая семантика; техника для объективного количественного анализа содержания коммуникации; техника для получения выводов при помощи объектив­ного и систематического установления характеристик сообщений

Если же говорить простым языком, то контент-анализ - содержательный анализ на основе формализованных методик. Он состоит в выделе­нии в тексте некоторых ключевых понятий или иных смысло­вых единиц и в последующем подсчете частоты употребления этих единиц, соотношения различных элементов текста друг с другом, а также с общим объемом информации. Так анализ содержания проводится не интуитивно, не на "глазок", а с по­мощью методик, обеспечивающих получение достоверного и объективного результата.

В этом случае объективность контент-анализа определяется тем, что каждый шаг может быть произведен только на основе явно сформулированных правил и процедур. Поэтому в качестве верификации (проверки) необходимо повторение того же резуль­тата другим исследователем на том же материале. В гуманитарных науках достаточно сложно придти к единому мнению, мы можем опросить 50 экспертов, и они дадут нам различных 50 результатов. В отличии от этого контент-анализ же явля­ется довольно точной исследовательской техникой.

Для более полной характеристики метода необходимо доба­вить следующее. Первое: все данные статистики вербального материала используются для формулирования выводов о невербальных аспектах, например, о тех или иных характеристиках адресата и адресанта. Поэтому текстовой материал здесь пред­ставляется промежуточным объектом. Нас интересует вовсе не текст. И второе: само по себе выяснение частоты употребления, например, журналистом Х такого-то слова с такой-то частотой не является контент-анализом. Контент-анализ — это всегда со­поставление двух потоков. Например, сопоставление двух газет как двух вербальных потоков. Возможно сопоставление невер­бального и вербального потоков: данных о рождаемости и ин­формации о детях-героях в литературных журналах. Возможно сопоставление данного вербального потока и нормы: частоты употребления определенного слова в статьях определенного журналиста и стандартной частоты употребления этого слова в языке нашего времени.

Основные этапы контент-анализа следующие:

§ а) формулировка задачи, определение программы ис­следования;

§ б) определение выборки (той части текстов, которые до­статочны для анализа всего массива публикаций и обеспечи­вают репрезентативность выборки);

§ в) определение единого семантического толкования ключевых понятий исследования;

§ г) составление кода, перечня характеристик текста, от­вечающих задаче исследования (единиц анализа);

§ д) составление рабочего документа, кодированной кар­точки и инструкции кодировщику (человеку, который будет работать с текстом, фиксировать частоту употребления еди­ниц текста);

§ е) составление сметы исследования;

§ ж) компьютерная обработка данных;

§ з) предъявление результатов исследования.

Контент-анализ прессы требует сравнительно больших затрат времени и средств, поэтому может использоваться и метод экспресс-анализа. В его основе лежит количественный подсчет содержательных элементов текста (факт, конфликт, аргумент, тема, обобщение), а также учет качественных харак­теристик публикаций (соответствие цели, информативность, актуальность, доказательность, конструктивность).

Как и при контент-анализе, эти характеристики текста кодируются, обозначаются определенной цифрой и затем при чтении текста исследователь их фиксирует.

Контент-анализ используется в таких областях, как изу­чение социальных оценок тех или иных событий, анализ пропаганды, методов журналистики, изучение арсенала средств массовой коммуникации, психологические, психо­аналитические исследования. Этот диапазон охватывает, по подсчетам исследователей, 60% всех работ.

Что можно подсчитывать в вербальном потоке, какие ти­пичные исследовательские модели существуют? Можно подсчитывать:

§ а) частоту,

§ б) наличие/отсутствие каких-то тем,

§ в) связь между темами,

§ г) основные темы.

Алгоритмпроведения контент-анализа:

Определитьсяс выбором смысловых единиц. Это могут оскорбления и угрозы, призывы и порывы благородного негодования, элементы личной позиции автора или что-то другое, т.е все то что необходимо выявить.

Составляется перечень поисковых смысловых единиц, определяется предметная область поиска (ПОП). ПОП — это все оперативные версии и гипотезы о соответствующих риск-факторах в деятельности предприятия.

Далее следует выявление в исследуемом тексте индикато­ров — моделей оформления каждой смысловой единицы языковыми средствами. Теоретически их число может быть огромным, но с учетом тяготения людей к накатанным стереотипам, в практической работе реальное число ин­дикаторов не так уж и велико. Индикаторы вписываются рядом с каж­дой смысловой единицей. На этом же этапе нужно определиться с еди­ницей счета: чем будет мерить? Обычно учитывается частота употребле­ния смысловой единицы, и такие ее количественные характеристики как число строк, площадь газетной полосы или длительность вещания. Теперь мы имеем четкую систему правил для анализа, материала.

Анализ может проводиться как в ручную, так и с помощью компьютерных программ анализа текстовой информации. (В компьютерном варианте инструментария достаточно отсканировать печатный лист, распознать отсканированное и обработать компьютерной программой анализа. На выходе вы получаете полную “картинку” материала, с указанием его возможной направленности в ту или иную сторону и соответствующее обоснование — комментарии полученных выводов. Компьютерные программы хороши для обработки больших массивов информации и для отслеживания динамик и тенденции в сообщениях. Например, отдельный блок программы по мере поступления новой информации, подшивает полученные выводы к общей композиции исследований данного объекта. Контент—анализ дополняется динамическими изменениями содержания информации.

При аналитической обработке прессы применяется и так называемый метод «окон фактов». Его во время Второй мировой войны активно использовала американская разведка для изучения немецкой промышленности по открытым публикациям. Смысл метода состоит в том, что бы из каждой конкретной публикации извлечь только несомненные факты, часто совершенно неинтересные и тривиальные. Сопоставление подобных "атомарных" фактов дать совершенно неожиданные новые знания.

В качестве курьезного примера применения метода сопоставления фактов, можно привести старый анекдот про землетрясение, когда средства массовой информации сообщают, что жертв и разрушений нет. А некоторое время спустя в центральной прессе под заголовком “очевидное-невероятное” появляется статья о вернувшейся домой собаке, которая пропала во время последнего землетрясения со стадом овец и 5 пастухами.

А теперь в качестве примера давайте рассмотрим следующее сообщение в прессе: "Новый директор Apple Стив Джобс заявил, что компания стала возрождаться и в 1999 год перейдет с прибылью 100 млн долларов". Из этой фразы можно извлечь только тот несомненный факт в 1998 году директором Apple был некто Джобс. Далее по газетным публикациям о Джобсе можно составить описание его жизненного пути, а заодно провести анализ прибыльности возглавляемых им компаний в зависимости от его прихода и ухода.

Поскольку факты, собираемые подобным образом, имеют простую структуру, то по ним достаточно легко построить причинно-следственную цепочку, например "К - продукт компании «А» 2007 г.", "Д - технический директор компании «А» c 2006 по 2008 годы", следовательно, можно создать новый факт "Д руководил выпуском продукта К в компании «А»". Или при наличии факта "Н - сотрудник компании «А» с 2005 года" можно автоматически создать факт "Н и Д знакомы", имеющий определенную степень достоверности, и попробовать продлить цепочку знакомств дальше.

Горячей порой сбора различной открытой информации являются предвыборные кампании в законодательные и исполнительные органы власти. Интересен анализ публикаций “за” и “против” различных кандидатов, фиксация факта поддержки того или иного кандидата. При квалифицированном сборе и компьютерной обработке информации в ИБД можно выстроить очень интересные схемы, особенно четко это можно отследить в регионах, где вопросам оперативного легендирования уделяют значительно меньше внимания, чем в центре. Так, установление взаимосвязей по предвыборным штабам и партийным спискам позволяет заранее выявить возможный расклад групп “поддержки” того или иного хозяйствующего субъекта в органах законодательной или исполнительной власти.

По поводу системного подхода к обработке прессы можно также привести и историю о проигравшемся в начале 20-го века в карты журналисте, который для того, чтобы вернуть долг, решил продать иностранной разведке интересовавший ее план дислокации воинских частей, фамилии и занимаемые должности их командного состава. Контрразведка, конечно, задержала шпиона-любителя, но когда имевшуюся у него информацию показали представителям Генерального штаба, те были в шоке — сведения были достоверные и очень секретные. В ходе разбирательства журналист вину свою полностью признал и в качестве доказательства своего полного раскаяния поделился способом добывания “государственной тайны”. Оказывается, посещая регионы, он тщательно изучал местные газеты, особенно его интересовала провинциальная светская хроника: “В уездном городе N на бракосочетании поручика К. присутствовали командир расквартированного здесь 17 гусарского полка полковник B., начальник штаба полка полковник M … и так далее и тому подобное”.

Еще один интересный пример можно найти в книге Г.Р.Берндорфа “Шпионаж”. Накануне первой мировой войны военную разведку Германии очень сильно интересовали данные об изменениях в итальянских береговых укреплениях. Для решения этой задачи в июле 1914 года в Милане было открыто бюро объявлений, которое выписывало практически все выходящие в Италии газеты, вплоть до самых мелких деревенских листков. Хозяйкой бюро являлась весьма эффектная дама – Анна Мари Лессер, больше известная под псевдонимом “Мадемуазель Доктор”. Не тратя время на сон, она в течение нескольких суток, днем и ночью наносила на крупномасштабную карту Италии сведения из газетных объявлений военных комендатур о наборе персонала на земляные и бетонные работы. Более детально масштабы строительства оценивались по месту проведения работ агентами-маршрутниками.

Дата добавления: 2014-01-07; Просмотров: 864; Нарушение авторских прав?; Мы поможем в написании вашей работы!