CC BY
123
11. Luiz G. Hafemann [et al.]. Writer-independent Feature Learning for Offline Signature Verification using Deep Convolutional Neural Networks // 2016 International Joint Conference on Neural Networks (IJCNN) 2016.
12. Галушкин А. И. Подсознание искусственного интеллекта. Программирование автоматов нейросетевой биометрии языком их обучения. Пенза: ОАО «ПНИЭИ», 2012. 125 с.
13. Geoffrey E. Hinton Training Products of Experts by Minimizing Contrastive Divergence // Gatsby Computational Neuroscience Unit / University College. London, 2002.
14. Волчихин В. И., Иванов А. И., Фунтиков В. А. Быстрые алгоритмы обучения нейросетевых механизмов биометрико -криптографической защиты информации: моногр. Пенза: Изд-во Пенз. гос. ун-та, 2005. 273 с.
15. Beziaev A. V., Ivanov A. I., Funtikova Iu. V. Optimization of the Structure of Bio-Self-Correcting Code Синтез многослойных систем распознавания образов. М.: Энергия, 1974.
16. Иванов А. И. Подсознание искусственного интеллекта: программирование Storing Error Syndromes as Fragments Hash Functions // Vestnik UrFO. Bezopasnost' v informatsionnoi sfere. 2014. Vol. 3. Р. 4-13.
17. Ivanov A. I., Lozhnikov P. S., Serikova Yu. I. Reducing the Size of a Sample Sufficient for Learning Due to the Symmetrization of Correlation Relationships Between Biometric Data // Cybernetics and Systems Analysis. 2016. Vol. 52, no. 3. Р. 379-385.
18. Ivanov A. I., Kachajkin E. I., Lozhnikov P. S. A Complete Statistical Model of a Handwritten Signature as an Object of Biometric Identification // Control and Communications (SIBCON) 12-14 May. Moscow, 2016. Р. 1-5.
УДК 519.83
АЛГОРИТМ ПОСТРОЕНИЯ МОДЕЛИ НАРУШИТЕЛЯ В СИСТЕМЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С ПРИМЕНЕНИЕМ ТЕОРИИ ИГР
С. О. Савченко, Н. В. Капчук
Омский государственный технический университет, г. Омск, Россия
DOI: 10.25206/2310-9793-2017-5-4-84-90
Аннотация - для эффективного обеспечения защищенности системы информационной безопасности от различных видов атак и более тщательного описания нарушителя целесообразно рассматривать процесс защиты как одноходовую матричную бескоалиционную игру с совершенной информацией и нулевой суммой — существуют два игрока с конечным набором стратегий, которые знают все о действиях друг друга и выигрывают исключительно за счет оппонента, не имея возможности скооперироваться. В данной работе описывается использование элементов теории игр, теории вероятностей и теории графов для разработки алгоритма построения модели нарушителя в системе информационной безопасности.
Ключевые слова: модель нарушителя, теория игр, информационная безопасность, моделирование, графы.
I. Введение
В литературе рассматривается игровая модель системы защиты информации, используемая для решения проблемы выбора решения, обеспечивающего оптимальное соотношение между затратами на средства защиты и снижением риска эксплуатации [1, 2]. В ней исследуется антагонистическая матричная игра [3]. При этом стратегии одного игрока («защитника») заключаются в приведении автоматизированной системы в соответствие с требованиями определенного класса защищенности. Под классом защищенности понимается определенный набор требований к функциям защиты системы. Стратегии другого игрока («нарушителя») будут заключаться в реализации угрозы, относящейся к определенному классу угроз. Функция выигрыша будет представлять собой сумму затрат на реализацию предлагаемых мер защиты и ожидаемых потерь в случае реализации угрозы определенного класса, при условии приведения системы в соответствие с требованиями по классу защищенности. Для построения данной модели необходимо:
— наличие классификации угроз;
— проведение анализа рисков, который покажет ожидаемый объем потерь в случае реализации атаки данного класса;
— формальное описание классов защиты для ИС.
Каждый класс защиты должен характеризоваться, с одной стороны, вероятностным коэффициентом, который показывает, насколько снижается вероятность успешной атаки на систему, а с другой — оценкой стоимости технических средств и мероприятий по приведению ИС в соответствие с требованиями данного класса.
В модели предполагается, что нарушитель затрачивает х средств на преодоление механизма защиты, создание которого потребовало у средств. Ожидаемое количество информации, получаемое нарушителем, есть функция 1(х,у).
Функция f(n) определяет ценность для нарушителя n единиц информации, a д(п) — суммарные затраты на создание и сбережение такого же количества информации, то чистая прибыль нарушителя равна:
V(x,y)=f[I(x,y)] - х.
Потери же равны:
и(х,у) = д[1(х,у)] + у.
В соответствии с теорией игр оптимальные стратегии обеих сторон определяются исходя из следующих условий:
f,xu ма1(х,У) 1 >Uf mа1(х,У) ,
9 [I(x,y)]^hT = 1
Основным недостатком модели приведенной в [2] является то, что при практическом применении невозможно построить достоверные функции I, f и g. Также приведенная модель не рассчитывает вероятности реализации угроз.
При выполнении исследования был разработан алгоритм, обладающий преимуществами и недостатками, представленными в таблице (табл. 1).
ТАБЛИЦА 1
ПРЕИМУЩЕСТВА И НЕДОСТАТКИ РАЗРАБОТАННОГО АЛГОРИТМА
Преимущества Недостатки
Более широкий охват факторов, влияющих на систему ИБ Необходимо большое количество входных данных
Совместимость с другими алгоритмами Быстрый рост сложности алгоритма
Комплексный подход к оценке защищенности системы Большое количество вычислений
Высокая точность, при условии полноты входных данных Высокая трудоемкость
Определение наиболее оптимальной и вероятной стратегии поведения нарушителя и защитника Неточность и субъективность при оценке вероятностей угроз, а также стоимости информации
II. Постановка задачи
Так как процесс защиты представлен в виде игры с совершенной информацией, то система знает все об уяз-вимостях, а нарушитель знает все об уязвимостях и обо всех действиях системы.
Пусть существует система ИБ (ИБ), в которой имеется множество уязвимостей Y = {у1,у2, ■■■ ,yi] [3]. Существует нарушитель, который может реализовать множество угроз (стратегий) Т = {t1, t2, ■.., tj}. В таком случае множество стратегий защиты системы D = {d1, d2, ■.. ,df} будет направлено на ликвидацию уязвимостей. Мерой защиты будет являться сумма затрат на осуществление предлагаемых защитных мер и ожидаемых потерь в случае реализации угроз.
III. Теория
Исходя из вышеизложенного, алгоритм может быть представлен в виде девяти шагов.
Шаг 1. Определяются возможные потери при нарушении одного или нескольких свойств информации — конфиденциальности, целостности или доступности. Для этого можно использовать метод экспертных оценок или метод относительных шкал. Предполагается, что потенциальная прибыль нарушителя пропорциональна этим потерям. Эти данные могут быть представлены в виде элементов множества Q.
Шаг 2. Пусть существует множество Y = {у1, у2, ■.., у¿}. - множество уязвимостей системы ИБ. Элементами множества могут стать факторы и события, позволяющие нарушителю успешно реализовать угрозы информа-
ционной безопасности. Вводится множество 5"= ...,51}, элементами которого является стоимость ликви-
дации каждого элемента из Y.
Шаг 3. Задается множество Т = {Т1,Т2,... ,Т'¡}. С целью более точного описания нарушителя производится его классификация. В качестве критерия целесообразно использовать принадлежность нарушителя к организации, его цель и потенциал - меру усилий, затрачиваемых нарушителем при реализации угроз безопасности информации в системе.
Каждый тип нарушителя может использовать только некоторые уязвимости. Поэтому множество Т будет состоять из подмножеств ^, элементами которых будут угрозы, доступные таким типам.
Шаг 4. Описывается множество Р = {р1,р2 .■■,р¿}, элементами которого являются вероятности реализации нарушителем соответствующих угроз.
Шаг 5. Вводится множество 2 = [г1,г2 ...,г{}, элементы которого соответствуют затратам времени на использование каждой уязвимости в системе.
Шаг 6. Так как процесс защиты представлен в виде игры с совершенной информацией, нарушитель и защитник используют одно и то же множество уязвимостей, с той лишь разницей, что нарушитель пытается их реализовать, а защитник — ликвидировать. Поэтому задается множество стратегий защитника О = [а1,а2, ...,й]}, элементами которого будут являться всевозможные сочетания ликвидации уязвимостей. Добавим множество К = {к1,к2,...,к^, , элементы которого характеризуют стоимость реализации стратегий из множества О:
к1 = ГШ
Шаг 7. Строится платежная матрица, строками которой будут являться стратегии защитника, а столбцами -нарушителя (табл. 2).
ТАБЛИЦА2 ПЛАТЕЖНАЯ МАТРИЦА
Нарушитель Защитник 1 Т2 Т 1 т
Х11 Х12 Х1т
С12 Х21 Х22 Х2т
Сп Хп1 Хп2 Хпт
где Х^ - вероятность неправильного функционирования системы при использовании стратегий О^и^:
Данный параметр можно определить любым графовым методом, например, модифицированным алгоритмом Дейкстры. Такой подход позволит не только найти вероятность проникновения нарушителя, но и наикратчайший маршрут. Получив маршрут нарушителя, можно оценить время, затрачиваемое на реализацию атаки.
Шаг 8. Предполагается, что в системе имеется п уязвимостей. Количество стратегий защитника будет обозначено как N. Тогда вычисление N сводится к вычислению сочетаний из всех уязвимостей:
п п
п I
(п-0\
1=0 1=0
Для доказательства равенства можно использовать разложение в бином Ньютона [4]:
лч у.1 _ /~0у0 Г1у1 Г2у2 I г-3^3 I лч у.1 _ (л I у\п О п ^ = О п ^ I О п ^ I Оп ^ I Оп ^ .м | О п ^ = (1 | л)
Ъ
=0
Если положить л = 1, получается:
п
N = ЪСп = 2п
=0
Пусть т - количество стратегий нарушителя, полученное из его классификации по определенным признакам. Тогда общее количество возможных сценариев будет равно т* N. Соответственно, с ростом количества уязвимостей, сложность алгоритма будет быстро расти. Более того, возможен вариант, когда алгоритм покажет, что наиболее эффективной стратегией защитника будет ликвидация всех уязвимостей, чего на практике достичь невозможно.
Для оценки эффективности защиты для выбранной пары стратегий защитника и нарушителя вводится параметр Rtj :
Rii = (Xij * Qt) + ki,
где Xtj - вероятность правильного функционирования системы, Qi - потери при нарушении свойства информации, ki - затраты на реализацию стратегии защиты di. Чем больше параметр Rtj, тем менее эффективна система и тем больше потерь понесет система при атаке нарушителя.
Шаг 9. В матрице, представленной в шаге 7, производится замена Xц на Ду.
Согласно теории игр, для защитника оптимальной будет «минимаксная» стратегия. Логично предположить, что для каждой стратегии dt, нарушителем будет выбрана стратегия, приводящая к максимальному выигрышу от нарушения, т.е. с наибольшим показателем R. Чтобы определить оптимальную стратегию защитника V, необходимо для каждой dt найти наибольшее R, а затем из полученного множества выбрать стратегию с наименьшим показателем:
V = min max R^
1<i<n 1<j<m
Стратегия нарушителя, наоборот, будет «максиминной». Предполагая, что защитник будет выбирать стратегию, приводящую к минимальному выигрышу, необходимо найти максимум из множества таких стратегий. Пусть оптимальная стратегия нарушителя обозначена как U. Тогда:
U = max min Ru
1<i<n1<j<m '
Значения U и V соответственно называются нижней и верхней ценой игры. Таким образом, если нарушитель будет придерживаться максиминной стратегии, ему гарантирован выигрыш, не меньший, чем U. Если же защитник использует минимаксную стратегию, то нарушитель не может выиграть больше, чем V.
Игра называется игрой с седловой точкой, если ее нижняя и верхняя цены совпадают, т.е. выполняется равенство:
V = min max Ru = max min Ru = U
1<i<n1<j<m J 1<i<n1<j<m '
Если процесс защиты рассматривается как одноходовая игра, то сторонам целесообразно придерживаться минимаксной и максиминной стратегий, как в игре с седловой точкой, так и в игре без седловой точки. В случае многократного повторения игры с седловой точкой также целесообразно придерживаться принципа минимакса. Если же многократно повторяется игра без седловой точки, то постоянное использование минимаксной стратегии становится невыгодным [5]. Так как стратегиями защитника является ликвидация тех или иных уязвимо-стей, многократное повторение игры в вышеописанной форме можно считать не имеющей смысла. Следовательно, для выбора средств эффективной защиты систем ИБ от различных видов атак целесообразно всегда придерживаться принципа минимакса.
Для более полного описания нарушителя следует рассматривать несколько сценариев его взаимодействия с нарушителем. Например, нарушитель может поставить перед собой цель нанести максимальный ущерб системе, без получения доступа к защищаемой информации либо, наоборот, получить доступ к информации. Защитник может бездействовать либо принимать все необходимые меры для укрепления системы.
IV. Результаты экспериментов
Для апробации описанного алгоритма была рассмотрена гипотетическая система физической защиты. Так как физический доступ к информации подразумевает возможность нарушения всех ее свойств, поэтому отдельными ее свойствами можно пренебречь, а общая стоимость защищаемой информации составляет 1000000 у.е. Рассматривается внешний злоумышленник, который может обладать низким, средним или высоким потенциалом, и в зависимости от этого способен реализовать некоторые из 5 доступных угроз. В данном примере стоимость ликвидации каждой угрозы определяется случайным числом от 0 до 25000 у.е. Вероятности и затраты времени при реализации угроз также задаются случайно. Эти данные могут быть представлены в виде следующей таблицы (табл. 3):
ТАБЛИЦА 3 ВХОДНЫЕ ДАННЫЕ
№ Угроза Вероятность Стоимость Затраты време- Угроза доступна
реализации устранения, у.е. ни на реализацию, сек. для типов нарушителя
1 Подделка пропуска 0,31 10000 3600 Т2,Т3
2 Неправильная идентификация 0,17 15000 60 Т2,Т3
3 Обесточивание здания 0,42 25000 600 Ti,T3
4 Преодоление сигнализации 0,27 25000 300 Ti,T2,T3
5 Взлом двери 0,11 15000 300 Ti,T2,T3
Сценарий поведения злоумышленника можно представить в виде графа, где вершины 0 и 6 - начальная и конечная точка (рис. 1):
( 4 ] ( 5 )
С6)
Рис. 1. Сценарий поведения злоумышленника
Типы нарушителя Т1,Т2,Т3 соответствуют низкому, среднему и высокому потенциалу. Вероятность правильного функционирования системы определяется с помощью модифицированного алгоритма Дейкстры [6]. Входные данные были обработаны с помощью описанного алгоритма, полученные результаты были занесены в табл. 4:
ТАБЛИЦА 4 РЕЗУЛЬТАТЫ
Стратегия защитника (ликвидированные угрозы) Стоимость потерь от типа нарушителя, у.е.
Т1 Т2 Тз
- 50000 80000 80000
1 60000 60000 60000
2 65000 95000 95000
3 25000 105000 105000
4 75000 25000 75000
5 15000 95000 95000
1, 2 75000 25000 75000
1, 3 35000 85000 85000
2, 3 40000 120000 120000
1, 2, 3 50000 50000 50000
1, 4 85000 35000 85000
2, 4 90000 40000 90000
1, 2, 4 100000 50000 100000
3, 4 50000 50000 50000
1, 3, 4 60000 60000 60000
2, 3, 4 65000 65000 65000
1, 2, 3, 4 75000 75000 75000
1, 5 25000 75000 75000
2, 5 30000 110000 110000
1, 2, 5 40000 40000 40000
3, 5 40000 120000 120000
1, 3, 5 50000 100000 100000
2, 3, 5 55000 135000 135000
1, 2, 3, 5 65000 65000 65000
4, 5 40000 40000 40000
1, 4, 5 50000 50000 50000
2, 4, 5 55000 55000 55000
1, 2, 4, 5 65000 65000 65000
3, 4, 5 65000 65000 65000
1, 3, 4, 5 75000 75000 75000
2, 3, 4, 5 80000 80000 80000
1, 2, 3, 4, 5 90000 90000 90000
При этом нижняя цена игры и составляет 40000 у.е., а верхняя цена игры V равна 90000 у.е. Рекомендации, полученные в ходе работы алгоритма, можно представить в виде табл. 5:
ТАБЛИЦА 5 РЕКОМЕНДАЦИИ
Название сценария Уязвимости, рекомендуемые к ликвидации Наиболее вероятный тип нарушителя Возможные потери, руб. Время, затрачиваемое на атаку, сек Наиболее вероятный маршрут нарушителя
Оптимальная стратегия для защитника 1,2,5 — 40000 — —
Бездействие защитника — 80000 3900 0-1-4-6
Нарушитель пытается нанести максимальный ущерб — Тг 90000 — —
Нарушитель пытается получить доступ к информации — Т2 80000 3900 0-1-4-6
V. Обсуждение результатов
Из результатов эксперимента следует, что для защитника оптимальной стратегией будет ликвидация уязви-мостей №1, №2 и №5. Для злоумышленника оптимальная стратегия подразумевает, что защитник ликвидирует все уязвимости и таким образом, несет большие убытки, либо будет бездействовать.
VI. Выводы и заключение
Вывод. Предложенный алгоритм, базирующийся на теории игр, теории вероятностей и оценке стоимости информации, позволяет оценить защищенность системы информационной безопасности, а также определить наиболее оптимальные стратегии поведения защитника и нарушителя. При условии достаточности входных данных, такой подход позволяет с высокой точностью оценивать и оптимизировать эффективность защиты системы ИБ.
Список литературы
1. Герасименко В. А., Малюк А. А. Основы защиты информации / Моск. гос. инж.-физ. ин-т (техн. ун-т). М., 1997. 266 с.
2. Корт С. С. Теоретические основы защиты информации: учеб. пособие. М.: Гелиос АРВ, 2004. 240 с.
3. Протасов И. Д. Теория игр и исследование операций: учеб. пособие. М.: Гелиос АРВ, 2006. 368 с.
4. Колемаев В. А., Калинина В. Н. Теория вероятностей и математическая статистика: учеб. М.: ИНФРА-М, 2002. 302 с.
5. Оуэн Г. Теория игр. М.: Вузовская книга, 2004. 216 с.
6. Савченко С. О., Семенова А. Р. Программа "Реализация логико-вероятностного метода" // Хроники объединенного фонда электронных ресурсов «Наука и образование». 2016. № 7 (86). С. 6.
