УДК 004.732.0569(075.8)
ДЕКОМПОЗИЦИЯ ЗАКОНА РАСПРЕДЕЛЕНИЯ УЩЕРБОВ ОТ ПОСЛЕДСТВИЙ КОМПЬЮТЕРНЫХ НАРУШЕНИЙ
Г.Е. Шепитько,
д-р техн. наук, профессор,
Московский финансово-юридический университет МФЮА [email protected]
Аннотация. В статье эмпирическое распределение вероятности ущербов представлено в виде смеси двух логарифмически нормальных распределений.
Ключевые слова: закон распределения вероятностей, логарифмически нормальное распределение, распределение Лапласа, вероятность редких инцидентов.
Abstract. Empirical distribution of the probability of loss is represented as a mixture of two log-normal distributions.
Keywords: probability distribution law, log-normal distribution, Laplace distribution, probability of rare incidents.
Проблема оценки вероятности финансовых потоков выявлена в экономике в прошлом веке для определения стоимости акций на бирже. Впервые математическую модель для процесса биржевых цен предложил Л. Башелье в труде «Теория спекуляций», опубликованной в 1900 году. На основе которой позже в 1905 году Эйнштейн описал модель для процесса броуновского движения в физике [1, с. 12]. Но уже в 1915 году было замечено, что реальное распределение даже приращений биржевых цен отличается от нормального. Причем переход к логарифмическим приращениям не спасает ситуацию. С аналогичной проблемой столкнулись физики при анализе турбулентных потоков, распределения которых имеют более «толстые хвосты», чем логарифмически нормальное распределение [1, с. 13]. Т.е. реально наблюдаемые редкие события происходят в несколько раз чаще, чем теоретические значения, предсказанные математической моделью.
В области безопасности знание закона распределения плотности вероятности ущерба актуально для обоснования ставок страхования рисков от крупных нарушений (инцидентов).
При исследовании вопросов экономики информационной безопасности нами показано, что распределение ущерба от компьютерных нарушений подчиняется логарифмически нормальному закону только для значений вероятностей более 0,1 [2, с.56].
В работе [3, с. 46] была предпринята попытка описания редких событий типа компьютерных инцидентов логарифмическим распределением Лапласа, где предложено вместо логарифмически нормального распределения плотности вероятности использовать логарифмически лапласовское распределение (англоязычный термин - двойное экспоненциальное распределение) вида
Р (х) = (1/2 о)вхр - \ х - тх\/ а, (1)
где х = 0,8686 Ьп (Ущ ); (2)
Ущ - размер ущерба в $;
тх - среднее значение х (мода распределения Ущ);
о, - среднее отклонение значений х от тх .
На рис. 1 для особо важных объектов категории КТ1 представлены зависимости плотности вероятности от логарифма размера ущерба, где Вррэксп - эмпирические значения вероятности ущерба, ВрЛН - теоретические значения функции плотности вероятности для логарифмически нормального распределения, В - теоретические значения функции плотности вероятности для логарифмически экспоненциального распределения Лапласа, ВрТКо - теоретические значения функции плотности вероятности для корректированного логарифмически экспоненциального распределения Лапласа.
Из рассмотрения этих зависимостей следует следующее. Логарифмически нормальное распределение Гаусса хорошо описывает эмпирическую функцию при значениях вероятности не менее уровня 0,1, логарифмически экспоненциальное распределение Лапласа - при значениях вероятности не менее уровня 0,01. В то же время экспериментальные данные указывают, что нет инцидентов с вероятностью менее 0,01.
Для устранения этого противоречия предложено в работе [3, с. 47] ввести корректирующий множитель М, который не требует перенормировки логарифмически экспоненциального распределения Лапласа,
<д|Ь
но обеспечивает равенство теоретических и эмпирических значений среднего ущерба.
Тогда при использовании гауссовского множителя М выражение для функции плотности вероятности для корректированного логарифмически экспоненциального распределения Лапласа примет вид
Рк(х) = Мк(х) X (1/2о) ехр - \ х - т\/ ох (3)
Мк(х) = ехр - 0,5 X (\х -т\ /5о)6. (4)
Вероятности ущерба
Логарифм ущерба
Рис. 1. Зависимость плотности вероятности от размера ущерба
Из рис. 1 следует, что благодаря корректирующему множителю при очень малых вероятностях (менее 0,01) снижение теоретических значений вероятности ускоряется. Однако субъективным остается выбор параметров корректирующего множителя.
Целью данной работы является устранение произвола в выборе параметров распределения вероятностей ущерба на основе принятия гипотезы о чередовании потока компьютерных нарушений и компьютерных инцидентов с определенными вероятностями.
Будем считать, что функция плотности вероятности наблюдаемых ущербов может быть представлена в виде
W(y ) = а X W (у ) + в X W (у ),
(5)
где а и в - условные вероятности появления компьютерных нарушений и компьютерных инцидентов, а + в = 1;
^кн(ущ) - функция плотности вероятности ущерба от компьютерных нарушений описывается логарифмически нормальным распределением
(у) - функция плотности вероятности ущерба от компьютерных инцидентов представлена логарифмически нормальным распределением
ущ - логарифм ущерба;
у = a X ln Y
щщ
а = const;
m1, m2, ov a2 - параметры распределения логарифма ущерба.
На рис. 2 представлены в логарифмическом масштабе зависимости вероятностей ущерба от наблюдаемых нарушений для различных категорий важности объектов (КТ1-КТ4), содержащих коммерческую тайну. Объем выборки - 800 нарушений, период наблюдения - 1 год.
Кн(Ущ) = [°1 X 25Г x exp [- (ущ - m)2/ox2],
(6)
Ки(Ущ) = К X 15]-1 X exp [- (Ущ - mffo'h
(7)
Вероятности ущерба
0,6
0,5
-КТ1
-КТ2
КТЗ КТ4
1
10 100 1000 10000 100000 Ущерб, долл. Рис. 2. Распределения вероятности ущерба
Можно заметить, что для особо важных объектов КТ1 и КТ2 эмпирические распределения имеют явно пологие «хвосты».
На рис. 3 и 4 представлены результаты декомпозиции этих эмпирических распределений в виде (5) при а = 0,87, а = 0,77, в = 0,22. Получены значения параметров распределений для КТ1 - т = 5, а1 = 0,9, т2 = 6,9, а2 = 0,7 и для КТ2 - т1 = 4,35, а1 = 0,7, т2 = 6,2, а2 = 0,7 соответственно. Анализ полученных результатов показал, что если для идентификации компьютерных инцидентов использовать критерий Ущ > 1 тыс. долл., тогда погрешность оценки их вклада не будет превышать 10%. Вклад компьютерных инцидентов не превышает 5% для менее важных объектов категорий КТ3-КТ4.
Большие ущербы обусловлены социальными последствиями отказов техники, злонамеренных действий внутренних нарушителей и действий природных источников угроз.
Вероятности ущерба объекта КТ1
0,40 0,35 0,30 0,25 0,20 0,15 0,10 0.05
/ \
/ \
/ \ ч
\ 1 1 ►
/ V V
/ А л
®—в ч—« ( / 1 V я—
-ВерсэкспКТ1 Част1 Теор -Част2Теор
10
012345678 Логарифм ущерба Рис. 3. Зависимости вероятности ущерба для объектов КТ1
Из полученных результатов, в частности, следует, что условная вероятность совершения компьютерного инцидента с ущербом 30 тыс. долл. не превышает 0,002.
Таким образом, впервые показано, что распределение вероятностей потока значений ущербов от последствий нарушений на объектах информатизации, содержащих коммерческую тайну, можно представить
Вероятности ущерба объекта КТ2
0,45 0,40 0,35 0,30 0,25 0,20 0,15 0,10 0,05 0,00
II—* 1—1 ■—> 1 1 н 1-
-ВерсэкспКТ2 Част1Теор Част2Теор
1 2 3 4 5 6 7 Логарифм ущерба
10
Рис. 4. Зависимости вероятности ущерба для объектов КТ2
в виде суммы двух логарифмически нормальных распределений ущербов: от компьютерных нарушений и компьютерных инцидентов. Предложен критерий идентификации компьютерных инцидентов.
ЛИТЕРАТУРА
1. Королев В.Ю. Вероятностно-статистические модели декомпозиции волатильности хаотических процессов: учебное пособие. -М., 2011.
2. Шепитько Г.Е. Экономика защиты информации: учебное пособие. - М., 2011.
3. Шепитько Г.Е. Теория информационной безопасности и методология защиты информации: учебно-методическое пособие. - М., 2012.