Алгоритм построения модели нарушителя на примере системы физической защиты с применением теории игр и теории графов Текст научной статьи по специальности «Компьютерные и информационные науки»

20. Сердаков А. С. Автоматический контроль и техническая диагностика. Киев: Техника, 1971. 242 с.

21. Основы технической диагностики / Под ред. П. П. Пархоменко. М.: Энергия, 1976. 464 с.

ПОТАПОВ Виктор Ильич, доктор технических наук, профессор (Россия), заведующий кафедрой

«Информатика и вычислительная техника», заслуженный деятель науки и техники РФ. РАЛОВЕЦ Марина Леонидовна, инженер 1-й категории кафедры «Информатика и вычислительная техника».

Адрес для переписки: ivt@omgtu.ru

Статья поступила в редакцию 31.05.2017 г. © В. И. Потапов, М. Л. Раловец

УДК 519.83

О. Т. ДАНИЛОВА С. О. САВЧЕНКО Н. В. КАПЧУК

Омский государственный технический университет, г. Омск

АЛГОРИТМ ПОСТРОЕНИЯ МОДЕЛИ НАРУШИТЕЛЯ НА ПРИМЕРЕ СИСТЕМЫ ФИЗИЧЕСКОЙ ЗАЩИТЫ С ПРИМЕНЕНИЕМ ТЕОРИИ ИГР И ТЕОРИИ ГРАФОВ

Для эффективного обеспечения защищенности системы информационной безопасности от различных видов атак и более тщательного описания нарушителя целесообразно рассматривать процесс защиты как одноходовую матричную бескоалиционную игру с совершенной информацией и нулевой суммой — существуют два игрока с конечным набором стратегий, которые знают все о действиях друг друга и выигрывают исключительно за счет оппонента, не имея возможности скооперироваться. В данной работе описывается использование элементов теории игр, теории вероятностей и теории графов для разработки алгоритма построения модели нарушителя в системе информационной безопасности.

Ключевые слова: модель нарушителя, теория игр, информационная безопасность, моделирование, графы.

I. Введение. В литературе рассматривается игровая модель системы защиты информации, используемая для решения проблемы выбора решения, обеспечивающего оптимальное соотношение между затратами на средства защиты и снижением риска эксплуатации [1, 2]. В ней исследуется антагонистическая матричная игра [3]. При этом стратегии одного игрока («защитника») заключаются в приведении автоматизированной системы в соответствие с требованиями определенного класса защищенности. Под классом защищенности понимается определенный набор требований к функциям защиты системы. Стратегии другого игрока («нарушителя») будут заключаться в реализации угрозы, относящейся к определенному классу угроз. Функция выигрыша будет представлять собой сумму затрат на реализацию предлагаемых мер защиты и ожидаемых потерь в случае реализации угрозы определенного класса, при условии приведения системы в соответствие с требованиями по классу защищенности [4]. Для построения данной модели необходимо:

— наличие классификации угроз;

— проведение анализа рисков, который покажет ожидаемый объем потерь в случае реализации атаки данного класса;

— формальное описание классов защиты для ИС.

Каждый класс защиты должен характеризоваться, с одной стороны, вероятностным коэффициентом, который показывает, насколько снижается вероятность успешной атаки на систему, а с другой — оценкой стоимости технических средств и мероприятий по приведению ИС в соответствие с требованиями данного класса. В модели предполагается, что нарушитель затрачивает х средств на преодоление механизма защиты, создание которого потребовало у средств. Ожидаемое количество информации, получаемое нарушителем, есть функция I(x,y).

Функция f(n) определяет ценность для нарушителя n единиц информации, a g(n) — суммарные затраты на создание и сбережение такого же количества информации, то чистая прибыль нарушителя равна:

К (х, у) = / [I (х, у)] - х. Потери же равны:

«(х,У) = М1(х; И)] + И ■

В соответствии с теорией игр -птимальные стратегии обеих сторон (игредеияются исходя из следующих условий:

f

dI(x,y) dx

1

*3/(хТ]г3 = 1

dx

Основным недостатком модели, приведенной в [2], является то, что при практическом применении невозможне построить достоверные функции I, f и g. Также приведенная модель не рассчитывает вероятности реализатит угрдз.

При вхшолнених исследования хыл j)азрайстан алгоритм, облацеющин предмуществами и недостатками, представоенным и втабл. 1.

II. Постановит зодтчи. Тчк как процессзагциты предстаел]н в )]лде тгты с совереенноС инСтормп-цией, то системц зонец все дб уязвимостях, а нарушитель знает die об уязвимостях и обо Т1схо дех-

ствиях gHITXMbl.

Пусть существует система ИБ (ИБ), в которой имеется множество уязвимостей H п {с^с^,-,,С,} [3]-Существует нарушитеть, который может реализовать множеерво угроз (стратегий) Т = ■{Р1,Р2,,,,,P.}. В таком случае множеотво стратегий защиты системы D = {T1,T2,,,.,/} б=дет нопртвлено на ликвидацию уязвимостей. ]Н[ет)от= защиты будет являться сумма затрат на остдцеспвление предлагаемых защитных мер и ожидаемын поте]нь в хл^ае рохлпс зации угроз.

III. Теория. Исводя из хышехзложхнного, ахгп-ритм можетбыта 31=3едотеелен в виде девятишагов.

Шаг 1. Определяются во зможные потери при нарушении одного или нескольких свойств информации — конфидвнциевьноств, цовохтности хлп доступности. Дяя этого можно использовать метод экспертных оценьк иои метод относительных шкал [5]. Предполагаеася, что потенциальная прибыль нарушителя пропорциональна этим потерям. Эти

данные могут быть представлены в виде тлементов множества ИИ

Шаг 2. Пусть сущестаует множтст-х И о {у.,т2,...,у,.} — множеетво уизвикстей сий семы ИБ. Элементами множества могут стето фактуры тв события, позволяющие иарушителю успешни реу-лизовать угрозы информационной бозоггасносоя. Вводится множество о {5.,s2,..., о1}, элементами которого является стоимость ликвидацпи каждово элемента из И.

Ш) г 3. Задается множество Т = {7., ТВ}. С целью более точного опзсапио нарушителя про-узродится ес, кл+ссификация. В качтств{ иритевжя целесообразно исполызовати птиоая+ежность нарушителя й ор ганизации, его цель н =ааeициaи — меру усилиИ, затрачиваемых нит^ши—ием ирв реализации угроз безопааноаии иифоямяции в системе.

Каждый тип нарушителя рюжет использовать только некоторые уязвимотти. Пиэтомо мнове ство и будет состоятьиз подогноже сив с., эле ментамт во -торых будутугрозы, доступные тагам тапат.

Шаг 4. Описываетса множтoтвo Р о {И1,И2,..., И1В, элементами которого твяапотся 13«—ооятнясти рвали-зации нарушителем соот,етструв щихугроз.

Шаг 5. Вводится множитов -0 = {зя,з2]...] зр ], элемента: которого сoоcаcтcтвyют затратам времени на использование кая°,ой yягвимтcтивсистеме.

Шаг 6. Так кат процесс з—щиты представлен в cи7т игры с совершенной информацией, нарушитель и защитрик исиользуют одно и то же множееяво уязвимостей, с той лишь разницей, что нарушитель пытаетоя из реализоватво а защитник — ликвидиров зть. Поэтому задается множество стратегий защитника Н = {И1] иЗ2^ . .. , иЯ^, р— , элементами ко-терого будуи овляться всевозюжные сочетания пиквидации уязвимостей Добивам множество К о {кя,k2]..]kj] , элементы которого характеризуют стоимость реализации сорктегий ив множества Б:

к, о ии1).

Шаг 7. Строится пратежная матрица, строками которой будут являться стратегии защитника, а столбцами — нарушите^ (таол. 2), тде X.. — вероятность неправильногофункционврютанит системы прииспользованиистратегий и. и т.:

Таблица!

Преимущества и недостатки разработанного алгоритма

Преимущества Недост атк и

Более широкий охват факторов, влияющих на систему ИБ Необходимо большое количество вхадных данных

Совместимость с другими алгоритмами Быстрый рост сложности аогоритма

Комплексный подход к оценке защищенности системы Большое количество в ыч оелк ний

Высокаяточность при условииполнотывходных данных Высокая трудоемкость

Определение наиболее оптимальной и вероятной стратегии поведения нарушителя и защитника Неточность и субъективность при оценке вероятностей угроз, а также стоимости информации

Платежная матрица

№ Угроза Вероятность реализации Стоимость устранения, у.е. Затраты временина реализацию, сек. Угроза доступна для типов нарушителя

1 Подделка пропуска 0,31 10 000 3600 T T 2' 3

2 Неправильная идентификация 0,17 15 000 60 T T 23

3 Обесточивание здания 0,42 25 000 600 T T 1 1' 3

4 Преодоление сигнализации 0,27 25 000 300 T T T 1 1'1 21 3

5 Взломдвери 0,11 15 000 300 T T T 'l'1? T3

Данный параметр можно определить любым графовым методо м, напр им ер, моде ф ид ированным алгоритмом Дейкстры. Такой подход позволит не только найти вер оятность проникнйвения нарушителя, но и наикратчайший маршрут. Получ ив марш -рут нйрушителя, можно оценить время, затрачиваемое на реализацию атаки.

Шаг 8. Предполагается, что в системе имеется е уязвимостей. Калсчество стратегий защитника будет обосначанокам N. Таода вычосмение N сводится к вычислению сочетаной ив всех уязвимостей:

л)с£ ср с£

ед

oOi!(е - i)!

Дш доказательстоа юавонктва можно использовать разложение в бе—ом Ньютона [ £>]:

Jс]хг с со^+сйс+ссx2+... + Сеф =(1 + х)е.

Если положить, х = 1, получается: Л = аППла х та.

¡х0

Пусть па — ктличтгтво спрауегий нарушителя, полученное из его классификации пч определенным признакам. Тогда с>Пщее чоличество возможных сценариев будет равно п • N. Соответственно, с ростом кошииества еизвимосхчй сложность алго-

ритма будет быст ро расти. Б а лее того, возможен вариант, когда алгоритм покажет, что наиболее эффективной стратегией защитника будет ликвидация всех уязвимостей, чего на практике достичь нев о г -можно.

Дл оценки эффективности защиты для выбранной пары стратегий защитника и нарушителя вводится параметр Л:

К х (Хь ■ п) у М.

где Хь — вероятность прааплыаого функционирования системы, П, — потери при нарушении свойства информации, к. — зхтраты на реализацию стратегии защиты 0.. Чем больше параметр Д ., тем менее эффективна система и тае (зьльше потерт полесет система при атаке нарушителя.

Шаг 9. В матроте, поеистлвленной в шаге 7, производится замена X. на К...

Согласно теории а гр, дая защ итника оптимальной будет «минимаксная» стратегия. Логично предположить, что для каждой стратегии а нарушителем будет выбрана стратегия, приводящая к максимальному выигрышу от нарушения, т.е. с наибольшим показателем ч. Чтобы определить оптимальную стратегию за щитника Г, необходимо для каждой а найти наиболь а е ч, а затем из полученного множества выбрать стратегию с наименьшим показателем:

т

min так С.ь

1<.<е 1< ь'<ю ь

.с.

Стратегия нарушителя, наоборот, будет «макси-минной». Предполагая, что защитник будет выбирать стратегию, приводящую к минимальному выигрышу, необходимо найти максимум из множества таких страте л й. П стл оптимальная стратегия нарушителя обозначена как и. Тогда:

и а ках кт Сл .

1<,<п 1< л<т ■

Значения и и V соокахтствекно назлштются нижней и верхней ценой игры. Таким образом, если нарупитель будет придерживаться макси-минной стратегии, ему гарантирован выигрыш, не меньший, чем и. Если же защитник использует минимаксную стратбгим, тс нарушитель не может выиграть больше, чем е.

Игра называеткк игртй с седловой точкой, если ее нижняя и верхняя цены совпадают, т.е. выполняется равенств а:

е а кт ках С, а ках кт Я„ а и.

Результаты

1<,<п 1< Л<т

1<,<п 1< Л<т

Если процесс защиты рассматривается как одно-ходовая игра, то сторонам целесообразно придерживаться минимаксной и максиминной стратегий как в игре с седловой точкой, так и в игре без седловой точки [7]. В случае многократного повторения игры с седловой точкой также целесообразно придерживаться принципа минимакса. Если же многократно повторяется игра без седловой точки, то постоянное использование минимаксной стратегии становится невыгодным [5]. Так как стратегиями защитника является ликвидация тех или иных уязвимостей, многократное повторение игры в вышеописанной форме можно считать не имеющей смысла.

Следовательно, для выбора средств эффективной защиты систем ИБ от различных видов атак целесообразно всегда придерживаться принципа минимакса.

Для более полного описания нарушителя следует рассматривать несколько сценариев его взаимодействия с нарушителем. Например, нарушитель может поставить перед собой цель нанести максимальный ущерб системе, без получения доступа к защищаемой информации, либо наоборот, получить доступ

Рис. 1. Сценарий поведения злоумышленника

Стратегия защитника (ликвидированные угрозы) Стоимость потерь от типа нарушителя, у.е.

Т, Т Т3

- 50 000 80 000 80 000

1 60 000 60 000 60 000

2 65 000 95 000 95 000

3 25 000 105 000 105 000

4 75 000 25 000 75 000

5 15 000 95 000 95 000

1, 2 75 000 25 000 75 000

1, 3 35 000 85 000 85 000

2, 3 40 000 120 000 120 000

1, 2, 3 50 000 50 000 50 000

1, 4 85 000 35 000 85 000

2, 4 90 000 40 000 90 000

1, 2, 4 100 000 50 000 100 000

3, 4 50 000 50 000 50 000

1, 3, 4 60 000 60 000 60 000

2, 3, 4 65 000 65 000 65 000

1, 2, 3, 4 75 000 75 000 75 000

1, 5 25 000 75 000 75 000

2, 5 30 000 110 000 110 000

1, 2, 5 40 000 40 000 40 000

3, 5 40 000 120 000 120 000

1, 3, 5 50 000 100 000 100 000

2, 3, 5 55 000 135 000 135 000

1, 2, 3, 5 65 000 65 000 65 000

5 40 000 40 000 40 000

5 50 000 50 000 50 000

2, 4, 5 55 000 55 000 55 000

1, 2, 4, 5 65 000 65 000 65 000

3, 4, 5 65 000 65000 65 000

1, 3, 4, 5 75 000 75 000 75 000

2, 3, 4, 5 80 000 80 000 80 000

1, 2, 3, 4, 5 90 000 90 000 90 000

Рекомендации

Название сценария Уязвимости, рекомендуемые к ликвидации Наиболее вероятный тип нарушителя Возможные потери, руб. Время, затрачиваемое на атаку, сек. Наиболее вероятный маршрут нарушителя

Оптимальная стратегия для защитника 1, 2, 5 - 40 000 - -

Бездействие защитника - T2 80 000 3900 0-1-4-6

Нарушитель пытается нанести максимальный ущерб - 90 000 - -

Нарушитель пытается получить доступ к информации - T2 80 000 3900 0-1-4-6

к информации. Защитник может бездействовать либо принимать все необходимые меры для укрепления системы.

IV. Результаты экспериментов. Для апробации описанного алгоритма была рассмотрена гипотетическая система физической защиты. Так как физический доступ к информации подразумевает возможность нарушения всех ее свойств, поэтому отдельными ее свойствами можно пренебречь, а общая стоимость защищаемой информации составляет 1000000 у.е. Рассматривается внешний злоумышленник, который может обладать низким, средним или высоким потенциалом, и в зависимости от этого способен реализовать некоторые из 5 доступных угроз. В данном примере стоимость ликвидации каждой угрозы определяется случайным числом от 0 до 25000 у.е. Вероятности и затраты времени при реализации угроз также задаются случайно. Эти данные могут быть представлены в виде следующей таблицы (табл. 3).

Сценарий поведения злоумышленника можно представить в виде графа, где вершины 0 и 6 — начальная и конечная точки (рис. 1).

Типы нарушителя Т1, Т, Т3 соответствуют низкому, среднему и высокому потенциалу. Вероятность правильного функционирования системы определяется с помощью модифицированного алгоритма Дейкстры [8, 9]. Входные данные были обработаны с помощью описанного алгоритма, полученные результаты были занесены в табл. 4.

При этом нижняя цена игры и составляет 40000 у.е., а верхняя цена игры V равна 90000 у.е. Рекомендации, полученные в ходе работы алгоритма, можно представить в виде табл. 5.

V. Обсуждение результатов. Из результатов эксперимента следует, что для защитника оптимальной стратегией будет ликвидация уязвимостей № 1, № 2 и № 5. Для злоумышленника оптимальная стратегия подразумевает, что защитник ликвидирует все уязвимости и, таким образом, несет большие убытки либо будет бездействовать [10].

VI. Выводы и заключение. Предложенный алгоритм, базирующийся на теории игр, теории вероятностей и оценке стоимости информации, позволяет оценить защищенность системы информационной безопасности, а также определить наиболее оптимальные стратегии поведения защитника и нарушителя. При условии достаточности входных данных

такой подход позволяет с высокой точностью оценивать и оптимизировать эффективность защиты системы ИБ.

Библиографический список

1. Герасименко В. А., Малюк А. А. Основы защиты информации. М.: Моск. гос. инж.-физ. ин-т (техн. ун-т), 1997. 537 с. ISBN 5-88852-010-1.

2. Корт С. С. Теоретические основы защиты информации. М.: Гелиос АРВ, 2004. 240 с. ISBN 5-85438-010-2.

3. Протасов И. Д. Теория игр и исследование операций. М.: Гелиос АРВ, 2006. 368 с. ISBN 5-85438-133-8.

4. Мельников В. В. Безопасность информации в автоматизированных системах. М.: Финансы и статистика, 2003. 368 с. ISBN 5-279-02560-7.

5. Тихонов В. А., Райх В. В. Информационная безопасность: концептуальные, правовые, организационные и технические аспекты. М.: Гелиос АРВ, 2006. 528 с. ISBN 5-85438153-2.

6. Колемаев В. А., Калинина В. Н. Теория вероятностей и математическая статистика. М.: ИНФРА-М, 1997. 302 с. ISBN 5-86225-571-0.

7. Иванов В. П. Математическая оценка защищенности информации от несанкционированного доступа // Специальная техника. 2004. № 1. С. 58-69.

8. Оуэн Г. Теория игр: пер. с англ. М.: Вузовская книга, 2008. 216 с. ISBN 978-5-9502-0330-5.

9. Савченко С. О., Семенова А. Р. Программа «Реализация логико-вероятностного метода» // Хроники объединенного фонда электронных ресурсов «Наука и образование». 2016. № 7 (86). С. 6.

10. Малюк А. А. Информационная безопасность: концептуальные и методологические основы защиты информации. М.: Горячая линия - Телеком, 2004. 280с. ISBN 5-93517-197-Х.

ДАНИЛОВА Ольга Тимофеевна, кандидат физико-математических наук, доцент (Россия), заместитель заведующего кафедрой «Комплексная защита информации».

САВЧЕНКО Станислав Олегович, студент гр. КЗИ-

131 радиотехнического факультета.

КАПЧУК Никита Викторович, студент гр. БИТ-141

радиотехнического факультета.

Адрес для переписки: stassavchenko@mail.ru

Статья поступила в редакцию 25.05.2017 г. © О. Т. Данилова, С. О. Савченко, Н. В. Капчук