2.4. Методики анализа видеоинформации
Ранее уже отмечалось, что индексация видеоданных является эффективным способом повышения скорости поиска видеоинформации и одним из инструментов верификации данных в процессе анализа. В свою очередь, широкое внедрение технологий машинного зрения и технологий распознавания позволяет использовать обработанные видеоданные как источник информации для учетных систем предприятия и использовать не только в целях обеспечения безопасности, но и для управления логистикой, построения отчетов для различных подразделений организации, может являться источником данных для систем поддержки принятия решений (СППР).
Если обратиться к истории вопроса, длительное время система безопасности предприятия была автономной, аналоговые методы накопления и обработки видеоданных исключали возможность их использования, кроме как в целях визуального мониторинга территории или просмотра видеозаписей. Широкий спектр возможностей для интеграции этого источника информации как в систему СОИ, так и в информационную систему предприятия в целом и СППР в частности, возник после перехода на цифровые способы формирования, передачи и хранения видеоинформации. Естественно, степень интеграции системы безопасности предприятия с иными информационными системами зависит от категории объекта и ограничений по информационной безопасности.
Соответственно, аналитические мероприятия, проводимые специалистом-экспертом, рсуществляются по схожим методикам, которые используются в СППР. Возможно, единственное отличие – это целевая группа получателей информации (как правило, аналитические отчеты в СППР предназначены для топ-менеджеров и затрагивают вопросы бизнес-аналитики и стратегического развития предприятия, отчеты для целей безопасности имеют более прикладной характер и предназначены для лиц, определяющих политику в области оценки рисков, поиска уязвимостей и оперативного управления безопасностью).
Следует отметить, что форма реализации общей информационной модели предприятия не зависит от вида реализации конкретной системы. Типовой набор модулей и иерархия системы будет одинаковой. Пример реализации СППР7 приведен ниже:
Рис. 1. Структура СППР
Основной функциональный набор методик СППР позволяет реализовать:
– формирование консолидированной отчетности,
– многомерный анализ данных (OLAP),
– выявление скрытых закономерностей (Data Mining),
– статистический анализ и прогнозирование временных рядов,
– формирование преднастроенных запросов,
– интеллектуальный поиск (по неполным данным и неформальным запросам).
Точное определение функционалу OLAP дано автором сетевого ресурса «Введение в многомерный анализ»8: «Следует отметить, что OLAP-функциональность может быть реализована различными способами, начиная с простейших средств анализа данных в офисных приложениях и заканчивая распределенными аналитическими системами, основанными на серверных продуктах. Т. е. OLAP – это не технология, а идеология».
Это определение еще раз подтверждает ранее выдвинутый тезис о возможности использования методов анализа информации для выявления аномалий, которые ранее не рассматривались в контексте прикладных задач обеспечения безопасности.
Кроме того, автором монографии9 рассматривается возможность оперативной обработки информации, полученной от извещателей (датчиков в терминологии автора) с использованием методов многомерного анализа.
Как уже отмечалось, методики СППР прежде всего предназначены для решения бизнес-задач. Для использования в прикладных целях обеспечения безопасности, естественно, используется относительно небольшой набор следующих алгоритмов10:
– авторегрессионный – модель временного ряда, в которой его текущее значение линейно зависит от предыдущих. Основное назначение – прогнозирование, выявление тенденций и других особенностей;
– алгоритм последовательного покрытия – генерирующий набор классифицирующих правил, которые последовательно разделяют обучающее множество на подмножества до тех пор, пока в каждом из них не останутся только объекты одного класса;
– бинарная классификация – классификация с бинарной выходной переменной, которая может принимать только два значения. Относит объект к одному из двух классов;
– дискриминационный порог – в статистике и машинном обучении значение дискриминирующей функции в задачах бинарной классификации, которое позволяет разделять классы;
– задача классификации – задача разделения множества наблюдений на группы, называемые классами;
– квантование – процесс обработки данных, который преобразует непрерывные данные в дискретные путем замены значений диапазонами;
– класс – группа объектов или явлений, обладающими общими свойствами. Выявление классифицирующих правил называется задачей классификации, а процесс распределения объектов по классам – классификацией;
– корреляция – статистическая взаимосвязь двух или нескольких случайных величин;
– нормализация данных – метод предобработки числовых признаков в обучающих наборах данных с целью приведения их к некоторой общей шкале измерений без потери информации о различии диапазонов;
– регрессионный анализ – набор статистических процедур для изучения зависимостей между случайными переменными;
– скоринговая карта – набор характеристик с присвоенными весовыми коэффициентами;
– сэмплинг – процесс отбора из исходного набора данных выборки наблюдений, представляющих интерес для анализа;
– теорема Байеса – определяет вероятность события с привлечением связанным с ним знаний и условий. Например, если вероятность возникновения пожара связана с проведением огневых работ, то учет проведения огневых работ позволяет более точно оценить вероятность пожара в контролируемый период времени;
– факторный анализ – направление математической статистики, помогающее обнаружить наиболее важные факторы, которые влияют на исследуемые процессы или объекты.
В заключение этого раздела особо выделим методику разведочного анализа, которая в целом объединяет все алгоритмы, необходимые для достижения целей обработки данных в контексте предметной области, рассматриваемой в данном пособии.
Понятие «разведочный анализ данных» введено математиком Джоном Тьюки, который сформулировал цели такого анализа:
– максимальное «проникновение» в данные,
– выбор основных структур,
– выбор наиболее важных переменных,
– обнаружение отклонений и аномалий,
– проверка основных гипотез,
– разработка начальных моделей.
Возможность украсть создает вора.
Ф. Бэкон
3. Психология мошенничества
Как уже было отмечено ранее, данное пособие прежде всего адресовано специалистам, связанным с обеспечением безопасности. Поэтому обойти область знаний, связанную с психологией мошенничества и практикой противодействия, в связи с ее относительной «отвлеченностью» от названия пособия и «технической» направленности в целом все-таки было бы неверно.
Тем более в процессе изложения материала мы опять вернемся к теме подготовки данных для анализа и особое внимание обратим на возможные искажения данных как результат направленных действий заинтересованных лиц.
3.1. Модель нарушителя
В процессе проектирования систем безопасности на этапе создания модели угроз и проведения оценки уязвимости объекта11, как правило, рассматривается модель нарушителя.
Следуя этой методике, рассмотрим модель нарушителя в контексте анализа угроз экономической безопасности и попытаемся выделить основные отличительные характеристики. Поскольку речь идет о внутреннем нарушителе, эти характеристики следующие:
– осведомленность о структуре предприятия, основных бизнес- и технологических процессах;
– осведомленность о внедренных на предприятии мерах контроля и режима, осведомленность о местах установки видеокамер и технических систем охраны;
– в зависимости от занимаемой должности возможность влиять на достоверность информации, отражающей количественный учет движения товарно-материальных ценностей, или информации о количестве и качестве производимых работ (услуг) подрядными организациями.
Третий пункт особенно важен в контексте обещания вернуться к теме подготовки данных для анализа, т. к. на основе созданной модели нарушителя мы можем допустить, что в ряде случаев данные, используемые в информационной системе предприятия, изначально недостоверны, соответственно, выходной результат тоже будет искажен.
Мы акцентируем внимание на этой проблеме потому, что очень часто при анализе данных особое внимание обращают на математические модели исследования, параметры информационных систем. Однако забывают, что данные, полученные с технических систем, и данные, которые поступают из документов (товарно-транспортных накладных, актов приемки работ, материалов по проведенным тендерам и т. д.), обладают кардинальным отличием: в первом случае корреляция между источником данных и результатом обработки этих данных отсутствует, во втором всегда есть риск искажения данных как по причине мошенничества, так и по причине халатности.
Соответственно, возможность проверять данные, полученные из различных источников, кардинально меняет уровень защищенности предприятия, в т. ч. от угроз совершения мошеннических действий персонала.
В части психологических характеристик нарушителя особо хотелось бы выделить следующие особенности:
– как показывает практика, чаще нарушитель действует в составе группы с разной степенью осведомленности о характере нарушений (иногда роль участника группы сводится к фактическому бездействию в части выполнения своих должностных обязанностей). Это обусловлено тем, что любая развитая система контроля на предприятии исключает возможность неконтролируемых действий отдельного сотрудника при перемещении товарно-материальных ценностей или денежных средств;
– отсутствие личной ответственности, оправдание корыстной заинтересованности низким уровнем оплаты труда или иными «внешними» факторами;
– зависимость от чужого мнения, принятие ложных ценностей «здесь всегда так было».